Règles de classification

Note : ces règles s’appliquent uniquement aux malwares et ne concernent pas les adwares, les riskwares, les pornwares ou tout autre objet détecté grâce à une défense proactive (qui prend le préfix PDM:) ou l’analyseur heuristique (qui prend le préfix HEUR:).

Selon le système de classification standard, chaque objet détecté dispose d’une description claire et d’une place bien précise dans l’arbre de classification.

Néanmoins, dans la vie réelle il existe des logiciels malveillants qui disposent d’une palette importante de fonctionnalités malveillantes et de routines de propagation. Prenons l’exemple d’un programme malveillant qui se diffuse en se faisant passer pour une pièce jointe de courrier électronique ainsi que via des réseaux de partage de fichiers par exemple. Ce logiciel malveillant a également l’habilité de collecter les adresses de messagerie des ordinateurs infectés sans le consentement des utilisateurs. C’est pourquoi le programme malveillant (selon le système de classification) pourrait être classifié comme un ver de courrier électronique, un ver de réseau de partage de fichiers, ou un Trojan-Mailfinder. Finalement, différentes modifications du même programme malveillant peuvent être classées différemment selon le comportement le plus évident que détecte l’analyste qui a analysé le code. Cela peut créer des confusions.

Afin d’éviter ce problème, Kaspersky Lab utilise une série de règles qui aident à classer sans aucune ambiguïté les logiciels malveillants selon leur comportement peu importe leurs fonctionnalités.

Les règles s’appliquant à tous les types de malwares peuvent être présentées sous la forme d’un arbre :

n_graph_2

Les règles de classification des objets à multiples fonctionnalités détectés

Les types de comportement qui représentent un danger moindre sont représentés dans le bas du graphique ci-dessus, alors que les types de comportement qui posent une menace plus importante se situent en haut du graphique.

Si un logiciel peut être classé dans un certain nombre de comportements, celui-ci devra être classé selon son comportement le plus dangereux. Si un logiciel malveillant présente plusieurs comportements (comme par exemple un Trojan-Downloader et un Trojan-Dropper), alors le comportement qui se situe le plus haut dans l’arbre prime sur les autres comportements.

Note : la règle pour choisir le comportement le plus dangereux s’applique uniquement aux chevaux de Troie, aux virus et aux vers. Elle ne s’applique pas aux outils malveillants.

Si un programme malveillant a deux fonctionnalités ou plus qui présentent le même niveau de menace, telles que Trojan Ransom, Trojan ArcBomb, Trojan Clicker, Trojan DDoS, Trojan Downloader, Trojan Dropper, Trojan IM, Trojan Notifier, Trojan Proxy, Trojan SMS Trojan Spy, Trojan Mailfinder, Trojan GameThief, Trojan PSW ou Trojan Banker, alors le logiciel sera classé comme un cheval de Troie.