Правила поглощения типов детектируемых объектов
Правила поглощения относятся только к
вредоносным программам (Malware). Они не затрагивают
потенциально-нежелательные программы (PUPs).
Из разделов, посвященных построению дерева классификации и
определениям вредоносных программ, видно, что каждый детектируемый
объект имеет своё определение и однозначное расположение в дереве
классификации.
В реальной жизни часто встречаются вредоносные программы, которые
обладают целым набором вредоносных функций и способов распространения.
Возьмем для примера некую вредоносную программу, распространяющуюся по
электронной почте в виде вложений и через P2P-сети в виде файлов. В
дополнение к этому, «зловред» содержит функцию несанкционированного
пользователем сбора адресов электронной почты с пораженных компьютеров.
Таким образом, вредоносная программа может быть с равным успехом
отнесена к Email-Worm, к P2P-Worm и к Trojan Mailfinder. Подобная
ситуация, в конечном итоге, не вызовет ничего, кроме путаницы, т.к.
различные модификации одной и той же вредоносной программы могут
получить различные названия в зависимости от того, какому поведению
отдаст предпочтение анализировавший код антивирусный эксперт.
Во избежание подобных проблем «Лаборатория Касперского» использует
так называемые «правила поглощения», которые позволяют однозначно
отнести вредоносную программу к тому или иному типу (поведению) вне
зависимости от реализованной в ней функциональности.
Как работают правила поглощения? Каждому поведению экспертной оценкой
присваивается определенный уровень опасности, и менее опасные поведения
поглощаются более опасными. Например, если учесть, что в
вышеприведенном примере самым опасным является поведение Email-Worm, то
рассматриваемая вредоносная программа будет отнесена именно к этому
типу.
Правила поглощения для всех имеющихся типов вредоносных программ могут быть представлены в виде следующего дерева:
Наименее опасные поведения расположены внизу, наиболее опасные — вверху.
В случае обнаружения у вредоносной программы нескольких поведений, ей
присваивается наиболее опасное из них. Если вредоносная программа
обладает несколькими равнозначными поведениями (например,
Trojan-Downloader и Trojan-Dropper), то для такой программы выбирается
вышестоящее (объединяющее) поведение.
Примечание: правило объединения равнозначных
поведений под именем вышестоящего действует только для троянских
программ, вирусов и червей и не распространяется на вредоносные утилиты.
Если вредоносная программа содержит два или более функционала с
равнозначным уровнем опасности, которые могут быть отнесены к
Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS,
Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier,
Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder,
Trojan-GameThief, Trojan-PSW или Trojan-Banker, то такая вредоносная
программа относится к типу Trojan.
Если вредоносная программа содержит два или более функционала с
равнозначным уровнем опасности, которые могут быть отнесены к IM-Worm,
P2P-Worm или IRC-Worm, то такая вредоносная программа относится к типу
Worm.
