Die Notwendigkeit, entdeckte Objekte zu klassifizieren kam mit dem Auftauchen des ersten Antivirus-Programms. Denn auch wenn es noch nicht viele Viren gab und sie nur selten anzutreffen waren, mussten sie voneinander unterschieden werden.

Die Pioniere der Antivirus-Branche verwendeten einfache Klassifizierungsmethoden mit einzigartigem Namen und der Größe der entdeckten Datei. Allerdings kam es dazu, dass ein einziger Virus von den verschiedenen Antivirus-Lösungen mit unterschiedlichen Namen bezeichnet wurde, was zu Verwirrung führte.

Die ersten Versuche, den Klassifizierungsprozess zu regulieren, wurden Anfang der 1990er Jahre durch die CARO (Computer AntiVirus Researcher’s Organization), der Vereinigung der Antivirus-Spezialisten, gemacht. Sie entwarf das CARO-Namensgebungsmuster für Schadprogramme, das für einige Zeit als Standard diente.

Doch die immer anspruchsvolleren Schadprogramme sowie das Auftauchen neuer Plattformen und immer mehr Antivirus-Hersteller bedeutete das Aus für diesen Standard (mehr dazu in der Forschungsarbeit“ Current Status of the CARO Malware Naming Scheme von Vesselin Bontschew). Doch der Hauptgrund dafür, dass diese Vorgabe nicht mehr verwendet wurde, war die Vielfalt der Entdeckungstechnologien, die von jedem Hersteller genutzt wurden, und es unmöglich machten, die Scanning-Ergebnisse zu vereinheitlichen.

Hin und wieder gibt es Versuche, ein universelles Klassifizierungssystem zu entwickeln, doch die meisten bleiben erfolglos. Der aktuellste Versuch war die Entwicklung der Common Malware Enumeration (CME), einer Organisation, die einzigartige, gemeinsame Identifikationen für neue Bedrohungen bietet.

Das Klassifizierungssystem, das Kaspersky Lab verwendet, ist eines der in der Branche am häufigsten genutzten und wird auch von zahlreichen anderen Antivirus-Herstellern als Basis für Klassifizierungen genutzt. Die Klassifizierung von Kaspersky Lab enthält derzeit die ganze Bandbreite schädlicher oder potenziell unerwünschter Objekte, die von den Kaspersky-Lösungen entdeckt werden, und unterscheidet die Objekte gemäß ihrer Aktivität auf den Computern der Anwender.