Einstufung von Objekten, die von der heuristischen Analyse oder dem proaktiven Schutzmodul gefunden werden

Die Antivirus-Datenbank von Kaspersky Lab enthält eine riesige Menge an heuristischen Daten (deren Namen ohne Präfix geschrieben werden). Zudem führte das Unternehmen im Jahr 2007 ein separates heuristisches Modul mit den neuesten technologischen Entwicklungen ein. Wird ein Objekt von diesem Modul entdeckt, beginnt der Name des Objekts mit dem Präfix „HEUR:“.

Das proaktive Schutzmodul überwacht die Aktionsreihen, die von einem Programm im System ausgeführt werden. Sollten dabei verdächtige Aktionen entdeckt werden, wird das entsprechende Programm blockiert, um es davon abzuhalten, weitere Aktionen auszuführen. Wird ein Objekt von diesem Modul entdeckt, beginnt der Name des Objekts mit dem Präfix „PDM:“.

Beide Module analysieren die Aktivität (oder Reihen von Aktivitäten) eines Objekts. Ist die Aktivität typisch für ein schädliches Programm, wird das Objekt entweder von der heuristischen Analyse oder vom proaktiven Schutzmodul entdeckt.

Diese Klasse von Schadprogrammen enthält die folgenden Objekte:

HEUR:Worm.[Plattform].Generic

Objekte dieser Klassifizierung führen Suchen auf entfernten Computern durch und versuchen, sich selbst in Schreib/Lese-Ordner zu kopieren, sie durchsuchen zudem mit Funktionen des Betriebssystems verfügbare Netzwerk-Ordner und/oder führen zufällige Suchen nach Computern durch.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Virus.[Plattform].Generic

Objekte dieser Klassifizierung erstellen Kopien von sich selbst auf lokalen Ressourcen des infizierten Computers.
Der [Platform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Email-Worm.[Plattform].Generic

Objekte dieser Klassifizierung versuchen, Kopien von sich selbst als E-Mail-Anhänge zu versenden, oder solche Kopien als Links zu ihren eigenen Daten auf Netzwerkressourcen zu verteilen.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Virus.[Plattform].Infector

Objekte dieser Klassifizierung durchsuchen einen Computer nach Dateien und schreiben eine Reihe eigener Informationen in diese Dateien. So ein Objekt kann zum Beispiel sich selbst in eine ausführbare Datei schreiben oder HTML-Code erstellen, der einen Link zu Dateien mit .html-, .php-, .asp- und anderen Dateiendungen enthält.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

PDM:Worm.Win32.Generic

Objekte dieser Klassifizierung suchen nach Netzwerken entfernter Computer und versuchen, sich selbst in Schreib/Lese-Verzeichnisse zu kopieren, sie durchsuchen zudem mit Funktionen des Betriebssystems verfügbare Netzwerk-Ordner, und/oder führen zufällige Suchen nach Computern durch.

PDM:P2P-Worm.Win32.Generic

Objekte dieser Klassifizierung kopieren sich selbst in Ordner, die normalerweise mit P2P-Clients verbunden sind, modifizieren Registry-Einträge, die mit P2P-Clients verbunden sind, usw.

HEUR:Trojan.[Plattform].Generic

Objekte dieser Klassifizierung löschen, blockieren, modifizieren oder kopieren Informationen und stören die Leistung des Computers oder von Netzwerken.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.Win32.Invader

Objekte dieser Klassifizierung injizieren ihren Code in den Adressbereich anderer Prozesse.
Diese Taktik wird von Virenautoren oft verwendet, um eine Reihe von Aktionen auf eine Art durchzuführen, dass es aussieht als würden sie von einem vertrauenswürdigen Programm ausgeführt werden.

HEUR:Trojan.[Plattform].AntiAV

Objekte dieser Klassifizierung verhindern die Arbeit von Antivirus-Programmen und Firewalls.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.[Plattform].KillFiles

Objekte dieser Klassifizierung löschen Nutzerdateien und/oder Dateien des Betriebssystems.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.[Plattform].StartPage

Objekte dieser Klassifizierung modifizieren die Startseite, Suchseite und andere Einstellungen des Internet-Browsers.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.Script.Iframer

Objekte dieser Klassifizierung greifen über versteckte