Heuristik und proaktive Entdeckung

Einstufung von Objekten, die von der heuristischen Analyse oder dem proaktiven Schutzmodul gefunden werden

Die Antivirus-Datenbank von Kaspersky Lab enthält eine riesige Menge an heuristischen Daten (deren Namen ohne Präfix geschrieben werden). Zudem führte das Unternehmen im Jahr 2007 ein separates heuristisches Modul mit den neuesten technologischen Entwicklungen ein. Wird ein Objekt von diesem Modul entdeckt, beginnt der Name des Objekts mit dem Präfix „HEUR:“.

Das proaktive Schutzmodul überwacht die Aktionsreihen, die von einem Programm im System ausgeführt werden. Sollten dabei verdächtige Aktionen entdeckt werden, wird das entsprechende Programm blockiert, um es davon abzuhalten, weitere Aktionen auszuführen. Wird ein Objekt von diesem Modul entdeckt, beginnt der Name des Objekts mit dem Präfix „PDM:“.

Beide Module analysieren die Aktivität (oder Reihen von Aktivitäten) eines Objekts. Ist die Aktivität typisch für ein schädliches Programm, wird das Objekt entweder von der heuristischen Analyse oder vom proaktiven Schutzmodul entdeckt.

Diese Klasse von Schadprogrammen enthält die folgenden Objekte:

HEUR:Worm.[Plattform].Generic

Objekte dieser Klassifizierung führen Suchen auf entfernten Computern durch und versuchen, sich selbst in Schreib/Lese-Ordner zu kopieren, sie durchsuchen zudem mit Funktionen des Betriebssystems verfügbare Netzwerk-Ordner und/oder führen zufällige Suchen nach Computern durch.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Virus.[Plattform].Generic

Objekte dieser Klassifizierung erstellen Kopien von sich selbst auf lokalen Ressourcen des infizierten Computers.
Der [Platform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Email-Worm.[Plattform].Generic

Objekte dieser Klassifizierung versuchen, Kopien von sich selbst als E-Mail-Anhänge zu versenden, oder solche Kopien als Links zu ihren eigenen Daten auf Netzwerkressourcen zu verteilen.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Virus.[Plattform].Infector

Objekte dieser Klassifizierung durchsuchen einen Computer nach Dateien und schreiben eine Reihe eigener Informationen in diese Dateien. So ein Objekt kann zum Beispiel sich selbst in eine ausführbare Datei schreiben oder HTML-Code erstellen, der einen Link zu Dateien mit .html-, .php-, .asp- und anderen Dateiendungen enthält.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

PDM:Worm.Win32.Generic

Objekte dieser Klassifizierung suchen nach Netzwerken entfernter Computer und versuchen, sich selbst in Schreib/Lese-Verzeichnisse zu kopieren, sie durchsuchen zudem mit Funktionen des Betriebssystems verfügbare Netzwerk-Ordner, und/oder führen zufällige Suchen nach Computern durch.

PDM:P2P-Worm.Win32.Generic

Objekte dieser Klassifizierung kopieren sich selbst in Ordner, die normalerweise mit P2P-Clients verbunden sind, modifizieren Registry-Einträge, die mit P2P-Clients verbunden sind, usw.

HEUR:Trojan.[Plattform].Generic

Objekte dieser Klassifizierung löschen, blockieren, modifizieren oder kopieren Informationen und stören die Leistung des Computers oder von Netzwerken.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.Win32.Invader

Objekte dieser Klassifizierung injizieren ihren Code in den Adressbereich anderer Prozesse.
Diese Taktik wird von Virenautoren oft verwendet, um eine Reihe von Aktionen auf eine Art durchzuführen, dass es aussieht als würden sie von einem vertrauenswürdigen Programm ausgeführt werden.

HEUR:Trojan.[Plattform].AntiAV

Objekte dieser Klassifizierung verhindern die Arbeit von Antivirus-Programmen und Firewalls.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.[Plattform].KillFiles

Objekte dieser Klassifizierung löschen Nutzerdateien und/oder Dateien des Betriebssystems.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.[Plattform].StartPage

Objekte dieser Klassifizierung modifizieren die Startseite, Suchseite und andere Einstellungen des Internet-Browsers.
Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten.

HEUR:Trojan.Script.Iframer

Objekte dieser Klassifizierung greifen über versteckte -Tags auf Internet-Ressourcen zu, ohne dass der Anwender es bemerkt.HEUR:Trojan.[Plattform].Cryptic Objekte dieser Klassifizierung sind hochverschlüsselt oder getarnt. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. HEUR:Backdoor.[Plattform].Generic Objekte dieser Klassifizierung ermöglichen böswilligen Anwendern, den infizierten Computer eines Opfers aus der Ferne zu kontrollieren. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. HEUR:Trojan-Downloader.[Plattform].Generic Objekte dieser Klassifizierung laden neue Versionen schädlicher Programme herunter und installieren diese auf den Computern der Opfer. Der [Platform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. HEUR:Trojan-PSW.[Plattform].Generic Objekte dieser Klassifizierung stehlen Kontoinformationen der Anwender (Logins und Passwörter) von infizierten Computern. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. HEUR:Trojan-Dropper.[Plattform].Generic Objekte dieser Klassifizierung installieren heimlich andere schädliche Programme aus dem Original-Schadprogramm auf dem Opfer-Computer. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. HEUR:Exploit.[Plattform].Generic Objekte dieser Klassifizierung nutzen lokal oder auf einem entfernten Computer eine oder mehrere Sicherheitslücken in Software. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. PDM:Trojan.Win32.Generic Objekte dieser Klassifizierung löschen, blockieren, modifizieren oder kopieren Informationen, können aber auch die Leistung des Computers und/oder von Netzwerken stören. PDM:Rootkit.Win32.Generic Objekte dieser Klassifizierung verbergen bestimmte Objekte oder Aktivitäten auf dem System. Auch Programme, die heimlich Treiber installieren, die Rootkit-Verhalten zeigen, werden in dieser Klassifizierung eingeordnet. Die Adware-Kategorie deckt HEUR:Adware.[Platform].Generic ab: HEUR:Adware.[Plattform].Generic Objekte dieser Klassifizierung leiten Suchanfragen um. Der [Plattform]-Teil des Namens kann entweder „Script“ oder „Win32“ lauten. Die Riskware-Kategorie deckt PDM:Monitor.Win32.Keylogger ab: PDM:Monitor.Win32.Keylogger Objekte dieser Klassifizierung zeichnen die auf der Tastatur gedrückten Tasten auf. Wenn der Anwender oder ein Netzwerk-Administrator diese Art von Programm auf dem Computer installiert hat, stellt es keine Gefahr dar.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Heuristik und proaktive Entdeckung

Produkte für Ihren Schutz

FREE KOSTENLOSE Tools

Über uns

Testversion kostenlos herunterladen

Unser Team kontaktieren

Blog List

Securelist

Kaspersky Daily

Eugene Personal Blog

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Folgen Sie uns