Die Kategorie Schadprogramme deckt schädliche Programme ab, die dafür entwickelt wurden, Daten zu löschen, zu blockieren, zu modifizieren oder zu kopieren, oder die Leistung des Computers und/oder von Computernetzwerken zu stören. Diese Klasse enthält Viren, Würmer, Trojaner und andere Programme, die verwendet werden, um automatisch schädliche Aktivitäten auszuführen (Hacking Tools, Konstruktoren, die verwendet werden können, polymorphen Code zu erzeugen, usw.).
Viren und Würmer
Viren und Würmer sind schädliche Programme, die sich selbst auf Computern oder über Netzwerke kopieren, ohne dass der Anwender dies bemerkt; jede weitere Kopie solcher Schadprogramme hat erneut die Fähigkeit, sich weiter zu kopieren.
Schädliche Programme, die sich nur über Netzwerke oder infizierte Remote-Computer verbreiten, wenn sie den entsprechenden Befehl von ihrem „Besitzer“ erhalten (zum Beispiel Backdoors), oder Programme, die vielfache Kopien erzeugen, die sich nicht selbständig weiterkopieren können, fallen nicht in die Unterklasse Viren und Würmer.
Das Hauptmerkmal, mit dem ein Programm innerhalb der Kategorie Viren und Würmer anders eingestuft wird, ist die Verbreitungsart (die Art, wie das schädliche Programm seine Kopien lokal oder über Netzwerke verteilt).
Jedes Programm in dieser Unterklasse kann zusätzliche Trojaner-Funktionen besitzen.
Man sollte auch anmerken, dass viele Würmer mehr als eine Methode für die Verbreitung ihrer Kopien über Netzwerke nutzen. Für solche Würmer sollten die Regeln für die Klassifizierung entdeckter Objekte mit mehrfachen Funktionen angewendet werden.
Trojaner
Trojaner sind schädliche Programme, die Aktionen durchführen, die nicht vom Anwender autorisiert wurden: Sie löschen, blockieren, modifizieren oder kopieren Daten und stören die Arbeit des Computers oder von Netzwerken. Anders als Viren und Würmer, können die Bedrohungen dieser Kategorie keine Kopien von sich selbst anfertigen, um sich zu verbreiten.
Trojaner werden nach der Art ihrer Aktionen auf infizierten Computern klassifiziert.
Verdächtige Packer
Schädliche Programme werden häufig komprimiert (gepackt) – mit ganz unterschiedlichen Methoden, die meist mit Verschlüsselung kombiniert werden, um ein Reverse Engineering des Schädlings zu vermeiden und die Analyse des Programmverhaltens über proaktive und heuristische Methoden zu behindern. Antivirus-Programme entdecken die Ergebnisse der Aktionen verdächtiger Packer, beziehungsweise deren gepackte Dateien.
Es gibt auch Möglichkeiten, gepackte Dateien davor zu schützen, entpackt zu werden: So komprimiert der Packer zum Beispiel den Code nicht vollständig, sondern nur soweit er ausgeführt wird; oder er verschlüsselt ein schädliches Programm vollständig und startet es nur an einem bestimmten Wochentag.
Mehr zu verdächtigen Packern >>>
Schädliche Tools
Schädliche Tools sind Schadprogramme, die automatisch Viren, Würmer oder Trojaner erstellen, DoS-Attacken auf Server durchführen, Computer hacken usw. Anders als Viren, Würmer und Trojaner, stellen die Schadprogramme dieser Kategorie keine direkte Gefahr für die Computer dar, auf denen sie laufen, und die schädliche Ladung der Programme wird nur nach direktem Befehl des Anwenders ausgeliefert.