Hinweis: Diese Regeln gelten nur für Schadprogramm, nicht für Adware, Riskware, Pornware oder andere Objekte, die über den proaktiven Schutz (die das Präfix PDM: bekommen) oder die heuristische Analyse (die das Präfix HEUR: bekommen) entdeckt werden.

Nach dem Standard-Klassifizierungssystem hat jedes entdeckte Objekt eine klare Beschreibung und einen eindeutigen Platz in der Klassifizierungsstruktur.

Im echten Leben gibt es allerdings Schadprogramme, die eine Vielzahl schädlicher Funktionen und Verbreitungsmöglichkeiten enthalten. Nehmen wir zum Beispiel ein Schadprogramm, das sich per E-Mail (als Anhang) und über P2P-Netzwerke (als Datei) verbreitet. Dieses Schadprogramm hat zudem die Fähigkeit, E-Mail-Adressen von einem infizierten Computer zu sammeln, ohne dass der Anwender das bemerkt. Daher könnte dieses Schadprogramm (nach dem Klassifizierungssystem) ganz richtig als Email-Worm, P2P-Worm oder Trojan-Mailfinder eingestuft werden. Schließlich können auch noch verschiedene Modifikationen des gleichen Schädlings unterschiedlich eingestuft werden, je nachdem, welches Verhalten dem Analysten, der den Code des Programms analysiert, stärker auffällt. Das verursacht natürlich Verwirrung.

Um dieses Problem zu umgehen, verwendet Kaspersky Lab ein Regelwerk für die eindeutige Einstufung schädlicher Programme nach einem bestimmten Verhalten, unabhängig von den Programmfunktionen.
Wie funktioniert das? Jedes Verhalten wird mit einer Bedrohungsstufe bewertet: Das Verhalten mit der geringeren Bedrohung wird vom gefährlicheren Verhalten überstimmt. Im obigen Beispiel ist der E-Mail-Wurm das gefährlichste Verhalten, so dass der Schädling auch als Email-Worm eingestuft wird.
Die Regeln für alle Arten von Schadprogrammen können in folgender Struktur dargestellt werden:

n_graph_2

Die Regeln für die Klassifizierung entdeckter Objekte mit mehrfachen Funktionen
Die Verhaltensarten mit dem geringsten Bedrohungsfaktor sind unten dargestellt, die gefährlichsten Verhaltensweisen ganz oben.

Wenn ein Programm als Anzahl verschiedener Verhaltensweisen kategorisiert werden kann, sollte es anhand der gefährlichsten dieser Verhaltensweisen klassifiziert werden. Enthält ein schädliches Programm mehr als eine Verhaltensweise (etwa als Trojan-Downloader und Trojan-Dropper), überstimmt das Verhalten, das weiter oben in der Struktur zu finden ist, das andere Verhalten.

Hinweis: Die Regel zur Auswahl des gefährlichsten Verhaltens gilt nur für Trojaner, Viren und Würmer, nicht für schädliche Tools.

Hat ein schädliches Programm zwei oder mehr Funktionen mit gleichem Bedrohungswert, der von den Unterkategorien Trojan Ransom, Trojan ArcBomb, Trojan Clicker, Trojan DDoS, Trojan Downloader, Trojan Dropper, Trojan IM, Trojan Notifier, Trojan Proxy, Trojan SMS, Trojan Spy, Trojan Mailfinder, Trojan GameThief, Trojan PSW oder Trojan Banker abgedeckt wird, wird das Programm als Trojaner klassifiziert.
Hat ein Schadprogramm zwei oder mehr Funktionen mit gleichem Bedrohungswert, der von den Unterkategorien IM-Worm, P2P-Worm oder IRC-Worm abgedeckt wird, wird das Programm als Wurm klassifiziert.