Alle Objekte, die von Kaspersky-Lösungen entdeckt werden, sind nach folgendem System benannt:
[Präfix:]Verhalten.Plattform.Name[.Variante]
Das Präfix identifiziert das Sub-System, das das Objekt entdeckt hat. Das Präfix „HEUR:“ markiert Objekte, die von der heuristischen Analyse gefunden wurden (HEUR = Heuristics), das Präfix „PDM:“ dagegen Objekte, die vom proaktiven Schutz entdeckt wurden (PDM = Proactive Detection Module).
Das Präfix ist kein verbindlicher Teil des Namens und wird vielleicht nicht mit angegeben.
Das Verhalten zeigt, was das Objekt macht. Bei Viren und Würmern wird das Verhalten nach deren Verbreitungsmethode gewählt. Bei Trojanern und schädlichen Tools wird das Verhalten nach der Art der darin enthaltenen schädlichen Ladung gewählt. Bei verdächtigen Packern wird das Verhalten nach der Art, wie der Packer arbeitet, gewählt. Bei Adware, Riskware und Pornware wird das Verhalten nach der Funktion des entdeckten Objekts gewählt.
Die Plattform ist die Umgebung, in der das Programm ausgeführt wird. Dies kann sowohl Software als auch Hardware bezeichnen.
Entdeckte Objekte, die auf mehr als einer Plattform laufen können, werden mit der Plattform „Multi“ benannt. Virus.Multi.Etapux ist ein Beispiel für ein auf mehreren Plattformen lauffähiges Schadprogramm. Dieser Schädling infiziert sowohl Windows- als auch Linux-Systeme.
Aktuell wird die heuristische Analyse von zwei Plattformen unterstützt: Win32 und Script (eine generelle Plattform für verschiedene Scripts). Für den proaktiven Schutz gibt es nur eine Plattform: Win32.
Der Name ist der offizielle Name der dem entdeckten Objekt gegeben wurde und die Familie des Objekts definiert.
Der Begriff Familie wird verwendet, um eine Gruppe entdeckter Objekte zusammenzufassen, die aus der gleichen Quelle stammen (Autor, Quellcode), die gleichen Operationsprinzipien oder die gleiche schädliche Ladung haben. So ändern zum Beispiel Schadprogramme der Familie Trojan.Win32.StartPage die Startseite des Internet-Browsers.
Eine Variante ist eine Modifikation des entdeckten Objekts. Die Variante wird durch eine Zahl oder einen Buchstaben angezeigt, von ‚.a‘: ‚.a‘ – ‚.z‘, ‚.aa‘ – ‚.zz‘ und so weiter.
Die Variante ist kein zwingender Teil des kompletten Namens und wird vielleicht nicht angegeben.