Malware, auch bekannt als „Schadsoftware“, kann auf verschiedene Arten klassifiziert werden, um die einzigartigen Malware-Typen voneinander zu unterscheiden. Die Unterscheidung und Klassifizierung der verschiedenen Malware-Arten ist wichtig, um besser zu verstehen, wie sie Computer und Geräte infizieren können, wie hoch die von ihnen dargestellte Bedrohung ist und wie Benutzer sich vor ihr schützen können.
Kaspersky Lab klassifiziert sämtliche von der Kaspersky-Antiviren-Engine erkannte Malware bzw. potenziell unerwünschte Objekte und wählt dabei Kategorien gemäß ihrer Aktivität auf dem Computer des Benutzers. Das von Kaspersky Lab genutzte Klassifikationssystem wird auch von einer Reihe anderer Antiviren-Anbieter als Grundlage für ihre Klassifizierung genutzt.
Das Malware-Klassifikationsdiagramm
Das Kaspersky-Klassifikationssystem weist jedem Objekt eine klare Beschreibung und eine bestimmte Position im unten aufgeführten Klassifikationsbaum zu. In diesem Baumdiagramm gilt Folgendes:
- Die Verhaltensweisen, die die geringste Bedrohung darstellen, werden im unteren Bereich des Diagramms angezeigt.
- Die Verhaltensweisen, die einer höhere Bedrohung darstellen, werden im oberen Bereich des Diagramms angezeigt.
Malware-Arten mit mehreren Funktionen
Individuelle Malware-Programme beinhalten oft mehrere schädliche Funktionen und Verbreitungsroutinen. Wird hier die zusätzliche Klassifikation außer Acht gelassen, kann das zu Verwirrung führen.
Nehmen wir beispielsweise ein Schadprogramm, das sich per E-Mail-Anhang und über Dateien in P2P-Netzwerken verbreiten kann. Nun verfügt das Programm zusätzlich über die Möglichkeit, ohne Zustimmung des Benutzers E-Mail-Adressen vom infizierten Computer zu sammeln. Mit dieser Funktionsvielfalt könnte das Programm korrekt als Email-Worm, als P2P-Worm oder als Trojan-Mailfinder klassifiziert werden. Um diese Verwirrung zu vermeiden, wendet Kaspersky Lab eine Reihe von Regeln an, die das Schadprogramm unabhängig von den Programmfunktionen präzise über seine Verhaltensweisen klassifiziert:
- Der Klassifikationsbaum zeigt, dass jeder Verhaltensweise eine eigene Bedrohungsstufe zugewiesen wird.
- Im Klassifikationsbaum sind die Verhaltensweisen, die ein höheres Risiko darstellen, höher angesiedelt als solche mit geringerem Risiko.
- In unserem Beispiel stellt also das Verhalten des E-Mail-Wurms ein höheres Risiko dar als das des P2P-Wurms oder des Trojan-Mailfinder. Deshalb würde dieses Schadprogramm als E-Mail-Wurm klassifiziert.
Mehrere Funktionen mit selber Bedrohungsstufe
- Wenn ein Schadprogramm über mehrere Funktionen mit derselben Bedrohungsstufe verfügt, wie z. B. Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW oder Trojan-Banker, wird das Programm als „Trojan“ – also als Trojaner – klassifiziert.
- Wenn ein Schadprogramm mehrere Funktionen mit derselben Bedrohungsstufe aufweist, wie z. B. IM-Worm, P2P-Worm oder IRC-Worm – wird das Programm als „Worm“ – also als Wurm – klassifiziert.
Schützen Sie Ihre Geräte und Daten vor allen Malware-Klassen
Erfahren Sie mehr über Bedrohungen und den Schutz von Kaspersky Lab: