Nota: estas normas sólo se aplican al Malware y no al Adware, Riskware, Pornware u otros objetos detectados usando una detección proactiva o heurística.

Según el sistema de clasificación estándar, cada objeto detectado tiene una descripción clara y un lugar específico dentro del árbol de clasificación.

Sin embargo, en la vida real, hay programas maliciosos que tienen una amplia gama de funciones maliciosas y rutinas de propagación. Tomemos el caso de un malware que se propaga por mail en la forma de archivo adjunto y a través de redes P2P como archivos estándar. Pero no sólo eso, este programa malicioso también tiene la capacidad para recopilar direcciones de correo electrónico desde un equipo infectado sin el consentimiento del usuario. Como resultado, el malware (según el sistema de clasificación) podría ser identificado como Email-Worm, P2P-Worm, or Trojan-Mailfinder. En última instancia, las diferentes modificaciones del mismo malware se pueden clasificar de forma diferente, en función del comportamiento más destacado a criterio del analista de malware. Esto sólo provoca una mayor confusión.

A fin de evitar este problema, Kaspersky Lab utiliza un conjunto de reglas que ayudan a clasificar sin ambigüedad un programa malicioso según su comportamiento particular, independientemente de las funciones que cumple.

¿Cómo funcionan estas reglas? A cada comportamiento se le asigna su propio nivel de amenaza: los comportamientos que suponen una amenaza mayor, serán los representativos del programa. En el ejemplo anterior, el comportamiento más amenazante es el de Email-Worm. Por lo tanto, el malware es clasificado como tal.

Las reglas para todos los tipos de malware se pueden mostrar con la forma de un árbol:

n_graph_2

Las conductas que suponen la menor amenaza están representadas en la parte inferior de la figura de arriba, mientras que las conductas que suponen una mayor amenaza se encuentran en la parte superior
Si un programa puede ser catalogado en torno a una serie de comportamientos diferentes, entonces se debe escoger el más nocivo de estos comportamientos como el distintivo de esa amenaza. Si un programa malicioso incluye más de un tipo de conducta (Trojan-Downloader y Trojan-Dropper, por ejemplo), entonces el comportamiento que figura en la parte superior del árbol se toma como el más representativo.

Nota: la regla para elegir el comportamiento de más alto rango sólo se aplica a los troyanos, virus y gusanos. No se aplica a las herramientas maliciosas.

Si un programa malicioso tiene dos o más funciones con el mismo nivel de amenaza, por ejemplo: Trojan Ransom, Trojan ArcBomb, Trojan Clicker, Trojan DDoS, Trojan Downloader, Trojan Dropper, Trojan IM, Trojan Notifier, Trojan Proxy, Trojan SMS, Trojan Spy, Trojan Mailfinder, Trojan GameThief, Trojan PSW o Trojan Banker, entonces el programa se clasificará como Troyano.

Si un programa malicioso tiene dos o más funciones con el mismo nivel de amenaza: IM-Worm, P2P-Worm, o IRC-Worm, ese programa será clasificado como Gusano.