Todos los objetos detectados por los antivirus de Kaspersky Lab son nombrados de acuerdo al siguiente sistema:
[Prefijo:]Comportamiento.Plataforma.Nombre[.Variante]
El Prefijo identifica el sub-sistema que detecta el objeto. Por ejemplo, el prefijo “HEUR:” se utiliza para denominar los objetos detectados por el analizador heurístico. En tanto que el prefijo “PDM” se utiliza para denotar los objetos detectados por el módulo de defensa proactiva.
El prefijo no es una parte obligatoria del nombre y puede no estar presente.
El Comportamiento especifica qué es lo que hace el objeto detectado. Para los virus y gusanos, el tipo de criterio de clasificación se elige de acuerdo al método de propagación utilizado por el malware. Para los troyanos y herramientas maliciosas, el criterio de clasificación se basa de acuerdo al tipo de comportamiento malicioso. Para los empaquetadores sospechosos, en tanto, la clasificación se elige de acuerdo a la forma en que actúa cada empaquetador. Finalmente, para el Adware, Riskware y Pornware, la clasificación se elige de acuerdo a la función del objeto detectado.
La Plataforma es el entorno en el que se ejecuta el código del programa. Esta puede referirse tanto al software como al hardware.
A aquellos objetos detectados que pueden ejecutarse en más de una plataforma, se les otorga la categoría “Multi”. “Virus.Multi.Etapux” es un ejemplo de un programa malicioso multiplataforma. Este programa infecta archivos ejecutables tanto para los sistemas operativos de Windows como de Linux.
Al momento de escribir este artículo, existen dos plataformas que soportan el analizador heurístico: Win32 y Script (una plataforma generalizada para una variedad de secuencias de comandos), y sólo una plataforma para el módulo de defensa proactiva: Win32.
El Nombre es la denominación oficial que se le da al objeto detectado, lo que a su vez, define la familia de los objetos detectados.
El término “Familia” se utiliza para referirse a un grupo de objetos detectados que comparten el mismo origen (autor, código fuente), funcionamiento o ejecución. Por ejemplo, los programas maliciosos de la familia Trojan.Win32.StartPage cambian la página de inicio del navegador de Internet.
Una Variante es una modificación de un objeto detectado. La variante puede estar indicada por un número o una letra, empezando por ‘.a’: ‘.a’ – ‘.z’, ‘aa’ – ‘.zz’ y así sucesivamente.
La variante no es una parte obligatoria del nombre completo de un programa malicioso y puede no estar presente.