Clasificaciones de malware
Con tantos
tipos diferentes de malware (y la amplia variedad de programas de software
malicioso que existen dentro de cada tipo), es importante que cada malware
pueda clasificarse de forma precisa y diferenciarse fácilmente de otros
programas maliciosos.
Los
Antivirus clasifica la amplia variedad
de software malicioso u objetos potenciales no deseados detectados por el motor
antivirus, categorizando los tipos de malware en función de su actividad en los
ordenadores de los usuarios.
El "árbol de clasificación" de malware
El sistema
de clasificación de Los Antivirus asigna a cada objeto detectado una
descripción clara y una ubicación específica en el "árbol de
clasificación" que aparece a continuación. En el diagrama "árbol de
clasificación":
- Los tipos de comportamiento que plantean la menor amenaza se muestran en el área inferior del diagrama.
- Los tipos de comportamiento que plantean una amenaza mayor se muestran en el área superior del diagrama.
Tipos de malware con varias funciones*
Los
programas de malware individual a menudo incluyen varias funciones y rutinas de
propagación maliciosas. Sin reglas de clasificación adicionales, este comportamiento
puede llevar a confusión.
Por ejemplo,
un programa malicioso específico puede tener capacidad para propagarse a través
de un archivo adjunto a un correo electrónico y también como archivos a través
de redes P2P. El programa también puede tener capacidad para recopilar
direcciones de correo electrónico de un ordenador infectado sin el
consentimiento del usuario. Con esta variedad de funciones, el programa puede
clasificarse correctamente como Email-Worm, P2P-Worm o Trojan-Mailfinder. Para
evitar la confusión, Los Antivirus aplican un conjunto de reglas que permiten
clasificar de forma inequívoca un programa malicioso en función de su
comportamiento específico, independientemente de las funciones del programa:
- El "árbol de clasificación" muestra que a cada comportamiento se ha asignado su propio nivel de amenaza.
- En el "árbol de clasificación", los comportamientos que plantean un riesgo mayor se sitúan en un nivel superior en la clasificación con respecto a los comportamientos que representan un riesgo menor.
- Por consiguiente, en nuestro ejemplo, el comportamiento de Email-Worm representa un nivel superior de amenaza en comparación con el comportamiento de P2P-Worm o Trojan-Mailfinder; por lo tanto, nuestro programa malicioso de ejemplo se clasificaría como Email-Worm.**
Varias funciones con los mismos niveles de amenaza
- Si un programa malicioso tiene dos o más funciones con los mismos niveles de amenaza (como Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW or Trojan-Banker), el programa se clasifica como Trojan (troyano).
- Si un programa malicioso tiene dos o más funciones con los mismos niveles de amenaza (IM-Worm, P2P-Worm o IRC-Worm), el programa se clasifica como Worm (gusano).
No hay comentarios:
Publicar un comentario