El ‘árbol de clasificación’ utilizado por varias firmas de software ofrece una descripción clara del malware analizado para así poder erradicarlo del sistema y evitar daños posteriores.
Ciudad de México.- Con tantos tipos diferentes de malware y las diferentes gamas de software maliciosos dentro de cada tipo, es importante que cada elemento de virus se pueda clasificar de manera clara y distinguirse fácilmente de otros programas maliciosos, para poder erradicarlo y evitar problemas futuros.
Por ello, Kaspersky, firma de protección informática, clasificó toda la gama de software malicioso u objetos posiblemente no deseados que detectan los antivirus, con lo cual clasifica los elementos de malware según su actividad en las computadoras de los usuarios.
‘Árbol de clasificación’
El sistema de clasificación ofrece a cada objeto detectado una descripción clara y una ubicación específica en el ‘árbol de clasificación’ que se muestra a continuación. En el diagrama del ‘árbol de clasificación’:
- Los tipos de comportamiento que suponen la menor amenaza se muestran en el área inferior del diagrama.
- Los tipos de comportamiento que suponen una amenaza mayor aparecen en la parte superior del diagrama
Los programas de malware individuales a menudo incluyen varias funciones maliciosas y rutinas de propagación; con algunas reglas de clasificación adicionales, esto podría llevar a confusión.
Por ejemplo, un programa malicioso específico puede ser capaz de extenderse a través del adjunto de un correo electrónico y también como archivos a través de redes P2P.
El programa también puede tener la capacidad de cosechar direcciones de correo electrónico desde una computadora infectada, sin el consentimiento del usuario.
Con este rango de funciones, el programa podría clasificarse correctamente como un gusano de correo electrónico, un gusano P2P o un buscador de correo troyano. Para evitar esta confusión, se aplica un conjunto de reglas que pueden clasificar sin ambigüedades un programa malicioso con un comportamiento determinado, independientemente de las funciones del programa.
- El ‘árbol de clasificación’ muestra que se ha asignado a cada comportamiento su propio nivel de amenaza.
- En el ‘árbol de clasificación’, los comportamientos que suponen un riesgo mayor están por encima de aquellos que representan un riesgo menor.
- De manera que, en nuestro ejemplo, el comportamiento del gusano de correo electrónico representa un nivel más alto de amenaza que el comportamiento de un gusano de P2P o un buscador de correo troyano; y, por tanto, nuestro programa malicioso del ejemplo se clasificaría como gusano de correo electrónico.
Varias funciones con iguales niveles de amenaza
- Si un programa malicioso tiene dos o más funciones con iguales niveles de amenaza (como Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW o Trojan-Banker), el programa se clasifica como troyano
- Si un programa malicioso tiene una o más funciones con iguales niveles de amenaza (como gusano de MI, gusano de P2P o gusano de IRC), el programa se clasifica como gusano.
El Semanario Sin Límites, con información de medios