Tous les objets détectés par les produits antivirus de Kaspersky sont nommés selon le système suivant :
[Préfixe:]Comportement. Nom de la plateforme[.Variante]
Le préfixe identifie le sous-système qui a détecté l’objet. Le préfixe « HEUR: » est utilisé pour appeler les objets détectés par l’analyseur heuristique et le préfixe « PDM: » pour nommer les objets détectés par le module de défense proactive.
Le préfixe n’est pas une partie obligatoire du nom de l’objet et il se peut qu’il ne soit pas présent.
Le comportement spécifie ce que l’objet détecté fait. Pour les virus et les vers, le comportement est défini selon la méthode de propagation utilisée. Pour les chevaux de Troie et les outils malveillants, le comportement est choisi selon le type de charge malveillante. Pour les packers suspects, le comportement est défini suivant la manière dont les packers agissent. Pour les adwares, les riskwares et les pornwares, le comportement est défini selon la fonctionnalité de l’objet détecté.
La plateforme est l’environnement dans lequel le code du logiciel est exécuté. Elle peut aussi bien faire référence au software qu’au hardware.
Pour les objets détectés qui peuvent fonctionner sur une ou plusieurs plateformes, la plateforme est définie comme « Multi ». Virus.Multi.Etapux est un exemple de logiciel malveillant multiplateforme. Ce logiciel infecte les fichiers exécutables des systèmes d’exploitation Windows et Linux.
À ce jour, deux plateformes supportent l’analyseur heuristique : Win32 et Script (une plateforme généralisée pour une variété de scripts). Il existe une plateforme pour le module de défense proactive : Win32.
Le nom est un nom officiel donné à l’objet détecté qui définit la famille des objets détectés.
Le terme « famille » fait référence au groupe d’objets détectés qui partagent la même origine (auteur, code source), principes opérationnels ou la charge. Par exemple, les logiciels malveillants de la famille Trojan.Win32.StartPage modifient la page d’accueil des navigateurs Web.
Une variante est une modification d’un objet détecté. La variante peut être indiquée par un chiffre ou une lettre, en commençant par « .a » – « .z », « .aa » – « .zz », etc.
La variante n’est pas une partie obligatoire du nom complet et il se peut qu’elle n’apparaisse pas.