Sok esetben a rosszindulatú programok megakadályozzák a felismerést a motorok szkennelésével, és a sérülések elkerülése érdekében megváltozik a szerkezet és a viselkedés. Azonban ez az attribútum (ha nagy mennyiségben van jelen) felhasználható a különböző típusú kártevők közötti felderítésre és az új törzsek kimutatására. A biztonsági kutató, Silvio Cesare közelmúltban megjelent tanulmánya kiemeli, hogy a rosszindulatú szoftverek törzsei azonosíthatók örökség. A kutató kifejlesztett egy úgynevezett modellt Simseer képes plagiarizált szoftverek azonosítására és a rosszindulatú programok közötti kapcsolat létrehozására.
Hogyan működik a Simseer
A rosszindulatú programot tartalmazó Zip-archívumot a Simseer-hez kell benyújtania. A maximális fájlméret 100 000 bájtonként. A minta fájlnévnek alfanumerikusnak vagy időszakoknak kell lennie, csak PE-32 és ELF-32 futtatható fájloknak. Naponta legfeljebb 20 beadvány megengedett.
A Simseer kiszolgálók csoportosítják a mintákat klaszterekké, majd ismeretlen mintát keresnek az ismert rosszindulatú családok hasonlóságaira és újakat azonosítanak. Ezután megjelenik egy evolúciós fa a bal oldalon, bemutatva a meglévő és az új kód közötti kapcsolatokat. Minél közelebb vannak a programok a fában, annál közelebb vannak egymáshoz, és valószínűleg ugyanabba a családba tartoznak. Az új törzseket, amennyiben megtalálható, külön katalogizálják, ha már létező törzséhez hasonlóan 98% -nál kisebbek.
A Simseer adatbázisának fenntartása érdekében a Cesare feltölti a nyers malware kódot a nyílt malware-megosztó hálózati VirusShare és más forrásokból, és minden éjjel 600 és 16 GB közötti adatát betöltő algoritmusába.
Via AusCERT 2013.
