Ved mange anledninger unngår malware deteksjon ved å skanne motorer, og unnslippe uforskyldt ved å gjennomgå en endring i struktur og oppførsel. Denne egenskapen (når den er til stede i store mengder) kan imidlertid brukes til determinerelationship mellom ulike typer malware og oppdage nye stammer. En nylig studie publisert av sikkerhetsforsker Silvio Cesare understreker at malwarestammer kan identifiseres av deres arv. Forskeren utviklet en modell som ble kalt Simseer i stand til å identifisere en plagiert programvare og etablere forhold mellom malware.
Hvordan virker Simseer
Du må sende inn et zip-arkiv som inneholder malware til Simseer. Maksimal filstørrelse per er 100 000 byte. Eksempelfilen må bare være: alfanumeriske eller perioder og bare PE-32 og ELF-32. Maksimalt 20 innleveringer er tillatt på en dag.
Simseer-servere grupperer prøvene i klynger, skann deretter en ukjent prøve for likheter med kjente malwarefamilier og å identifisere nye. Den viser deretter et evolusjonært tre til venstre, som viser forholdet mellom eksisterende og ny kode. Jo nærmere programmene er i treet, jo nærmere er de relatert og sannsynligvis tilhører samme familie. Nye stammer, hvis de finnes, er katalogisert separat når de er mindre enn 98% lik en eksisterende belastning.
For å opprettholde Simseers database laster Cesare ned rå malware-kode fra åpent malware-delingsnettverk VirusShare og andre kilder, med mellom 600 MB og 16 GB data som blir matet inn i sine algoritmer hver kveld.
Via AusCERT 2013.
