Phenquestions
У многим приликама злонамерни софтвер избегава откривање помоћу механизама за скенирање и избегава се неоштећен мењањем његове структуре и понашања. Међутим, овај један атрибут (када је присутан у великим количинама) може се користити за утврђивање односа између различитих врста малвера и откривање нових врста. Недавна студија коју је објавио истраживач безбедности Силвио Цесаре наглашава да се сојеви малвера могу идентификовати по њиховом наслеђе. Истраживач је развио модел тзв Симсеер способан да идентификује плагијаризовани софтвер и успостави везу између малвера.
Веб локација прати и категорише наслеђе различитих врста злонамерног софтвера. У време истраживања Цесаре је схватио да чак и умерене промене малвера не мењају структуре. Овај фактор је користио као модел за откривање приближних подударања малвера и изабрао читаву породицу малвера на основу те једне структуре. Анализа урађена помоћу овог алата помогла је истраживачу безбедности са седиштем у Мелбоурнеу да утврди однос између малвера процењујући њихову сличност са постојећим на основу злонамерног кода и да утврди да ли је епидемија малвера имала везе са претходним епидемијама. Све ово могао је предвидјети табеларним приказом резултата анализе и визуализацијом програмских односа као еволуцијског стабла.
Како Симсеер ради
Морате да пошаљете Зип архиву која садржи злонамерни софтвер Симсеер-у. Максимална величина датотеке је 100.000 бајтова. Узорак назива датотеке мора бити: алфанумерички или тачке и само извршне датотеке ПЕ-32 и ЕЛФ-32. Дозвољено је највише 20 поднесака дневно.
Симсеер сервери групишу узорке у кластере, а затим скенирају непознати узорак да би пронашли сличности са познатим породицама малвера и да би идентификовали нове. Затим приказује еволуцијско стабло на левој страни, показујући везе између постојећег и новог кода. Што су програми ближи дрвету, то су ближи и вероватно припадају истој породици. Ако се пронађу, нови сојеви се каталогизирају одвојено када су мање од 98% слични постојећим сојевима.
Оцена 1.0 значи да су програми идентични. Резултат 0.0 значи да програми уопште нису слични. Програми који имају сличност већу или једнаку 0.60 су међусобне варијанте и у резултатима је истакнуто зелено. Што је зелено светлије, програми су сличнији.
Да би одржавао Симсеерову базу података, Цесаре преузима сирови злонамерни код из отворене мреже за дељење малваре-а ВирусСхаре и других извора, с тим да се у његове алгоритме сваке ноћи убацује између 600 МБ и 16 ГБ података.
Путем АусЦЕРТ 2013.
