Pri mnohých príležitostiach sa škodlivý softvér vyhýba detekcii skenovacími mechanizmami a uniká bez poškodenia tým, že prechádza zmenou štruktúry a správania. Tento atribút (ak je prítomný vo veľkých zväzkoch) sa však môže použiť na určenie vzťahu medzi rôznymi typmi malware a na detekciu nových kmeňov. Nedávna štúdia, ktorú uverejnil bezpečnostný výskumník Silvio Cesare, zdôrazňuje, že kmeň malware môže byť identifikovaný ich dedičstvo, Výskumník vyvinul model nazvaný Simseer schopný identifikovať plagiátový softvér a vytvoriť vzťah medzi škodlivým softvérom.
Ako Simseer funguje?
Musíte odoslať Zip archív obsahujúci malware Simseerovi. Maximálna veľkosť súboru na 100 000 bajtov. Ukážkový názov súboru musí byť: alfanumerické alebo periódy a iba spustiteľné súbory PE-32 a ELF-32. Maximálne 20 podaní je povolených za deň.
Servery spoločnosti Simseer zoskupujú vzorky do klastrov, potom skenujú neznámu vzorku na podobnosti so známymi skupinami škodlivého softvéru a identifikujú nové. Potom zobrazuje evolučný strom vľavo, ukazujúci vzťah medzi existujúcim a novým kódom. Čím sú programy v blizkom strome bližšie, tým bližšie súvisia a pravdepodobne patria k rovnakej rodine. Nové kmene, ak sú nájdené, sú katalogizované oddelene, ak sú menej ako 98% podobné existujúcemu kmeňu.
Na udržanie databázy Simseer Cesare stiahne surový kód škodlivého kódu z otvorenej siete VirusShare na zdieľanie škodlivého softvéru a ďalších zdrojov, pričom každú noc do svojich algoritmov pridáva 600 MB až 16 GB dát.
Prostredníctvom AusCERT 2013.
