Во многих случаях вредоносное ПО избегает обнаружения с помощью механизмов сканирования и избегает невнимания, изменяя его структуру и поведение. Однако этот один атрибут (если он присутствует в больших объемах) может использоваться для определения взаимосвязи между различными типами вредоносных программ и обнаружения новых штаммов. Недавнее исследование, опубликованное исследователем по вопросам безопасности Сильвио Чезаре, подчеркивает, что вредоносные программы могут быть идентифицированы их наследие, Исследователь разработал модель под названием Simseer способных идентифицировать плагиативное программное обеспечение и устанавливать отношения между вредоносными программами.
Как работает Simseer
Вам необходимо отправить Zip-архив, содержащий вредоносное ПО, в Simseer. Максимальный размер файла составляет 100 000 байт. Образец имени файла должен быть: алфавитно-цифровым или периодом, а также только исполняемыми файлами PE-32 и ELF-32. Допускается до 20 заявок в день.
Simseer-серверы группируют образцы в кластеры, затем просматривают неизвестный образец для сходства с известными семействами вредоносных программ и идентифицируют новые. Затем он отображает эволюционное дерево слева, показывая отношения между существующим и новым кодом. Чем ближе программы находятся в дереве, тем ближе они связаны и, вероятно, принадлежат к одной семье. Новые штаммы, если они найдены, каталогизируются отдельно, если они менее 98%, аналогичные существующим штаммам.
Чтобы поддерживать базу данных Simseer, Cesare загружает сырой код вредоносного кода из открытой сети VirusShare для совместного использования вредоносных программ и других источников, каждый день от 600 до 16 ГБ данных, подаваемых в его алгоритмы.
Via AusCERT 2013.
