Phenquestions
В много случаи зловредният софтуер избягва откриването чрез сканиране на двигатели и избягва невредим, като претърпи промяна в структурата и поведението си. Този единствен атрибут обаче (когато присъства в големи обеми) може да се използва за определяне на връзката между различните видове зловреден софтуер и откриване на нови щамове. Неотдавнашно проучване, публикувано от изследователя по сигурността Силвио Чезаре, подчертава, че щамовете на зловредния софтуер могат да бъдат идентифицирани по тях наследство. Изследователят разработи модел, наречен Simseer способен да идентифицира плагиатски софтуер и да установи връзка между зловреден софтуер.
Уебсайтът проследява и категоризира наследството на различни видове зловреден софтуер. По време на изследването Чезаре осъзна, че дори умерените промени в зловредния софтуер не променят структурите. Той използва този фактор като модел за откриване на приблизителни съвпадения на зловреден софтуер и избира цяло семейство зловреден софтуер въз основа на тази една структура. Анализът, направен от инструмента, помогна на изследователя по сигурността в Мелбърн да определи връзката между зловредния софтуер, като оцени тяхното сходство със съществуващия въз основа на злонамерен код и установи дали огнището на зловреден софтуер има връзки към предишни огнища. Той би могъл да предскаже всичко това, като таблизира резултатите от анализа и визуализира програмните взаимоотношения като еволюционно дърво.
Как работи Simseer
Трябва да изпратите на Simseer Zip архив, съдържащ зловредния софтуер. Максималният размер на файла е 100 000 байта. Примерното име на файла трябва да бъде: буквено-цифрови или точки и само изпълними PE-32 и ELF-32. Максимално 20 подавания са допустими на ден.
Сървърите на Simseer групират пробите в клъстери, след това сканират неизвестна проба за сходства с известни семейства зловреден софтуер и за идентифициране на нови. След това показва еволюционно дърво вляво, показващо връзките между съществуващия и новия код. Колкото по-близо са програмите в дървото, толкова по-близки са те и е вероятно да принадлежат към едно и също семейство. Новите щамове, ако бъдат намерени, се каталогизират отделно, когато са по-малко от 98% подобни на съществуващ щам.
Резултат 1.0 означава, че програмите са идентични. Резултат 0.0 означава, че програмите изобщо не са подобни. Програми, които имат сходство, по-голямо или равно на 0.60 са варианти един на друг и подчертани в резултатите в зелено. Колкото по-ярко е зелено, толкова по-сходни са програмите.
За да поддържа базата данни на Simseer, Cesare изтегля суров код за злонамерен софтуер от отворена мрежа за споделяне на злонамерен софтуер VirusShare и други източници, като всяка вечер в алгоритмите му се подават между 600 MB и 16 GB данни.
Чрез AusCERT 2013.
