Phenquestions
Malvér sa mnohokrát vyhýba detekcii skenovacími modulmi a unikne bez ujmy zmenou svojej štruktúry a správania. Tento jeden atribút (ak je prítomný vo veľkých objemoch) sa však dá použiť na určenie vzájomného vzťahu medzi rôznymi typmi škodlivého softvéru a na detekciu nových kmeňov. Nedávna štúdia zverejnená bezpečnostným výskumníkom Silviom Cesarom zdôrazňuje, že kmene malvéru je možné identifikovať podľa nich dedičstvo. Vedkyňa vyvinula model tzv Simseer schopný identifikovať plagiátový softvér a nadviazať vzťah medzi malvérom.
Webová stránka sleduje a kategorizuje dedičstvo rôznych druhov malvéru. V čase výskumu si Cesare uvedomil, že ani mierne zmeny škodlivého softvéru štruktúru nezmenia. Tento faktor použil ako model na zisťovanie približných zhôd malvéru a na základe tejto jednej štruktúry vybral celú rodinu malvéru. Analýza vykonaná týmto nástrojom pomohla výskumníkovi v oblasti bezpečnosti v Melbourne určiť vzťah medzi malvérom vyhodnotením ich podobnosti s existujúcim na základe škodlivého kódu a zistením, či má ohnisko malvéru odkazy na predchádzajúce ohniská. Toto všetko mohol predvídať zostavením tabuľky výsledkov analýzy a vizualizáciou vzťahov programu ako evolučného stromu.
Ako funguje Simseer
Musíte odoslať archív ZIP obsahujúci škodlivý softvér spoločnosti Simseer. Maximálna veľkosť súboru je 100 000 bajtov. Vzorový názov súboru musí byť: alfanumerický alebo bodkový a iba spustiteľné súbory PE-32 a ELF-32. Za deň je povolených maximálne 20 príspevkov.
Servery Simseer zoskupujú vzorky do klastrov, potom skenujú neznámu vzorku kvôli podobnostiam so známymi rodinami malvéru a identifikujú nové. Potom vľavo zobrazuje evolučný strom, ktorý zobrazuje vzťahy medzi existujúcim a novým kódom. Čím bližšie sú programy v strome, tým bližšie sú spojené a je pravdepodobné, že patria do tej istej rodiny. Nové kmene, ak sa nájdu, sa katalogizujú osobitne, ak sú na menej ako 98% podobné existujúcemu kmeňu.
Skóre 1.0 znamená, že programy sú identické. Skóre 0.0 znamená, že programy nie sú vôbec podobné. Programy, ktoré majú podobnosť väčšiu alebo rovnú 0.60 sú navzájom varianty a vo výsledkoch sú zvýraznené zelenou farbou. Čím jasnejšia je zelená, tým sú programy podobné.
Aby udržal Simseerovu databázu, Cesare sťahuje nespracovaný kód škodlivého softvéru z otvorenej siete na zdieľanie škodlivého softvéru VirusShare a ďalších zdrojov, pričom do jeho algoritmov sa každý večer vkladá 600 MB až 16 GB dát.
Prostredníctvom AusCERT 2013.
