Phenquestions
U mnogim prilikama zlonamjerni softver izbjegava otkrivanje mehanizmima za skeniranje i pobježe neozlijeđen mijenjajući se u svojoj strukturi i ponašanju. Međutim, ovaj jedan atribut (kada je prisutan u velikim količinama) može se koristiti za utvrđivanje odnosa između različitih vrsta zlonamjernog softvera i otkrivanje novih vrsta. Nedavna studija koju je objavio istraživač sigurnosti Silvio Cesare naglašava da se sojevi zlonamjernog softvera mogu prepoznati po njihovim vrstama baština. Istraživač je razvio model tzv Simseer sposoban prepoznati plagijarizirani softver i uspostaviti odnos između zlonamjernog softvera.
Web stranica prati i kategorizira naslijeđe različitih vrsta zlonamjernog softvera. U vrijeme istraživanja Cesare je shvatio da čak i umjerene promjene zlonamjernog softvera ne mijenjaju strukture. Koristio je ovaj faktor kao model za otkrivanje približnih podudaranja zlonamjernog softvera i odabrao cijelu obitelj zlonamjernog softvera na temelju te jedne strukture. Analiza koju je alat izveo pomogla je istraživaču sigurnosti sa sjedištem u Melbourneu utvrditi odnos između zlonamjernog softvera procjenjujući njihovu sličnost s postojećim na temelju zlonamjernog koda i utvrditi ima li izbijanje zlonamjernog softvera veze s prethodnim napadima. Sve je to mogao predvidjeti tabelarnim prikazom rezultata analize i vizualizacijom programskih odnosa kao evolucijskog stabla.
Kako Simseer djeluje
Simseeru morate poslati Zip arhivu koja sadrži zlonamjerni softver. Maksimalna veličina datoteke je 100.000 bajtova. Uzorak naziva datoteke mora biti: alfanumerički ili točke i samo izvršne datoteke PE-32 i ELF-32. Dnevno je dopušteno najviše 20 prijava.
Simseerovi poslužitelji grupiraju uzorke u klastere, a zatim skeniraju nepoznati uzorak kako bi pronašli sličnosti s poznatim obiteljima zlonamjernog softvera i identificirali nove. Zatim prikazuje evolucijsko stablo s lijeve strane, pokazujući odnose između postojećeg i novog koda. Što su programi bliže stablu, to su bliži i vjerojatno će pripadati istoj obitelji. Ako se pronađu, novi sojevi se katalogiziraju odvojeno kada su manje od 98% slični postojećim sojevima.
Rezultat 1.0 znači da su programi identični. Rezultat 0.0 znači da programi uopće nisu slični. Programi koji imaju sličnost veću ili jednaku 0.60 su međusobne varijante i u rezultatima je istaknuto zelenom bojom. Što je zeleno svjetlije, programi su sličniji.
Kako bi održavao Simseerovu bazu podataka, Cesare preuzima sirovi kôd zlonamjernog softvera iz otvorene mreže za dijeljenje zlonamjernog softvera VirusShare i drugih izvora, s tim da se u njegove algoritme svake noći unosi između 600 MB i 16 GB podataka.
Putem AusCERT 2013.
