Daudzkārt kaitīgā programmatūra izvairās no detektēšanas, skenējot dzinējus, un izvairīties no nepatīkamām izmaiņām, mainot struktūru un uzvedību. Tomēr šo vienu atribūtu (ja tie ir lielos apjomos) var izmantot, lai noteiktu dažādu ļaundabīgo programmu veidu un noteiktu jaunus celmus. Nesen veiktais pētījums, ko publicēja drošības pētnieks Silvio Česare, uzsver, ka viņu ļaundabības celmus var identificēt mantojums. Pētnieks izstrādāja modeli, ko sauca Simseer kas spēj identificēt plaģiātu programmatūru un izveidot attiecības starp ļaundabīgo programmu.
Kā darbojas Simseer
Simseeram ir jāiesniedz ZIP arhīvs ar ļaunprātīgu programmatūru. Maksimālais faila izmērs ir 100 000 baiti. Parauga faila nosaukumam jābūt: burtciparu vai periodiem, un tikai PE-32 un ELF-32 izpildāmajiem failiem. Maksimāli 20 iesniegumi ir pieļaujami dienā.
Simseer serveri grupē paraugus klasteros, pēc tam skenē nezināmu paraugu līdzīgām pazīmēm ar zināmām ļaundabīgo programmu ģimenēm un identificē jaunus. Tajā parādās evolūcijas koks pie kreisās puses, parādot attiecības starp esošo un jauno kodu. Jo tuvāk programmas atrodas kokā, jo tuvāk tās ir saistītas un var piederēt vienai ģimenei. Jaunie celmi, ja tie atrodami, tiek kataloģēti atsevišķi, ja tie ir mazāki par 98%, līdzīgi esošam celmam.
Lai saglabātu Simseer datubāzi, Cesare lejupielādē neapstrādātu ļaunprātīgas programmatūras kodu no atklāta ļaundabīgo programmu koplietošanas tīkla VirusShare un citiem avotiem, savukārt no katras nakts algoritmiem ievadīto datu apjoms ir no 600 MB līdz 16 GB.
Via AusCERT 2013.
