In molte occasioni, il malware elude il rilevamento tramite i motori di scansione e fugge incolume subendo un cambiamento nella sua struttura e nel suo comportamento. Tuttavia, questo attributo (quando presente in grandi volumi) può essere utilizzato per determinare il legame tra diversi tipi di malware e rilevare nuovi ceppi. Un recente studio pubblicato dal ricercatore della sicurezza Silvio Cesare sottolinea che i ceppi di malware possono essere identificati dai loro eredità. Il ricercatore ha sviluppato un modello chiamato Simseer in grado di identificare un software plagiato e stabilire una relazione tra malware.
Come funziona Simseer
Devi inviare un archivio Zip contenente il malware a Simseer. La dimensione massima del file per è 100.000 byte. Il nome file di esempio deve essere: solo alfanumerico o periodi e solo eseguibili PE-32 ed ELF-32. In un giorno sono consentite massimo 20 presentazioni.
I server Simseer raggruppano i campioni in cluster, quindi eseguono la scansione di un campione sconosciuto per somiglianze con famiglie di malware noti e per identificarne di nuovi. Visualizza quindi un albero evolutivo sulla sinistra, mostrando le relazioni tra codice esistente e nuovo. Più i programmi si avvicinano all'albero, più sono vicini e probabilmente appartengono alla stessa famiglia. I nuovi ceppi, se trovati, sono catalogati separatamente quando sono meno del 98% simili a un ceppo esistente.
Per mantenere il database di Simseer, Cesare scarica il codice malevolo dalla rete aperta VirusShare e da altre fonti, con tra 600 MB e 16 GB di dati inseriti nei suoi algoritmi ogni notte.
Via AusCERT 2013.
