Em muitas ocasiões, o malware evita a detecção pelos mecanismos de varredura e evita incólumes ao sofrer uma mudança em sua estrutura e comportamento. No entanto, esse atributo (quando presente em grandes volumes) pode ser usado para determinar a relação entre diferentes tipos de malware e detectar novas linhagens. Um estudo recente publicado pelo pesquisador de segurança Silvio Cesare enfatiza que cepas de malware podem ser identificadas herança. O pesquisador desenvolveu um modelo chamado Simseer capaz de identificar um software plagiado e estabelecer relações entre malware.
Como funciona o Simseer?
Você tem que enviar um arquivo Zip contendo o malware para o Simseer. O tamanho máximo do arquivo é de 100.000 bytes. O nome do arquivo de amostra deve ser: alfanumérico ou períodos e somente executáveis PE-32 e ELF-32. Um máximo de 20 envios são permitidos em um dia.
Os servidores Simseer agrupam as amostras em clusters, examinam uma amostra desconhecida em busca de semelhanças com famílias de malware conhecidas e identificam novas. Em seguida, ele exibe uma árvore evolucionária à esquerda, mostrando as relações entre o código existente e o novo. Quanto mais próximos os programas estiverem da árvore, mais próximos estarão relacionados e provavelmente pertencerão à mesma família. Novas cepas, se encontradas, são catalogadas separadamente quando são menos de 98% similares a uma cepa existente.
Para manter o banco de dados do Simseer, o Cesare faz o download de código de malware bruto da rede aberta de compartilhamento de malware, o VirusShare e outras fontes, com dados entre 600 MB e 16 GB alimentados em seus algoritmos todas as noites.
Via AusCERT 2013.