Dalam banyak kesempatan, malware menghindarkan deteksi oleh mesin pemindai, dan melarikan diri tanpa cedera dengan mengalami perubahan dalam struktur dan perilakunya. Namun, atribut yang satu ini (bila ada dalam volume besar) dapat digunakan untuk menentukan hubungan antara berbagai jenis malware dan mendeteksi strain baru. Sebuah penelitian terbaru yang diterbitkan oleh peneliti keamanan Silvio Cesare menekankan strain malware dapat diidentifikasi oleh mereka warisan. Peneliti mengembangkan model yang disebut Simseer mampu mengidentifikasi perangkat lunak yang dijiplak dan membangun hubungan antara malware.
Bagaimana cara kerja Simseer
Anda harus mengirimkan arsip Zip yang berisi malware ke Simseer. Ukuran file maksimum per adalah 100.000 byte. Nama file sampel harus: alfanumerik atau periode dan PE-32 dan ELF-32 hanya untuk dieksekusi. Maksimal 20 pengiriman diperbolehkan dalam satu hari.
Server Simseer mengelompokkan sampel ke dalam kelompok, lalu memindai sampel tidak dikenal untuk kesamaan dengan keluarga malware yang dikenal dan untuk mengidentifikasi yang baru. Ini kemudian menampilkan pohon evolusi di sebelah kiri, menunjukkan hubungan antara kode yang ada dan yang baru. Semakin dekat program di pohon, semakin dekat mereka terkait dan cenderung menjadi milik keluarga yang sama. Strain baru, jika ditemukan adalah katalog terpisah ketika mereka kurang dari 98% mirip dengan strain yang ada.
Untuk mempertahankan basis data Simseer, Cesare mengunduh kode malware mentah dari jaringan berbagi malware terbuka, VirusShare, dan sumber lain, dengan data antara 600MB dan 16GB dimasukkan ke dalam algoritmenya setiap malam.
Via AusCERT 2013.
