कई अवसरों पर, मैलवेयर स्कैनिंग इंजन द्वारा पहचान का पता लगाता है, और इसकी संरचना और व्यवहार में बदलाव से गुजरने से बच निकलता है। हालांकि, यह एक विशेषता (जब बड़ी मात्रा में मौजूद होती है) का उपयोग विभिन्न प्रकार के मैलवेयर के बीच संबंध निर्धारित करने और नए उपभेदों का पता लगाने के लिए किया जा सकता है। सुरक्षा शोधकर्ता सिल्वियो सेसर द्वारा प्रकाशित एक हालिया अध्ययन में मैलवेयर उपभेदों की पहचान की जा सकती है विरासत । शोधकर्ता ने एक मॉडल विकसित किया Simseer एक चोरी सॉफ्टवेयर और मैलवेयर के बीच संबंध स्थापित करने में सक्षम।
सिमसीर कैसे काम करता है
आपको सिमसेर में मैलवेयर युक्त एक ज़िप संग्रह सबमिट करना होगा। प्रति फ़ाइल अधिकतम आकार 100,000 बाइट है। नमूना फ़ाइल नाम होना चाहिए: अल्फान्यूमेरिक या अवधि और पीई -32 और ईएलएफ -32 निष्पादन योग्य केवल। एक दिन में अधिकतम 20 सबमिशन की अनुमति है।
सिमसेर सर्वर क्लस्टर में नमूनों को समूहित करते हैं, फिर ज्ञात मैलवेयर परिवारों के साथ समानता के लिए अज्ञात नमूना स्कैन करते हैं और नए लोगों की पहचान करते हैं। यह तब बाईं ओर एक विकासवादी पेड़ प्रदर्शित करता है, जो मौजूदा और नए कोड के बीच संबंध दिखाता है। कार्यक्रम पेड़ में करीब हैं, जितना करीब वे संबंधित हैं और एक ही परिवार से संबंधित होने की संभावना है। नए उपभेदों को पाया जाता है, जब वे मौजूदा तनाव के समान 98% से कम होते हैं तो अलग-अलग सूचीबद्ध होते हैं।
सिमसेर के डेटाबेस को बनाए रखने के लिए, सीज़ारे खुले मैलवेयर-शेयरिंग नेटवर्क वायरसशेयर और अन्य स्रोतों से कच्चे मालवेयर कोड को डाउनलोड करता है, जिसमें 600 एमबी और 16 जीबी डेटा हर रात अपने एल्गोरिदम में खिलाया जाता है।
AusCERT 2013 के माध्यम से।
