Sok esetben a rosszindulatú programok elkerülik a keresőmotorok észlelését, és sértetlenül megszöknek azáltal, hogy megváltoztatják a szerkezetét és viselkedését. Ez az egy tulajdonság azonban (ha nagy mennyiségben van jelen) felhasználható a különböző típusú rosszindulatú programok közötti kapcsolat meghatározására és az új törzsek felderítésére. Silvio Cesare biztonsági kutató nemrégiben publikált tanulmánya hangsúlyozza, hogy a rosszindulatú programok törzsei azok alapján azonosíthatók örökség. A kutató kidolgozta az úgynevezett modellt Simseer képes plagizált szoftver azonosítására és kapcsolat kialakítására a rosszindulatú programok között.
A webhely nyomon követi és kategorizálja a rosszindulatú programok különböző törzseinek örökségét. A kutatás idején Cesare rájött, hogy a rosszindulatú programok mérsékelt változásai sem változtatják meg a struktúrákat. Ezt a tényezőt használta mintául a rosszindulatú programok hozzávetőleges egyezésének felderítésére, és az egész struktúra alapján kiválasztotta a rosszindulatú programokat. Az eszköz által végzett elemzés segített a melbourne-i biztonsági kutatónak megállapítani a rosszindulatú programok közötti kapcsolatot azzal, hogy felmérte azok hasonlóságát a rosszindulatú kódokon alapuló meglévőkkel, és kiderítette, hogy egy rosszindulatú program-járvány kapcsolódik-e korábbi kitörésekhez. Mindezt megjósolhatta az elemzési eredmények táblázatba foglalásával és a programkapcsolatok evolúciós faként való megjelenítésével.
Hogyan működik a Simseer
A rosszindulatú programot tartalmazó Zip-archívumot el kell küldenie a Simseernek. A maximális fájlméret 100 000 bájt. A minta fájlnévnek csak alfanumerikus vagy pontokat, valamint csak a PE-32 és ELF-32 futtatható fájlokat kell tartalmaznia. Legfeljebb 20 beadás megengedett egy nap alatt.
A Simseer szerverek a mintákat fürtökbe csoportosítják, majd ismeretlen mintát keresnek az ismert rosszindulatú program-családokkal való hasonlóságok és az újak azonosítása érdekében. Ezután egy evolúciós fát jelenít meg a bal oldalon, bemutatva a meglévő és az új kód közötti kapcsolatokat. Minél közelebb vannak a fán a programok, annál közelebb vannak egymáshoz, és valószínűleg ugyanahhoz a családhoz tartoznak. Az új törzseket, ha megtalálják, külön katalogizáljuk, ha azok kevesebb mint 98% -ban hasonlítanak egy meglévő törzshez.
1-es pontszám.A 0 azt jelenti, hogy a programok azonosak. 0 pontszám.A 0 azt jelenti, hogy a programok egyáltalán nem hasonlóak. Olyan programok, amelyek hasonlósága nagyobb vagy egyenlő 0-val.60 egymás változata és zölden kiemelve az eredményekben. Minél világosabb a zöld, annál hasonlóbbak a programok.
A Simseer adatbázisának fenntartása érdekében Cesare nyers rosszindulatú kódot tölt le a nyílt, rosszindulatú programokat megosztó hálózatból, a VirusShare-ból és más forrásokból, algoritmusaiba minden este 600–16 GB közötti adat kerül.
Via AusCERT 2013.