Phenquestions
Sering kali, perisian hasad menghindari pengesanan dengan mesin pengimbas, dan melarikan diri tanpa cedera dengan mengalami perubahan struktur dan perilakunya. Namun, atribut satu ini (ketika hadir dalam jumlah besar) dapat digunakan untuk menentukan hubungan antara berbagai jenis malware dan mengesan strain baru. Satu kajian baru-baru ini yang diterbitkan oleh penyelidik keselamatan Silvio Cesare menekankan bahawa strain malware dapat dikenal pasti oleh mereka warisan. Penyelidik mengembangkan model yang dipanggil Simseer mampu mengenal pasti perisian yang diciplak dan menjalin hubungan antara perisian hasad.
Laman web mengesan dan mengkategorikan warisan pelbagai jenis malware. Pada masa penyelidikan, Cesare menyedari bahawa walaupun perubahan sederhana terhadap malware tidak mengubah strukturnya. Dia menggunakan faktor ini sebagai model untuk mengesan perkadaran malware yang hampir sama, dan memilih seluruh keluarga malware berdasarkan struktur yang satu itu. Analisis yang dilakukan oleh alat ini membantu penyelidik keselamatan yang berpusat di Melbourne menentukan hubungan antara perisian hasad dengan menilai persamaannya dengan yang ada berdasarkan kod jahat dan mengetahui apakah wabak malware mempunyai kaitan dengan wabak sebelumnya. Dia dapat meramalkan semua ini dengan menjabarkan hasil analisis dan memvisualisasikan hubungan program sebagai pohon evolusi.
Bagaimana Simseer berfungsi
Anda harus menyerahkan arkib Zip yang mengandungi perisian hasad kepada Simseer. Saiz fail maksimum per 100,000 bait. Nama fail sampel mestilah: alfanumerik atau noktah dan PE-32 dan ELF-32 yang boleh dilaksanakan sahaja. Maksimum 20 penghantaran dibenarkan dalam sehari.
Pelayan Simseer mengelompokkan sampel ke dalam kelompok, kemudian mengimbas sampel yang tidak diketahui untuk persamaan dengan keluarga malware yang diketahui dan untuk mengenal pasti yang baru. Kemudian memaparkan pohon evolusi di sebelah kiri, menunjukkan hubungan antara kod yang ada dan baru. Semakin dekat program di pohon, semakin dekatnya program tersebut dan kemungkinan tergolong dalam keluarga yang sama. Strain baru, jika dijumpai dikatalogikan secara berasingan apabila kurang dari 98% serupa dengan regangan yang ada.
Skor 1.0 bermaksud programnya serupa. Skor 0.0 bermaksud program sama sekali tidak serupa. Program yang mempunyai persamaan lebih besar atau sama dengan 0.60 adalah varian antara satu sama lain dan diserlahkan hijau dalam hasilnya. Semakin cerah hijau, semakin serupa programnya.
Untuk mengekalkan pangkalan data Simseer, Cesare memuat turun kod malware mentah dari rangkaian perkongsian malware terbuka VirusShare dan sumber lain, dengan antara 600MB dan 16GB data dimasukkan ke dalam algoritma setiap malam.
Melalui AusCERT 2013.
