Paljudel juhtudel ebaõnnestub pahavara tuvastamisest skaneerivate mootorite abil ja põgeneda selle struktuuri ja käitumise muutumisel. Kuid seda atribuuti (kui see on suurtes kogustes) saab kasutada erinevate tüüpi õelvara tuvastamiseks ja uute tüvede tuvastamiseks. Turvalisuse teadur Silvio Cesare avaldatud hiljutises uuringus rõhutatakse, et õelvara tüvede saab tuvastada nende poolt kultuuripärand. Uurija lõi mudeli Simseer mis suudab tuvastada plagiaadiga tarkvara ja luua pahavara seos.
Kuidas Simseer töötab?
Peate esitama Simserile pahavara sisaldava Zip-arhiivi. Maksimaalne faili suurus on 100 000 baiti. Proovi failinimi peab olema: tähtnumbriline või perioodid ning ainult PE-32 ja ELF-32 käivitatavad failid. Päeval on lubatud maksimaalselt 20 esildist.
Simseeri serverid rühmitavad proovid klastriteks, seejärel skannivad tundmatut proovi, mis sarnaneb teadaolevate pahavara perekondadega ja tuvastab uued. Seejärel kuvatakse vasakul olev evolutsioonipuu, mis näitab olemasoleva ja uue koodi suhteid. Mida lähemal on programmid puu all, seda lähemal on need seotud ja kuuluvad tõenäoliselt samasse perekonda. Uued tüved, kui need on leitud, kataloogitakse eraldi, kui need on olemasolevast tüvest sarnased vähem kui 98% ulatuses.
Simseeri andmebaasi hooldamiseks laadib Cesare allalaaditava toor-pahavara koodi avatud pahavara jagamise võrgustikust VirusShare ja muud allikad, kusjuures igal õhtul sisestatakse tema algoritmidesse sisestatud andmed 600 MB kuni 16 GB-ni.
Via AusCERT 2013.
