Trong nhiều trường hợp, phần mềm độc hại tránh bị phát hiện bằng cách quét các công cụ và thoát khỏi sự không bị tổn thương bằng cách trải qua thay đổi về cấu trúc và hành vi của nó. Tuy nhiên, một thuộc tính này (khi có khối lượng lớn) có thể được sử dụng để xác định mối liên hệ giữa các loại phần mềm độc hại khác nhau và phát hiện các chủng mới. Một nghiên cứu gần đây được công bố bởi nhà nghiên cứu bảo mật Silvio Cesare nhấn mạnh rằng các chủng phần mềm độc hại có thể được xác định bởi gia tài. Nhà nghiên cứu đã phát triển một mô hình gọi là Simseer có khả năng xác định phần mềm ăn cắp và thiết lập mối quan hệ giữa phần mềm độc hại.
Simseer hoạt động như thế nào
Bạn phải gửi một kho lưu trữ Zip chứa phần mềm độc hại cho Simseer. Kích thước tệp tối đa là 100.000 byte. Tên tệp mẫu phải là: chỉ có chữ và số hoặc dấu chấm và chỉ các tệp thực thi PE-32 và ELF-32. Tối đa 20 lần gửi được cho phép trong một ngày.
Các máy chủ Simseer nhóm các mẫu thành các cụm, sau đó quét một mẫu không xác định cho các điểm tương đồng với các gia đình phần mềm độc hại đã biết và xác định các mẫu mới. Sau đó nó sẽ hiển thị một cây tiến hóa ở bên trái, hiển thị các mối quan hệ giữa mã hiện tại và mã mới. Các chương trình gần gũi hơn nằm trong cây, chúng gần gũi hơn và có khả năng thuộc về cùng một gia đình. Các chủng mới, nếu tìm thấy được liệt kê riêng biệt khi chúng ít hơn 98% tương tự như một chủng hiện có.
Để duy trì cơ sở dữ liệu của Simseer, Cesare tải xuống mã phần mềm độc hại từ mạng chia sẻ phần mềm độc hại VirusShare và các nguồn khác, với từ 600MB đến 16GB dữ liệu được đưa vào thuật toán của anh mỗi đêm.
Qua AusCERT 2013.