Anti-malware

Simseer identifica nuevas cepas de malware por su herencia

Simseer identifica nuevas cepas de malware por su herencia

En muchas ocasiones, el malware elude la detección por los motores de escaneo y escapa ileso al sufrir un cambio en su estructura y comportamiento. Sin embargo, este atributo (cuando está presente en grandes volúmenes) se puede utilizar para determinar la relación entre diferentes tipos de malware y detectar nuevas cepas. Un estudio reciente publicado por el investigador de seguridad Silvio Cesare enfatiza que las cepas de malware se pueden identificar por su herencia. El investigador desarrolló un modelo llamado Simseer capaz de identificar un software plagiado y establecer una relación entre malware.

El sitio web rastrea y categoriza la herencia de diferentes cepas de malware. En el momento de la investigación, Cesare se dio cuenta de que incluso los cambios moderados en el malware no cambian las estructuras. Usó este factor como modelo para detectar coincidencias aproximadas de malware y eligió una familia completa de malware en función de esa estructura. El análisis realizado por la herramienta ayudó al investigador de seguridad con sede en Melbourne a determinar la relación entre el malware al evaluar su similitud con el existente en función del código malicioso y encontrar si un brote de malware tenía vínculos con brotes anteriores. Podía predecir todo esto tabulando los resultados del análisis y visualizando las relaciones del programa como un árbol evolutivo.

¿Cómo actúa Simseer?

Debe enviar un archivo Zip que contenga el malware a Simseer. El tamaño máximo de archivo por es de 100.000 bytes. El nombre del archivo de muestra debe ser: alfanumérico o puntos y solo ejecutables PE-32 y ELF-32. Se permite un máximo de 20 presentaciones en un día.

Los servidores de Simseer agrupan las muestras en grupos, luego escanean una muestra desconocida en busca de similitudes con familias de malware conocidas y para identificar otras nuevas. Luego muestra un árbol evolutivo a la izquierda, que muestra las relaciones entre el código existente y el nuevo. Cuanto más cerca estén los programas en el árbol, más cercanos estarán relacionados y es probable que pertenezcan a la misma familia. Las nuevas cepas, si se encuentran, se catalogan por separado cuando son menos del 98% similares a una cepa existente.

Una puntuación de 1.0 significa que los programas son idénticos. Una puntuación de 0.0 significa que los programas no son en absoluto similares. Programas que tienen una similitud mayor o igual a 0.60 son variantes entre sí y se resaltan en verde en los resultados. Cuanto más brillante es el verde, más similares son los programas.

Para mantener la base de datos de Simseer, Cesare descarga código de malware sin procesar de la red abierta de intercambio de malware VirusShare y otras fuentes, con entre 600 MB y 16 GB de datos introducidos en sus algoritmos todas las noches.

A través de AusCERT 2013.

Revisión del mouse inalámbrico Microsoft Sculpt Touch
Recientemente leí sobre el Microsoft Sculpt Touch mouse inalámbrico y decidí comprarlo. Después de usarlo por un tiempo, decidí compartir mi experienc...
Trackpad en pantalla y puntero del mouse AppyMouse para tabletas Windows
Los usuarios de tabletas a menudo pierden el puntero del mouse, especialmente cuando son habituales para usar las computadoras portátiles. Los teléfon...
El botón central del mouse no funciona en Windows 10
La botón central del ratón le ayuda a desplazarse por páginas web largas y pantallas con una gran cantidad de datos. Si eso se detiene, bueno, termina...