扫描仪识别恶意软件株,可能是AV的未来

谈到发现恶意软件,基于签名的检测,启发式和基于云的识别和许多防病毒解决方案使用的信息共享,今天工作良好,但多态性恶意软件仍然给他们跑钱。

在本周举行的澳大利亚举行的年度Auscert会议上,墨尔本迪肯大学的博士学位候选人介绍了他的研究和工作,这可能是解决这个问题的解决方案。

安全研究员Silvio Cesare已经注意到恶意软件代码包括小型“structures”即使在对其代码中度的温和变化之后也保持不变。

“使用结构,您可以检测恶意软件的近似匹配,以及它’只有一个结构,可以轻松地选择整个恶意软件,” he 共享 with CSO Australia.

所以他创造了 Simseer. 是一个免费的在线服务,对提交的恶意软件样本进行自动分析,并告诉并显示您对其他提交的标本相似的情况。它分别评分恶意软件(任何类型的软件)之间的相似性,并将结果和可视化为进化树的程序关系。

如果样品与现有恶性软件应变具有较少的98%相似性,则样品被称为全新的应变。

根据网站,Simseer检测恶意软件’S控制流程,其变化远低于串签名或类似的特征,而多态和变质恶意软件变体通常共享相同的控制流程。

它在带有十几个虚拟服务器的亚马逊EC2集群上运行,并且是“fed”每天晚上的Cesare每晚都有千兆字节的恶意软件代码,从其他自由来源如virusshare下载。

到目前为止,Simseer已经确定了超过50,000个恶意软件株,并且数字不断增长。 Cesare仍在努力完善服务,并希望它有助于恶意软件分析师与他们的研究。目前,它的使用是对任何人免费的。

It’有趣的是,该服务能够超越检测和编目恶意软件样本。如前所述,它适用于任何类型的软件,可用于抄袭和软件盗窃检测,以及事件响应。

分享这个