В много случаи злонамереният софтуер избягва откриването чрез сканиране на двигатели и избягва невредими, като претърпява промяна в структурата и поведението си. Този атрибут обаче (когато присъства в големи обеми) може да се използва за определяне на връзката между различните видове зловреден софтуер и откриване на нови щамове. Неотдавнашно проучване, публикувано от изследователя по сигурността Силвио Цезар, подчертава, че щамовете зловреден код могат да бъдат идентифицирани от техните наследство, Изследователят разработи модел, наречен Simseer способна да идентифицира плагирания софтуер и да установи връзка между зловреден софтуер.
Как работи Симсер
Трябва да изпратите архив на Zip, съдържащ злонамерения софтуер, на Симсер. Максималният размер на файла е 100 000 байта. Примерното име на файла трябва да бъде: буквено-цифрови или периоди и само изпълними файлове PE-32 и ELF-32. Максимум 20 заявления са допустими за един ден.
Симсер сървърите групират пробите в клъстери, след което сканират неизвестна проба за прилики с познатите зловреден софтуер и идентифицират нови. Тогава показва еволюционно дърво вляво, показващо взаимоотношенията между съществуващ и нов код. Колкото по-близо са програмите в дървото, толкова по-близо са те и вероятно ще принадлежат на едно и също семейство. Новите щамове, ако се открият, се каталогизират отделно, когато те са по-малко от 98% подобни на съществуващите щамове.
За да поддържа базата данни на Simseer, Cesare изтегля суров код за злонамерен софтуер от отворена мрежа за разпространение на зловреден софтуер VirusShare и други източници, като всяка от тях съдържа между 600 МБ и 16 ГБ данни, подавани в алгоритмите му всяка вечер.
Чрез AusCERT 2013.
