Изучение вредоносных программ выявляет семейства злонамеренных алгоритмов

14/05/2006 11:57

Проект по автоматической классификации вирусного кода выявил, что многие вредоносные программы имеют схожие прототипы, но дающиеся им имена не всегда подчеркивают сходство кода, сообщает сайт SecurityFocus.com. В течение нескольких последних недель компания Sabre Security провела анализ нескольких тысяч фрагментов вредоносных кодов с использованием филогенетического кластерного алгоритма. В результате вредоносные программы были разделены на два крупных семейства, три мелких, две пары элементов одного уровня и несколько изолированных фрагментов. Исследование показало, что несколько вирусов, идентифицируемых разными именами, на самом деле сильно похожи. Даже самые «дальние родственники» в первом семействе похожи на 75 процентов, а во втором на 58. К примеру, группа вирусов GoBot настолько похожа на группу GhostBot, что руководитель проекта Халвар Флейк рекомендует объединить их в одно семейство. В то же время вирусы Sasser.b и Sasser.d, относящиеся к одной группе, подобны только на 69 процентов. Использование утилиты автоматического дисассемблирования для классификации вредоносного кода в конечном итоге может принести пользу для потребителей, если будет использоваться для стандартизации имен вирусов. Изобилие названий для одних и тех же вирусов вызывает путаницу, и проект преследует цель исправить эту ситуацию.
Подробности