27.06 // Исследователи придумали способ классификации вредоносного ПО по авторам


На конференции Black Hat будет прочитан доклад, посвященный возможности классификации авторов вредоносного ПО, и опубликованы исходные тексты инструментария, позволяющего на практике реализовать представленную технику. Метод не позволяет определить имя автора, но дает возможность с высокой степенью вероятности определить причастность одного автора к созданию разных вредоносных программ.

Для генерации уникального отпечатка автора, как и в представленном ранее методе идентификации пользователя по web-браузеру, используется уникальность совокупности косвенных признаков. В частности, при анализе вредоносных программ было выявлено, что в них часто можно встретить различные следы сборки, такие как признаки, специфичные для определенной версии компилятора, остатки ссылок на различные пути в файловой системе, имя проекта в среде сборки и т.п. Комбинация подобных, на первый взгляд незначительных, сведений дает достаточно точный слепок, позволяющий присвоить автору уникальный идентификатор и классифицировать вредоносные программы по их авторам.

Источник: http://www.opennet.ru/opennews/art.shtml?num=27092