Beveiligingsfabrikant Norman heeft een nieuwe techniek genaamd DNA Matching ontwikkeld. Malwareschrijvers gebruiken namelijk op grote schaal dezelfde code, DNA Matching herkent de hergebruikte code en weet zo malware op te sporen.

Dankzij het gebruik van malwaretoolkits kan iedereen tegenwoordig een keylogger, Trojaans paard of backdoor schrijven. DNA Matching, onderdeel van Norman SandBox, spoort nieuwe malware op die programmacode van eerdere kwaadaardige stukjes software heeft overgenomen. "Zodra een .A-variant is toegevoegd, kan .B gevonden worden als er een of meerdere kwaadaardige (sub)routines worden hergebruikt", aldus chief research officer Righard Zwienenberg tegenover Security.NL.

Analisten van Norman onderzoeken de softwareroutines van de malware en bestempelen deze als goedaardig, kwaadaardig of runtime. Respectievelijk krijgt de code dan de kleur groen, rood of blauw, zoals in het screenshot van de Conficker-wormcode hiernaast te zien is. De code met een grijze kleur is nog niet geanalyseerd.

Door de specifieke code van de worm in kaart te brengen, kan de Norman-virusscanner ook nieuwe varianten herkennen, zelfs al is daar nog geen signature voor.

Norman verwacht dat binnen korte tijd de concurrenten een eigen variant van DNA Matching klaar hebben. "Een technologie die interessant of succesvol is wordt een keer gekopieerd." Overigens vindt hij dat de nieuwe technologie vooral als aanvulling moet gezien worden en voor meer proactieve detectie zorgt. "Malwareschrijvers zullen er blijven, helemaal met de financiële motieven, maar aangezien ze liever lui dan moe zijn, zullen ze ook een hoop code hergebruiken of van anderen kopiëren en dat is dan op deze manier weer makkelijk te detecteren."