Behavior-based Classification of Botnet Malware
Abstract
ENGELSK: The rapid development of information technology has led to great advances in personal
computers. At the same time, it has also brought a lot of threats, where malware (malicious
software) is one of the most severe. According to Symantec, there was a 51%
increase in added malware signatures from 2009 to 2010. To make matters even worse,
malware developers are becoming more sophisticated, creating hybrid malware with obfuscation
and mutation capabilities. These hybrids are often found in botnets, where
capabilities like self-propagation, stealth and remote-control are important. This thesis
will analyze malware behavior that employs obfuscation techniques in the context of botnets.
Through tools for reverse engineering, digital forensics and data mining, malware
behavior is analyzed to solve a two-class classification problem. NORSK: Den raske utviklingen innenfor informasjonsteknologi har ledet til store framsteg for personlige
datamaskiner. Denne utviklingen har også ledet til mange trusler, hvor ondsinnet
programvare (skadevare) er en av de mest alvorlige. I følge Symantec så har økningen
av skadevaresignaturer økt 51% fra 2009 til 2010. For å gjøre saken verre, så har skadevareutviklere
blitt mer sofistikerte og de utvikler hybrider med obfuskerings- og mutasjonsegenskaper.
Disse hybridene er ofte å finne i botnets, hvor de innehar viktige egenskaper
som å operere ubemerket, infisering av nye datamaskiner og fjernstyring. Denne
masteroppgaven analyserer skadevare i botnets, og ved å benytte verktøy for “reverse
engineering”, digital etterforskning og “data mining”, blir skadevareoppførsel analysert
for å løse et klassifiseringsproblem.