La ricerca di relazioni tra famiglie di malware è fondamentale perché rende più facile l'identificazione del malware e il clustering .
Ogni singolo malware è raramente totalmente unico. Proprio come nello sviluppo di software non malizioso, un nuovo campione di malware in genere riutilizzerà codice e / o tecniche da campioni più vecchi.
I ricercatori di malware possono cercare questi elementi condivisi con le firme. Queste firme contengono cluster (o "gruppo") campioni di malware separati con caratteristiche simili. Ad esempio, potresti scrivere firme per identificare campioni che contengono tecniche come l'avvelenamento DNS e il dirottamento delle impostazioni del browser. Puoi anche scrivere firme per identificare membri di una specifica campagna di malware come Zeus o Conficker.
Tali firme possono (1) essere utilizzate per proteggere gli utenti, rilevando che un determinato file contiene malware e (2) essere utilizzati per tenere traccia di come il malware cambia e si diffonde nel tempo.
Ciò è reso possibile quando i ricercatori comprendono le relazioni tra i campioni di malware piuttosto che tentare di studiare ogni campione in isolamento.