I antivirusverdenen er en signatur en algoritme eller hash (et tall som kommer fra en tekststreng) som unikt identifiserer et bestemt virus. Avhengig av hvilken type skanner som brukes, kan det være en statisk hash som i sin enkleste form er en beregnet numerisk verdi av en kodebit unikt for viruset. Eller, mindre vanlig, kan algoritmen være oppførselsbasert, dvs. hvis denne filen prøver å gjøre X, Y, Z, flagg den som mistenkelig og spør brukeren om en beslutning. Avhengig av antivirusleverandøren kan en signatur refereres til som en signatur, en definisjonsfil eller en DAT-fil.
En enkelt signatur kan være i samsvar med et stort antall virus. Dette gjør at skanneren kan oppdage et helt nytt virus det aldri har sett før. Denne egenskapen kalles ofte enten heuristikk eller generisk deteksjon. En generisk deteksjon er mindre sannsynlig å være effektiv mot helt nye virus og mer effektivt for å oppdage nye medlemmer av en allerede kjent virus "familie" (en samling av virus som deler mange av de samme egenskapene og en del av samme kode). Evnen til å oppdage heuristisk eller generisk er signifikant, gitt at de fleste skannere nå inneholder over 250k signaturer, og antallet nye virus som oppdages fortsetter å øke dramatisk år etter år.
Det gjenoppbyggende behovet for å oppdatere
Hver gang et nytt virus blir oppdaget som ikke kan påvises av en eksisterende signatur, eller det kan være detekterbart, men ikke kan fjernes på riktig måte fordi dets oppførsel ikke stemmer helt overens med tidligere kjente trusler, må en ny signatur opprettes. Etter at den nye signaturen er opprettet og testet av antivirusleverandøren, blir den dyttet ut til kunden i form av signaturoppdateringer. Disse oppdateringene legger til deteksjonsfunksjonen til skannemotoren. I noen tilfeller kan en tidligere gitt signatur bli fjernet eller erstattet med en ny signatur for å tilby bedre generelle deteksjons- eller desinfeksjonsegenskaper.
Avhengig av skanningsleverandøren kan oppdateringer bli tilbudt hver time, eller daglig, eller noen ganger til og med ukentlig. Mye av behovet for å gi signaturer, varierer med typen skanner, det er, det vil si med hva den skanneren er belastet med å detektere. Adware og spyware er for eksempel ikke så flink som virus, og derfor kan en adware / spyware-skanner bare gi ukentlig signaturoppdateringer (eller enda færre). Omvendt må en virusskanner kjempe mot tusenvis av nye trusler oppdaget hver måned, og derfor bør signaturoppdateringer tilbys minst daglig.
Selvfølgelig er det ganske enkelt ikke praktisk å frigjøre en individuell signatur for hvert nytt virus som oppdages, og antivirusleverandører har derfor en tendens til å slippe ut på en angitt tidsplan som dekker alle de nye malware de har oppstått i løpet av denne tidsrammen. Hvis en spesielt truende eller truende trussel oppdages mellom deres regelmessige planlagte oppdateringer, vil leverandørene typisk analysere malware, opprette signaturen, teste den og slippe den ut av båndet (som betyr at den slipper den utenfor den vanlige oppdateringsplanen ).
For å opprettholde det høyeste beskyttelsesnivået, konfigurer antivirusprogramvaren for å sjekke om oppdateringer så ofte som det tillater det. Å holde signaturene oppdatert garanterer ikke at et nytt virus aldri vil gå gjennom, men det gjør det langt mindre sannsynlig.
