I antivirusverdenen er en signatur en algoritme eller hash (et tal afledt af en tekststreng), som unikt identificerer en bestemt virus. Afhængig af hvilken type scanner der anvendes, kan det være en statisk hash, som i sin enkleste form er en beregnet numerisk værdi af et kode kode, der er unikt for viruset. Eller mindre almindeligt kan algoritmen være adfærdsbaseret, dvs. hvis denne fil forsøger at gøre X, Y, Z, markere den som mistænkelig og anmode brugeren om en beslutning. Afhængigt af antivirusleverandøren kan en underskrift henvises til som en signatur, en definitionsfil eller en DAT-fil.
En enkelt signatur kan være i overensstemmelse med et stort antal vira. Dette gør det muligt for scanneren at opdage en helt ny virus, som den aldrig har set før. Denne evne kaldes almindeligvis enten heuristik eller generisk detektion. En generisk detektion er mindre tilbøjelige til at være effektiv mod helt nye vira og mere effektivt til at opdage nye medlemmer af en allerede kendt virus "familie" (en samling af vira, der deler mange af de samme egenskaber og en del af samme kode). Evnen til at opdage heuristisk eller generisk er signifikant, da de fleste scannere nu indeholder mere end 250k signaturer, og antallet af nye vira, der opdages, fortsætter med at stige dramatisk år efter år.
Det omvendte behov for opdatering
Hver gang en ny virus opdages, der ikke kan påvises af en eksisterende underskrift eller kan detekteres, men ikke kan fjernes korrekt, fordi dens adfærd ikke er helt i overensstemmelse med tidligere kendte trusler, skal der oprettes en ny signatur. Når den nye signatur er oprettet og testet af antivirusleverandøren, skubbes den ud til kunden i form af signaturopdateringer. Disse opdateringer tilføjer registreringsfunktionen til scanningsmotoren. I nogle tilfælde kan en tidligere angivet underskrift fjernes eller erstattes med en ny signatur for at tilbyde bedre generelle detekterings- eller desinfektionsfunktioner.
Afhængigt af scanningsleverandøren kan opdateringer tilbydes hver time eller dagligt eller undertiden endog ugentligt. Meget af behovet for at tilvejebringe signaturer varierer med typen af scanner, det er, dvs. med hvad denne scanner er ladet med at detektere. Adware og spyware er for eksempel ikke så smarte som vira, og derfor kan en adware / spyware scanner kun give ugentlige signaturopdateringer (eller endnu mindre ofte). Omvendt skal en virusscanner kæmpe med tusindvis af nye trusler opdaget hver måned, og derfor bør underskriftsopdateringer tilbydes mindst dagligt.
Selvfølgelig er det simpelthen ikke praktisk at frigive en individuel signatur for hver ny virus, der opdages. Således har antivirusleverandører en tendens til at frigive på et sæt tidsplan, der dækker alle de nye malware, de har stødt på i denne tidsramme. Hvis der opdages en særlig udbredt eller truende trussel mellem deres regelmæssigt planlagte opdateringer, vil sælgerne typisk analysere malware, oprette signaturen, teste den og frigive den uden for båndet (hvilket betyder, at det frigives uden for deres normale opdateringsplan ).
For at opretholde det højeste beskyttelsesniveau skal du konfigurere dit antivirusprogram til at kontrollere opdateringer så ofte som det tillader det. At holde underskrifterne opdaterede garanterer ikke, at en ny virus aldrig kommer igennem, men det gør det langt mindre sandsynligt.
