W świecie antywirusowym sygnatura jest algorytmem lub hash (liczbą pochodzącą z łańcucha tekstu), która jednoznacznie identyfikuje określonego wirusa. W zależności od typu używanego skanera może to być statyczny skrót, który w najprostszej postaci jest obliczoną wartością liczbową kodu unikatowego dla wirusa. Lub, rzadziej, algorytm może być oparty na zachowaniu, tj. Jeśli ten plik spróbuje X, Y, Z, oznaczyć go jako podejrzany i poprosić użytkownika o podjęcie decyzji. W zależności od dostawcy oprogramowania antywirusowego podpis może być nazywany sygnaturą, plikiem definicji lub plikiem DAT.
Pojedyncza sygnatura może być spójna z dużą liczbą wirusów. Dzięki temu skaner może wykryć zupełnie nowego wirusa, którego nigdy wcześniej nie widział. Ta zdolność jest powszechnie określana jako heurystyka lub wykrywanie ogólne. Wykrywanie ogólne jest mniej prawdopodobne, że będzie skuteczne przeciwko zupełnie nowym wirusom i skuteczniej wykrywać nowych członków już znanej rodziny wirusów (zbiór wirusów, które mają wiele takich samych cech i niektóre z tego samego kodu). Zdolność do wykrywania heurystycznego lub ogólnego jest znacząca, biorąc pod uwagę, że większość skanerów zawiera obecnie ponad 250 000 podpisów, a liczba odkrywanych nowych wirusów z roku na rok wzrasta dramatycznie.
Powtarzające się potrzeby aktualizacji
Za każdym razem, gdy zostanie wykryty nowy wirus, który nie jest wykrywalny przez istniejący sygnaturę lub może być wykrywalny, ale nie można go poprawnie usunąć, ponieważ jego zachowanie nie jest całkowicie zgodne z wcześniej znanymi zagrożeniami, należy utworzyć nowy podpis. Po utworzeniu i sprawdzeniu nowego sygnatury przez producenta antywirusa jest on wysyłany do klienta w formie aktualizacji sygnatur. Te aktualizacje dodają funkcję wykrywania do silnika skanowania. W niektórych przypadkach wcześniej podany podpis może zostać usunięty lub zastąpiony nowym sygnaturą, aby zapewnić lepsze ogólne możliwości wykrywania lub leczenia.
W zależności od dostawcy skanowania aktualizacje mogą być oferowane co godzinę lub codziennie, a czasem nawet co tydzień. Znaczna część potrzeby dostarczania sygnatur różni się w zależności od typu skanera, tj. Od tego, który skaner jest ładowany z wykrywaniem. Na przykład adware i spyware nie są tak płodne jak wirusy, dlatego zazwyczaj skaner adware / spyware może zapewniać tylko cotygodniowe aktualizacje sygnatur (lub nawet rzadziej). Odwrotnie, skaner antywirusowy musi mierzyć się z tysiącami nowych zagrożeń odkrywanych co miesiąc, dlatego też aktualizacje sygnatur powinny być oferowane co najmniej raz dziennie.
Oczywiście nie jest praktyczne wydawanie indywidualnego podpisu dla każdego odkrytego wirusa, dlatego producenci oprogramowania antywirusowego mają tendencję do publikowania według ustalonego harmonogramu, obejmującego wszystkie nowe złośliwe oprogramowanie, które napotkali w tym czasie. W przypadku wykrycia szczególnie groźnego lub groźnego zagrożenia pomiędzy regularnie planowanymi aktualizacjami, sprzedawcy zazwyczaj analizują złośliwe oprogramowanie, tworzą podpis, testują go i wypuszczają poza pasmo (co oznacza, że udostępniają go poza normalnym harmonogramem aktualizacji ).
Aby zachować najwyższy poziom ochrony, skonfiguruj oprogramowanie antywirusowe tak, aby sprawdzało aktualizacje tak często, jak na to pozwoli. Aktualizowanie sygnatur nie gwarantuje, że nowy wirus nigdy się nie przedostanie, ale czyni to znacznie mniej prawdopodobnym.
