Ve světě antivirových aplikací je virový podpis algoritmus nebo hash (číslo odvozené z textového řetězce), které jednoznačně identifikuje konkrétní virus.
Jak se objevují virové podpisy?
V závislosti na typu použitého skeneru může jít o statický hash, což je vypočítaná číselná hodnota fragmentu kódu jedinečného pro virus. Nebo méně často může být algoritmus založen na chování; pokud se například tento soubor pokusí udělat něco pochybného, je označen jako podezřelý a uživatel je vyzván k rozhodnutí. V závislosti na dodavateli antiviru může být podpis označován jako podpis, soubor definice nebo soubor DAT. Jediný podpis může být v souladu s velkým počtem virů. To umožňuje skeneru detekovat zcela nový virus, který ještě nikdy předtím neviděl. Tato schopnost se běžně označuje jako heuristika nebo generická detekce. Obecná detekce je méně pravděpodobná, že bude účinná proti zcela novým virům, a bude účinnější při detekci nových členů již známé virové „rodiny“ (soubor virů, které sdílejí mnoho stejných charakteristik a některé se stejným kódem). Schopnost heuristicky nebo obecně detekovat je významná vzhledem k tomu, že většina skenerů nyní obsahuje více než 250 000 podpisů a počet objevených nových virů se rok od roku dramaticky zvyšuje.
Opakovaná potřeba aktualizace
Pokaždé, když je objeven nový virus, který není detekovatelný existujícím podpisem nebo může být detekovatelný, ale nelze jej správně odstranit, protože jeho chování není zcela v souladu s dříve známými hrozbami, musí být vytvořen nový podpis. Poté, co nový podpis byl vytvořen a otestován prodejcem antiviru, je odeslán zákazníkovi ve formě aktualizací podpisu. Tyto aktualizace přidávají detekční schopnost do skenovacího modulu. V některých případech může být dříve poskytnutý podpis odebrán nebo nahrazen novým podpisem, aby poskytoval lepší celkovou schopnost detekce nebo dezinfekce. V závislosti na dodavateli skenování mohou být aktualizace nabízeny každou hodinu, denně nebo někdy i jednou týdně. Velká část potřeby poskytnout podpisy se liší podle typu skeneru, tj. Podle toho, co je tento skener detekován. Například adware a spyware nejsou zdaleka tak plodné jako viry, takže skener adware / spyware obvykle poskytuje pouze týdenní aktualizace podpisů (nebo dokonce méně často). Naopak, antivirový skener musí čelit tisícům nových hrozeb objevených každý měsíc, a proto by aktualizace podpisů měly být nabízeny alespoň denně. Samozřejmě není praktické vydávat individuální podpisy pro každý nový objevený virus, takže prodejci antivirových programů mají tendenci vydávat je podle stanoveného harmonogramu, který pokrývá veškerý nový malware, se kterým se v daném časovém rámci setkali. Pokud je mezi jejich pravidelně naplánovanými aktualizacemi objevena obzvláště převládající nebo hrozivá hrozba, prodejci obvykle malware analyzují, vytvoří podpis, otestují ho a uvolní mimo pásmo (což znamená, uvolní jej mimo svůj normální plán aktualizací. ). Chcete-li zachovat nejvyšší úroveň ochrany, nakonfigurujte antivirový software tak, aby kontroloval aktualizace tak často, jak to dovolí. Udržování aktuálních podpisů nezaručuje, že nový virus nikdy neproklouzne, ale je mnohem méně pravděpodobné.