Vad är virussignatur?

Inom antivirusområdet är en virussignatur en algoritm eller hashfunktion (ett tal som härrör från en textsträng) som unikt identifierar ett specifikt virus.

Hur visas virussignaturer?

Beroende på vilken typ av skanner som används kan virussignaturen vara en statisk hash (det beräknade numeriska värdet av ett kodavsnitt som är unikt för viruset), eller mindre vanligt kan algoritmen vara beteendebaserad. . Om den här filen till exempel försöker göra något ovanligt kommer den att markeras som misstänkt och användaren uppmanas att fatta ett beslut. Beroende på leverantör av antivirusprogram kan en virussignatur kallas en signatur, definitionsfil eller DAT-fil.

En signatur kan matcha ett stort antal virus. Detta gör att skannern kan upptäcka ett helt nytt virus som den aldrig har sett förut. Denna förmåga kallas ofta heuristisk eller generisk upptäckt (identifierar ett program eller en fil med funktioner eller beteende som liknar kända skadliga program, såsom trojaner , bakdörrar eller utnyttjande ).

Virussignaturer kan vara statiska hashfunktioner eller beteendebaserade algoritmer

Detta är mindre effektivt mot helt nya virus, men är mer effektivt för att upptäcka nya medlemmar av en känd virusfamilj (en virusfamilj är en samling virus som delar många gemensamma egenskaper) och koden är densamma).

Denna förmåga är mycket viktig, eftersom de flesta skannrar idag innehåller mer än 250 000 signaturer och antalet nya virus som upptäckts fortsätter att öka kraftigt för varje år som går.

Behöver regelbundna uppdateringar

Varje gång ett nytt virus upptäcks som den aktuella signaturen inte kan upptäcka, eller är detekterbar men inte kan tas bort korrekt, eftersom dess beteende inte helt matchar etablerade hot, tidigare kända, är det nödvändigt att skapa en ny signatur.

Efter att den nya signaturen har genererats och kontrollerats av antivirusleverantören, levereras den till kunden som en signaturuppdatering. Dessa uppdateringar lägger till detekteringsmöjligheter till skanningsmotorn. I vissa fall kan tidigare tillhandahållna signaturer tas bort eller ersättas med nya signaturer för att ge bättre övergripande upptäckt eller borttagning.

Det är nödvändigt att regelbundet uppdatera signaturdatabasen

Beroende på leverantör kan uppdateringar tillhandahållas varje timme eller dagligen, ibland till och med varje vecka. Mycket av behovet av signaturförsörjning kommer att variera beroende på typen av skanner, det vill säga vad skannern är fokuserad på att upptäcka.

Till exempel är adware och spionprogram inte alls lika "proliferativa" som virus, så normalt kan skannrar av adware/spyware bara tillhandahålla signaturuppdateringar varje vecka (eller ännu mindre ofta). Däremot möter en virusskanner tusentals nyupptäckta hot varje månad och därför bör signaturuppdateringar tillhandahållas minst varje dag.

Naturligtvis skulle det vara opraktiskt att släppa en separat signatur för varje nyupptäckt virus, så antivirusleverantörer tenderar att släppa enligt ett fastställt schema, som täcker alla Nya skadliga program som upptäcktes under den tidsramen. Om ett hot är särskilt utbrett eller upptäcks mellan regelbundna schemalagda uppdateringar, kommer leverantören vanligtvis att analysera skadlig programvara, skapa en signatur, testa den och släppa den utanför uppdateringsschemat.

För att upprätthålla den högsta skyddsnivån, konfigurera ditt antivirusprogram så att det söker efter uppdateringar regelbundet. Att hålla signaturerna uppdaterade garanterar inte att ett nytt virus aldrig kommer att missas, men det är mindre sannolikt att detta händer.