Що таке вірусний сигнатур?

У сфері антивірусів сигнатура вірусу — це алгоритм або хеш-функція (число, отримане з текстового рядка), яка однозначно ідентифікує конкретний вірус.

Як з’являються сигнатури вірусів?

Залежно від типу сканера, який використовується, сигнатурою вірусу може бути статичний хеш (розраховане числове значення фрагмента коду, унікального для вірусу), або, рідше, алгоритм може базуватися на поведінці. Наприклад, якщо цей файл намагається зробити щось незвичайне, він буде позначений як підозрілий, і користувачеві буде запропоновано прийняти рішення. Залежно від постачальника антивірусного програмного забезпечення , сигнатура вірусу може називатися сигнатурою, файлом визначення або файлом DAT.

Одна сигнатура може відповідати великій кількості вірусів. Це дозволяє сканеру виявити абсолютно новий вірус, якого він ніколи раніше не бачив. Цю здатність часто називають евристичним або загальним виявленням (визначення програми чи файлу з функціями чи поведінкою, подібними до відомих шкідливих програм, таких як трояни , бекдори чи експлойти ).

Сигнатури вірусів можуть бути статичними хеш-функціями або алгоритмами на основі поведінки

Це менш ефективно проти абсолютно нових вірусів, але більш ефективно для виявлення нових членів відомого сімейства вірусів (сімейство вірусів – це набір вірусів, які мають багато спільних характеристик). і код той самий).

Ця можливість є дуже важливою, оскільки сьогодні більшість сканерів містять понад 250 000 сигнатур, а кількість нових виявлених вірусів продовжує різко зростати з кожним роком.

Потребує періодичних оновлень

Кожного разу, коли виявляється новий вірус, який поточна сигнатура не може виявити або може бути виявлена, але не може бути належним чином видалена, оскільки його поведінка не повністю відповідає встановленим раніше відомим загрозам, необхідно створити нову сигнатуру.

Після того, як новий підпис створено та перевірено постачальником антивірусної програми, він доставляється клієнту як оновлення підпису. Ці оновлення додають механізму сканування можливості виявлення. У деяких випадках надані раніше підписи можуть бути видалені або замінені новими для забезпечення кращого загального виявлення або видалення.

Необхідно періодично оновлювати базу сигнатур

Залежно від постачальника, оновлення можуть надаватися щогодини або щодня, іноді навіть щотижня. Значна частина потреби в ініціалізації підписів буде відрізнятися залежно від типу сканера, тобто того, на що сканер зосереджений на виявленні.

Наприклад, рекламне та шпигунське ПЗ не настільки «розповсюджуються», як віруси, тому зазвичай сканери рекламного/шпигунського ПЗ можуть оновлювати сигнатури лише щотижня (або навіть рідше). Навпаки, антивірусний сканер щомісяця стикається з тисячами нововиявлених загроз, тому оновлення сигнатур слід надавати принаймні щодня.

Звичайно, було б непрактично випускати окрему сигнатуру для кожного нововиявленого вірусу, тому виробники антивірусів прагнуть випускати за встановленим графіком, охоплюючи всі нові шкідливі програми, виявлені протягом цього періоду часу. Якщо загроза особливо поширена або виявлена ​​між регулярними запланованими оновленнями, постачальник зазвичай аналізує зловмисне програмне забезпечення, створює підпис, тестує його та випускає поза графіком оновлення.

Щоб підтримувати найвищий рівень захисту, налаштуйте антивірусне програмне забезпечення на регулярну перевірку оновлень. Оновлення сигнатур не гарантує, що новий вірус ніколи не буде пропущено, але зменшує ймовірність цього.