No mundo dos antivírus, uma assinatura de vírus é um algoritmo ou hash (um número derivado de uma sequência de texto) que identifica exclusivamente um vírus específico.
Como aparecem as assinaturas de vírus?
Dependendo do tipo de scanner usado, pode ser um hash estático, que é um valor numérico calculado de um fragmento de código exclusivo do vírus. Ou, menos comumente, o algoritmo pode ser baseado em comportamento; se, por exemplo, este arquivo tenta fazer algo questionável, é sinalizado como suspeito e o usuário é questionado sobre uma decisão. Dependendo do fornecedor do antivírus, uma assinatura pode ser chamada de assinatura, arquivo de definição ou arquivo DAT. Uma única assinatura pode ser consistente com um grande número de vírus. Isso permite que o mecanismo de varredura detecte um vírus novo que ele nunca viu antes. Essa capacidade é comumente referida como heurística ou detecção genérica. É menos provável que uma detecção genérica seja eficaz contra vírus completamente novos e mais eficaz na detecção de novos membros de uma ‘família’ de vírus já conhecida (uma coleção de vírus que compartilham muitas das mesmas características e parte do mesmo código). A capacidade de detectar heuristicamente ou genericamente é significativa, visto que a maioria dos scanners agora inclui mais de 250 mil assinaturas e o número de novos vírus descobertos continua a aumentar drasticamente ano após ano.
A necessidade recorrente de atualização
Cada vez que é descoberto um novo vírus que não pode ser detectado por uma assinatura existente, ou pode ser detectado, mas não pode ser removido adequadamente porque seu comportamento não é totalmente consistente com ameaças conhecidas anteriormente, uma nova assinatura deve ser criada. Depois que a nova assinatura é criada e testada pelo fornecedor do antivírus, ela é enviada ao cliente na forma de atualizações de assinatura. Essas atualizações adicionam a capacidade de detecção ao mecanismo de verificação. Em alguns casos, uma assinatura fornecida anteriormente pode ser removida ou substituída por uma nova assinatura para oferecer melhores capacidades gerais de detecção ou desinfecção. Dependendo do fornecedor de digitalização, as atualizações podem ser oferecidas de hora em hora, ou diariamente, ou às vezes até semanalmente. Grande parte da necessidade de fornecer assinaturas varia de acordo com o tipo de scanner, ou seja, com o que o scanner está encarregado de detectar. Por exemplo, adware e spyware não são tão prolíficos quanto os vírus, portanto, normalmente, um scanner de adware / spyware pode fornecer apenas atualizações de assinatura semanais (ou até com menos frequência). Por outro lado, um antivírus deve enfrentar milhares de novas ameaças descobertas a cada mês e, portanto, atualizações de assinatura devem ser oferecidas pelo menos diariamente. Claro, simplesmente não é prático liberar uma assinatura individual para cada novo vírus descoberto, portanto, os fornecedores de antivírus tendem a lançar em uma programação definida, cobrindo todos os novos malwares que encontraram durante esse período. Se uma ameaça particularmente prevalente ou ameaçadora for descoberta entre suas atualizações agendadas regularmente, os fornecedores irão normalmente analisar o malware, criar a assinatura, testá-la e liberá-la fora de banda (ou seja, lançá-la fora de sua programação normal de atualização ) Para manter o mais alto nível de proteção, configure seu software antivírus para verificar se há atualizações com a freqüência que permitir. Manter as assinaturas atualizadas não garante que um novo vírus nunca vaze, mas o torna muito menos provável.
