No mundo dos antivírus, uma assinatura é um algoritmo ou hash (um número derivado de uma cadeia de texto) que identifica exclusivamente um vírus específico. Dependendo do tipo de scanner usado, ele pode ser um hash estático que, em sua forma mais simples, é um valor numérico calculado de um snippet de código exclusivo do vírus. Ou, menos comumente, o algoritmo pode ser baseado em comportamento, ou seja, se esse arquivo tentar fazer X, Y, Z, sinalize como suspeito e solicite uma decisão ao usuário. Dependendo do fornecedor do antivírus, uma assinatura pode ser referida como uma assinatura, um arquivo de definição ou um arquivo DAT.
Uma única assinatura pode ser consistente com um grande número de vírus. Isso permite que o scanner detecte um novo vírus que nunca viu antes. Essa habilidade é comumente referida como heurística ou detecção genérica. É menos provável que uma detecção genérica seja eficaz contra vírus completamente novos e mais eficaz na detecção de novos membros de uma 'família' de vírus já conhecida (uma coleção de vírus que compartilha muitas das mesmas características e alguns do mesmo código). A capacidade de detectar heuristicamente ou genericamente é significativa, uma vez que a maioria dos scanners agora inclui mais de 250 mil assinaturas e o número de novos vírus sendo descobertos continua a aumentar dramaticamente ano após ano.
A necessidade recorrente de atualização
Cada vez que um novo vírus é descoberto e não é detectável por uma assinatura existente, ou pode ser detectado, mas não pode ser removido corretamente porque seu comportamento não é totalmente consistente com as ameaças conhecidas anteriormente, uma nova assinatura deve ser criada. Depois que a nova assinatura foi criada e testada pelo fornecedor do antivírus, ela é enviada ao cliente na forma de atualizações de assinatura. Essas atualizações adicionam o recurso de detecção ao mecanismo de verificação. Em alguns casos, uma assinatura fornecida anteriormente pode ser removida ou substituída por uma nova assinatura para oferecer melhores recursos gerais de detecção ou desinfecção.
Dependendo do fornecedor de digitalização, as atualizações podem ser oferecidas por hora, diariamente ou às vezes até semanalmente. Grande parte da necessidade de fornecer assinaturas varia com o tipo de scanner, ou seja, com o que esse scanner está encarregado de detectar. Por exemplo, adware e spyware não são tão prolíficos quanto os vírus, assim, normalmente, um verificador de adware / spyware pode fornecer apenas atualizações semanais de assinaturas (ou até menos frequentemente). Por outro lado, um scanner de vírus deve lidar com milhares de novas ameaças descobertas a cada mês e, portanto, as atualizações de assinaturas devem ser oferecidas pelo menos diariamente.
É claro que não é prático liberar uma assinatura individual para cada novo vírus descoberto, portanto, os fornecedores de antivírus tendem a lançar um cronograma definido, cobrindo todo o novo malware que encontraram durante esse período. Se uma ameaça particularmente prevalecente ou ameaçadora for descoberta entre as atualizações agendadas regularmente, os fornecedores normalmente analisarão o malware, criarão a assinatura, testarão e liberarão o malware fora de banda (ou seja, liberá-lo fora de sua programação de atualização normal ).
Para manter o mais alto nível de proteção, configure seu software antivírus para verificar as atualizações com a frequência que permitir. Manter as assinaturas atualizadas não garante que um novo vírus seja transmitido, mas é muito menos provável.
