В антивирусном мире сигнатура вируса — это алгоритм или хэш (число, полученное из текстовой строки), который однозначно идентифицирует конкретный вирус.
Как появляются вирусные сигнатуры?
В зависимости от типа используемого сканера это может быть статический хеш, который представляет собой вычисленное числовое значение фрагмента кода, уникального для вируса. Или, реже, алгоритм может быть основан на поведении; если, например, этот файл пытается сделать что-то сомнительное, он помечается как подозрительный, и пользователю предлагается принять решение. В зависимости от поставщика антивируса подпись может называться подписью, файлом определения или файлом DAT.
Одна подпись может соответствовать большому количеству вирусов. Это позволяет сканеру обнаруживать совершенно новый вирус, который он никогда раньше не видел. Эту способность обычно называют эвристикой или общим обнаружением.
Общее обнаружение с меньшей вероятностью будет эффективно против совершенно новых вирусов и более эффективно при обнаружении новых членов уже известного «семейства» вирусов (совокупности вирусов, которые обладают многими одинаковыми характеристиками и одним и тем же кодом).
Способность обнаруживать эвристически или обобщенно важна, учитывая, что большинство сканеров в настоящее время содержат более 250 тыс. Подписей, и число обнаруживаемых новых вирусов продолжает резко расти год за годом.
Повторяющаяся необходимость обновления
Каждый раз, когда обнаруживается новый вирус, который не может быть обнаружен существующей подписью или может быть обнаружим, но не может быть надлежащим образом удален, поскольку его поведение не полностью соответствует ранее известным угрозам, должна быть создана новая подпись. После того, как новая подпись была создана и протестирована поставщиком антивирусных программ, она отправляется заказчику в виде обновлений подписи. Эти обновления добавляют возможность обнаружения в механизм сканирования. В некоторых случаях ранее предоставленная подпись может быть удалена или заменена новой подписью, чтобы улучшить общие возможности обнаружения или дезинфекции.
В зависимости от поставщика сканирования обновления могут предлагаться ежечасно, ежедневно, а иногда даже еженедельно. Большая часть необходимости предоставлять подписи зависит от типа сканера, то есть от того, за что этот сканер отвечает за обнаружение. Например, рекламное и шпионское ПО не так плодовито, как вирусы, поэтому, как правило, сканер рекламного и шпионского ПО может предоставлять только еженедельные обновления сигнатур (или даже реже). И наоборот, антивирусный сканер должен бороться с тысячами новых угроз, обнаруживаемых каждый месяц, и, следовательно, обновления сигнатур должны предлагаться как минимум ежедневно.
Конечно, выпускать индивидуальную подпись для каждого нового обнаруженного вируса просто нецелесообразно, поэтому производители антивирусов обычно выпускают их по заданному расписанию, покрывая все новые вредоносные программы, с которыми они столкнулись в течение этого периода времени. Если между их регулярно запланированными обновлениями обнаруживается особенно распространенная или угрожающая угроза, поставщики обычно анализируют вредоносное ПО, создают сигнатуру, проверяют ее и выпускают вне ее (то есть выпускают ее вне своего обычного графика обновления). ).
Чтобы поддерживать наивысший уровень защиты, настройте антивирусное программное обеспечение так, чтобы оно проверяло обновления как можно чаще. Поддержание подписей в актуальном состоянии не гарантирует, что новый вирус никогда не проскользнет, но делает его гораздо менее вероятным.
