¿Qué es una firma de virus?

En el mundo de los antivirus, una firma de virus es un algoritmo o hash (un número derivado de una cadena de texto) que identifica de forma única un virus.

¿Cómo aparecen las firmas de virus?

Dependiendo del tipo de escáner que se utilice, puede ser un hash estático, que es un valor numérico calculado de un fragmento de código exclusivo del virus. O, con menos frecuencia, el algoritmo puede basarse en el comportamiento; Si, por ejemplo, este archivo intenta hacer algo dudoso, se marca como sospechoso y se le pide al usuario que tome una decisión. Dependiendo del proveedor de antivirus, una firma puede denominarse firma, archivo de definición o Archivo DAT.

Una sola firma puede ser compatible con una gran cantidad de virus. Esto permite que el escáner detecte un virus nuevo que nunca antes había visto. Esta capacidad se conoce comúnmente como heurística o detección genérica.

Es menos probable que una detección genérica sea eficaz contra virus completamente nuevos y más eficaz para detectar nuevos miembros. de una 'familia' de virus ya conocida (una colección de virus que comparten muchas de las mismas características y algunas de las mismas código).

La capacidad de detectar heurística o genéricamente es significativa, dado que la mayoría de los escáneres ahora incluyen un exceso de 250.000 firmas y el número de nuevos virus que se descubren sigue aumentando drásticamente un año después año.

La necesidad recurrente de actualizar

Cada vez que se descubre un nuevo virus que no es detectable por una firma existente, o que podría detectarse pero no puede ser eliminado correctamente debido a que su comportamiento no es totalmente coherente con las amenazas conocidas anteriormente, una nueva firma debe ser creado. Una vez que el proveedor de antivirus ha creado y probado la nueva firma, se envía al cliente en forma de actualizaciones de firmas. Estas actualizaciones agregan la capacidad de detección al motor de análisis. En algunos casos, una firma proporcionada anteriormente puede eliminarse o reemplazarse por una nueva firma para ofrecer mejores capacidades generales de detección o desinfección.

Dependiendo del proveedor de escaneo, las actualizaciones se pueden ofrecer cada hora, diariamente o, a veces, incluso semanalmente. Gran parte de la necesidad de proporcionar firmas varía según el tipo de escáner que sea, es decir, con lo que ese escáner se encarga de detectar. Por ejemplo, el adware y el spyware no son tan prolíficos como los virus, por lo que suelen ser un adware /escáner de software espía puede que solo proporcione actualizaciones semanales de firmas (o incluso con menos frecuencia). Por el contrario, un escáner de virus debe lidiar con miles de nuevas amenazas descubiertas cada mes y, por lo tanto, las actualizaciones de firmas deben ofrecerse al menos una vez al día.

Por supuesto, simplemente no es práctico publicar una firma individual para cada nuevo virus descubierto, por lo que el antivirus Los proveedores tienden a lanzar en un horario establecido, cubriendo todo el nuevo malware que han encontrado durante ese tiempo. cuadro. Si se descubre una amenaza particularmente prevalente o amenazante entre sus actualizaciones programadas regularmente, los proveedores normalmente analizar el malware, crear la firma, probarlo y liberarlo fuera de banda (lo que significa, liberarlo fuera de su actualización normal calendario).

Para mantener el nivel más alto de protección, configure su software antivirus para buscar actualizaciones tan a menudo como lo permita. Mantener las firmas actualizadas no garantiza que un nuevo virus nunca se filtre, pero lo hace mucho menos probable.