Qu'est-ce qu'une signature de virus ?

Dans le monde antivirus, une signature de virus est un algorithme ou un hachage (un nombre dérivé d'une chaîne de texte) qui identifie de manière unique un virus.

Comment les signatures de virus apparaissent-elles?

Selon le type de scanner utilisé, il peut s'agir d'un hachage statique, qui est une valeur numérique calculée d'un extrait de code unique au virus. Ou, moins fréquemment, l'algorithme peut être basé sur le comportement; si, par exemple, ce fichier essaie de faire quelque chose de douteux, il est signalé comme suspect et l'utilisateur est invité à prendre une décision. Selon le fournisseur d'antivirus, une signature peut être appelée signature, fichier de définition ou fichier DAT.

Une seule signature peut être cohérente avec un grand nombre de virus. Cela permet au scanner de détecter un tout nouveau virus qu'il n'a jamais vu auparavant. Cette capacité est communément appelée heuristique ou détection générique.

Une détection générique est moins susceptible d'être efficace contre des virus complètement nouveaux et plus efficace pour détecter de nouveaux membres d'une « famille » de virus déjà connue (une collection de virus qui partagent bon nombre des mêmes caractéristiques et certaines des mêmes code).

La capacité à détecter de manière heuristique ou générique est importante, étant donné que la plupart des scanners incluent désormais plus de de 250 000 signatures et le nombre de nouveaux virus découverts continue d'augmenter considérablement année après année.

Le besoin récurrent de mise à jour

Chaque fois qu'un nouveau virus est découvert qui n'est pas détectable par une signature existante, ou pourrait être détectable mais ne peut pas être correctement supprimée car son comportement n'est pas totalement cohérent avec les menaces connues auparavant, une nouvelle signature doit être créé. Une fois la nouvelle signature créée et testée par le fournisseur d'antivirus, elle est transmise au client sous la forme de mises à jour de signature. Ces mises à jour ajoutent la capacité de détection au moteur d'analyse. Dans certains cas, une signature précédemment fournie peut être supprimée ou remplacée par une nouvelle signature pour offrir de meilleures capacités globales de détection ou de désinfection.

Selon le fournisseur d'analyses, les mises à jour peuvent être proposées toutes les heures, tous les jours ou parfois même toutes les semaines. Une grande partie de la nécessité de fournir des signatures varie selon le type de scanner, c'est-à-dire avec ce que ce scanner est chargé de détecter. Par exemple, les logiciels publicitaires et les logiciels espions ne sont pas aussi prolifiques que les virus, donc généralement un logiciel publicitaire/scanner de logiciels espions peut fournir uniquement des mises à jour hebdomadaires des signatures (ou même moins souvent). A l'inverse, un antivirus doivent faire face à des milliers de nouvelles menaces découvertes chaque mois et, par conséquent, des mises à jour des signatures doivent être proposées au moins quotidiennement.

Bien sûr, il n'est tout simplement pas pratique de publier une signature individuelle pour chaque nouveau virus découvert, donc antivirus les fournisseurs ont tendance à publier selon un calendrier défini, couvrant tous les nouveaux logiciels malveillants qu'ils ont rencontrés pendant cette période Cadre. Si une menace particulièrement répandue ou menaçante est découverte entre leurs mises à jour régulières, les fournisseurs analyser le malware, créer la signature, la tester et la publier hors bande (ce qui signifie, la publier en dehors de leur mise à jour normale calendrier).

Pour maintenir le plus haut niveau de protection, configurez votre Logiciel antivirus pour vérifier les mises à jour aussi souvent que cela le permet. Garder les signatures à jour ne garantit pas qu'un nouveau virus ne passera jamais, mais cela le rend beaucoup moins probable.