Nel mondo antivirus, una firma è un algoritmo o un hash (un numero derivato da una stringa di testo) che identifica in modo univoco un virus specifico. A seconda del tipo di scanner utilizzato, potrebbe trattarsi di un hash statico che, nella sua forma più semplice, è un valore numerico calcolato di uno snippet di codice univoco per il virus. O, meno comunemente, l'algoritmo può essere basato sul comportamento, cioè se questo file tenta di fare X, Y, Z, segnalarlo come sospetto e richiedere all'utente una decisione. A seconda del fornitore di antivirus, una firma può essere indicata come una firma, un file di definizione o un file DAT.
Una singola firma può essere coerente con un gran numero di virus. Ciò consente allo scanner di rilevare un virus nuovo di zecca mai visto prima. Questa capacità è comunemente indicata come euristica o rilevamento generico. Un rilevamento generico ha meno probabilità di essere efficace contro virus completamente nuovi e più efficace nel rilevare nuovi membri di una "famiglia" di virus già nota (una raccolta di virus che condividono molte delle stesse caratteristiche e parte dello stesso codice). La capacità di rilevare euristicamente o genericamente è significativa, dato che la maggior parte degli scanner ora include oltre 250k di firme e il numero di nuovi virus scoperti continua ad aumentare drammaticamente anno dopo anno.
Il ricorrente deve essere aggiornato
Ogni volta che viene rilevato un nuovo virus che non è rilevabile da una firma esistente o può essere rilevabile ma non può essere rimosso correttamente perché il suo comportamento non è del tutto coerente con le minacce note in precedenza, è necessario creare una nuova firma. Dopo che la nuova firma è stata creata e testata dal fornitore di antivirus, viene inviata al cliente sotto forma di aggiornamenti delle firme. Questi aggiornamenti aggiungono la capacità di rilevamento al motore di scansione. In alcuni casi, una firma fornita in precedenza potrebbe essere rimossa o sostituita con una nuova firma per offrire migliori capacità di rilevamento o disinfezione complessive.
A seconda del fornitore di scansione, gli aggiornamenti possono essere offerti ogni ora o giornalmente o, talvolta, anche settimanalmente. Gran parte della necessità di fornire firme varia a seconda del tipo di scanner che è, cioè con ciò che lo scanner è incaricato di rilevare. Ad esempio, adware e spyware non sono altrettanto prolifici dei virus, quindi in genere uno scanner adware / spyware può fornire solo aggiornamenti settimanali delle firme (o anche meno spesso). Al contrario, uno scanner antivirus deve fare i conti con migliaia di nuove minacce scoperte ogni mese e, pertanto, gli aggiornamenti delle firme dovrebbero essere offerti almeno giornalmente.
Naturalmente, non è semplicemente pratico rilasciare una firma individuale per ogni nuovo virus scoperto, quindi i produttori di antivirus tendono a rilasciare in base a una pianificazione prestabilita, coprendo tutto il nuovo malware che hanno incontrato durante quel periodo di tempo. Se viene rilevata una minaccia particolarmente diffusa o minacciosa tra gli aggiornamenti pianificati regolarmente, i fornitori analizzeranno in genere il malware, creeranno la firma, la testeranno e la rilasciano fuori banda (il che significa che lo rilasceranno al di fuori del normale programma di aggiornamento ).
Per mantenere il più alto livello di protezione, configura il tuo software antivirus per verificare la disponibilità di aggiornamenti tutte le volte che consentirà. Mantenere aggiornate le firme non garantisce che un nuovo virus non sfugga mai, ma lo rende molto meno probabile.
