Firma de virus (definición de virus)

Una firma de virus (también conocida como definición de virus) es un archivo o varios archivos que un programa de seguridad descarga para identificar un virus informático.

Los archivos permiten la detección de malware por parte del software antivirus (y otro antimalware) en los sistemas convencionales de detección de violaciones y escaneo de archivos.

Los investigadores de las empresas de antivirus estudian los virus que se encuentran comúnmente en Internet, a menudo probando su comportamiento en una configuración de tipo sandbox. El sandbox es generalmente un entorno basado en máquinas virtuales. Se analizan el comportamiento, los nombres de archivo utilizados y las cadenas de datos únicas en los archivos.

Las utilidades antivirus comerciales han dependido durante mucho tiempo de las definiciones de virus. El software de seguridad descarga con frecuencia los archivos para que el software pueda detectar las amenazas actuales. Los archivos se utilizan para actualizar los criterios de detección de archivos en las exploraciones del disco duro y las comprobaciones de los procesos en ejecución. La principal debilidad de las firmas de virus es la detección de nuevos virus.

Otro método de detección de virus es el uso de heurísticas. En estos sistemas, los programas antivirus utilizan algoritmos para detectar los patrones de comportamiento que se encontraron cuando los investigadores probaron un virus específico. Las heurísticas sólidas se están volviendo cada vez más importantes debido a las amenazas persistentes avanzadas, que se ocultan mediante el cifrado para evadir la detección mediante análisis típicos. Los virus metamórficos y polimóficos, que cambian su código durante la propagación, también ocultan software malicioso de los procesos de escaneo convencionales.