Dans le monde antivirus, une signature est un algorithme ou un hachage (un nombre dérivé d'une chaîne de texte) identifiant de manière unique un virus spécifique. Selon le type de scanner utilisé, il peut s'agir d'un hachage statique qui, dans sa forme la plus simple, est une valeur numérique calculée d'un extrait de code unique du virus. Ou, moins fréquemment, l’algorithme peut être basé sur le comportement, c’est-à-dire que si ce fichier tente d’exécuter X, Y, Z, le marque comme suspect et invite l’utilisateur à prendre une décision. Selon le fournisseur d'antivirus, une signature peut être appelée signature, fichier de définition ou fichier DAT.
Une signature unique peut être compatible avec un grand nombre de virus. Cela permet au scanner de détecter un nouveau virus qu’il n’a jamais vu auparavant. Cette capacité est communément appelée heuristique ou détection générique. Une détection générique a moins de chances d'être efficace contre des virus complètement nouveaux et plus efficace pour détecter de nouveaux membres d'une "famille" de virus déjà connue (une collection de virus partageant plusieurs des mêmes caractéristiques et une partie du même code). La capacité à détecter de manière heuristique ou générique est importante, étant donné que la plupart des scanneurs incluent désormais plus de 250 000 signatures et que le nombre de nouveaux virus découverts continue d’augmenter de façon spectaculaire année après année.
Le besoin récurrent de mise à jour
Chaque fois qu'un nouveau virus est détecté, non détectable par une signature existante, ou peut être détectable mais ne peut pas être supprimé correctement car son comportement n'est pas totalement cohérent avec les menaces connues, une nouvelle signature doit être créée. Une fois la nouvelle signature créée et testée par le fournisseur d’antivirus, elle est transmise au client sous la forme de mises à jour de signature. Ces mises à jour ajoutent la capacité de détection au moteur d'analyse. Dans certains cas, une signature précédemment fournie peut être supprimée ou remplacée par une nouvelle signature afin d'offrir de meilleures capacités de détection ou de désinfection.
Selon le fournisseur de numérisation, les mises à jour peuvent être proposées toutes les heures, tous les jours, voire parfois toutes les semaines. Le besoin de signatures dépend en grande partie du type de scanner utilisé, c’est-à-dire de ce que ce scanner est chargé de détecter. Par exemple, les logiciels publicitaires et les logiciels espions ne sont pas aussi prolifiques que les virus. Par conséquent, un scanner de logiciels publicitaires / espions ne peut fournir que des mises à jour hebdomadaires des signatures (ou même moins souvent). À l'inverse, un logiciel antivirus doit gérer des milliers de nouvelles menaces découvertes chaque mois. Par conséquent, les mises à jour de signatures doivent être proposées au moins une fois par jour.
Bien sûr, il n’est tout simplement pas pratique de publier une signature individuelle pour chaque nouveau virus découvert. Les éditeurs d’antivirus ont donc tendance à publier selon un calendrier défini, couvrant tous les nouveaux programmes malveillants qu’ils ont rencontrés au cours de cette période. Si une menace particulièrement répandue ou menaçante est découverte entre leurs mises à jour régulières, les fournisseurs analysent généralement le logiciel malveillant, créent la signature, la testent et la publient en dehors de la bande (autrement dit, sortez-le en dehors de la planification de mise à jour normale). ).
Pour maintenir le niveau de protection le plus élevé, configurez votre logiciel antivirus pour qu'il recherche les mises à jour aussi souvent qu'il le permet. Garder les signatures à jour ne garantit pas qu'un nouveau virus ne passera jamais, mais cela le rend beaucoup moins probable.
