In de antiviruswereld is een handtekening een algoritme of hash (een nummer dat is afgeleid van een reeks tekst) die een specifiek virus op unieke wijze identificeert. Afhankelijk van het type scanner dat wordt gebruikt, kan het een statische hash zijn die, in de eenvoudigste vorm, een berekende numerieke waarde is van een codefragment dat uniek is voor het virus. Of, minder vaak, kan het algoritme op gedrag zijn gebaseerd, d.w.z. als dit bestand X, Y, Z probeert te doen, markeer het als verdacht en vraag de gebruiker om een beslissing. Afhankelijk van de leverancier van het antivirusprogramma, kan een handtekening worden aangeduid als een handtekening, een definitiebestand of een DAT-bestand.
Een enkele handtekening kan consistent zijn met een groot aantal virussen. Hierdoor kan de scanner een gloednieuw virus detecteren dat nog nooit eerder is gezien. Dit vermogen wordt gewoonlijk heuristiek of generieke detectie genoemd. Een generieke detectie is minder waarschijnlijk effectief tegen volledig nieuwe virussen en effectiever bij het detecteren van nieuwe leden van een reeds bekende virusfamilie (een verzameling virussen die veel van dezelfde kenmerken en een deel van dezelfde code delen). Het vermogen om heuristisch of generiek te detecteren is aanzienlijk, aangezien de meeste scanners nu meer dan 250.000 handtekeningen bevatten en het aantal nieuwe virussen dat wordt ontdekt, jaar na jaar dramatisch blijft stijgen.
De terugkerende noodzaak om te updaten
Telkens wanneer een nieuw virus wordt ontdekt dat niet door een bestaande handtekening kan worden gedetecteerd of dat kan worden gedetecteerd maar niet correct kan worden verwijderd, omdat het gedrag niet volledig consistent is met eerder bekende bedreigingen, moet een nieuwe handtekening worden gemaakt. Nadat de nieuwe handtekening is gemaakt en getest door de antivirus-leverancier, wordt deze naar de klant geduwd in de vorm van handtekeningupdates. Deze updates voegen de detectiemogelijkheid toe aan de scanengine. In sommige gevallen kan een eerder verstrekte handtekening worden verwijderd of vervangen door een nieuwe handtekening om betere algemene detectie- of desinfectiemogelijkheden te bieden.
Afhankelijk van de scannervennootschap kunnen updates elk uur worden aangeboden, of dagelijks of soms zelfs wekelijks. Veel van de behoefte aan het verschaffen van handtekeningen varieert met het type scanner dat het is, dat wil zeggen met wat die scanner is geladen met het detecteren. Adware en spyware zijn bijvoorbeeld lang niet zo productief als virussen, dus meestal geeft een adware / spyware-scanner alleen wekelijkse handtekeningenupdates (of nog minder vaak). Omgekeerd moet een virusscanner worstelen met duizenden nieuwe bedreigingen die elke maand worden ontdekt en daarom moeten ten minste dagelijks signatuurupdates worden aangeboden.
Natuurlijk is het eenvoudigweg niet praktisch om een individuele handtekening vrij te geven voor elk nieuw ontdekt virus, waardoor antivirus-leveranciers de neiging hebben om volgens een vastgesteld schema vrij te geven, met alle nieuwe malware die ze in die periode tegenkwamen. Als een veel voorkomende of dreigende bedreiging wordt ontdekt tussen hun regelmatig geplande updates, zullen de leveranciers meestal de malware analyseren, de handtekening maken, testen en out-of-band vrijgeven (wat betekent dat ze buiten hun normale updateschema worden vrijgegeven) ).
Om het hoogste beveiligingsniveau te handhaven, configureert u uw antivirussoftware zo vaak als nodig is om updates te controleren. Het up-to-date houden van de handtekeningen garandeert niet dat een nieuw virus er nooit doorheen zal glippen, maar het maakt het veel minder waarschijnlijk.
