En el mundo antivirus, una firma es un algoritmo o hash (un número derivado de una cadena de texto) que identifica de forma única un virus específico. Dependiendo del tipo de escáner que se use, puede ser un hash estático que, en su forma más simple, es un valor numérico calculado de un fragmento de código exclusivo del virus. O, menos comúnmente, el algoritmo puede estar basado en el comportamiento, es decir, si este archivo intenta hacer X, Y, Z, marcarlo como sospechoso y pedirle al usuario que tome una decisión. Dependiendo del proveedor de antivirus, una firma puede denominarse firma, archivo de definición o archivo DAT.
Una sola firma puede ser consistente con una gran cantidad de virus. Esto permite que el escáner detecte un virus nuevo que nunca antes había visto. Esta capacidad se conoce comúnmente como heurística o detección genérica. Es menos probable que una detección genérica sea efectiva contra virus completamente nuevos y más efectiva para detectar nuevos miembros de una "familia" de virus ya conocida (una colección de virus que comparten muchas de las mismas características y algunos del mismo código). La capacidad de detección heurística o genérica es significativa, dado que la mayoría de los escáneres ahora incluyen más de 250.000 firmas y el número de nuevos virus que se descubren sigue aumentando dramáticamente año tras año.
La necesidad recurrente de actualizar
Cada vez que se descubre un nuevo virus que no es detectable por una firma existente, o puede ser detectable pero no puede eliminarse adecuadamente porque su comportamiento no es totalmente compatible con las amenazas conocidas anteriormente, se debe crear una nueva firma. Una vez que la nueva firma ha sido creada y probada por el proveedor de antivirus, se envía al cliente en forma de actualizaciones de firmas. Estas actualizaciones agregan la capacidad de detección al motor de escaneo. En algunos casos, una firma proporcionada anteriormente puede ser eliminada o reemplazada por una nueva firma para ofrecer mejores capacidades generales de detección o desinfección.
Dependiendo del proveedor de escaneo, las actualizaciones pueden ofrecerse cada hora, diariamente, o incluso a veces semanalmente Gran parte de la necesidad de proporcionar firmas varía según el tipo de escáner, es decir, con lo que ese escáner se encarga de detectar. Por ejemplo, el software publicitario y el software espía no son tan prolíficos como los virus, por lo que, por lo general, un escáner de software publicitario / software espía solo puede proporcionar actualizaciones semanales de firmas (o incluso menos). A la inversa, un analizador de virus debe enfrentar miles de nuevas amenazas descubiertas cada mes y, por lo tanto, las actualizaciones de firmas deben ofrecerse al menos diariamente.
Por supuesto, simplemente no es práctico lanzar una firma individual para cada nuevo virus descubierto, por lo que los proveedores de antivirus tienden a lanzar en un horario establecido, que cubre todo el nuevo malware que han encontrado durante ese período de tiempo. Si se descubre una amenaza particularmente frecuente o amenazante entre sus actualizaciones programadas regularmente, los proveedores generalmente analizarán el malware, crearán la firma, la probarán y la liberarán fuera de banda (lo que significa, la liberarán fuera de su programa de actualización normal) ).
Para mantener el nivel más alto de protección, configure su software antivirus para buscar actualizaciones con la frecuencia que lo permita. Mantener las firmas actualizadas no garantiza que un nuevo virus nunca se filtre, pero lo hace mucho menos probable.
