In der Antivirus-Welt ist eine Signatur ein Algorithmus oder Hash (eine aus einer Textzeichenfolge abgeleitete Zahl), der einen bestimmten Virus eindeutig identifiziert. Je nach Art des verwendeten Scanners kann es sich um einen statischen Hash handeln, der in seiner einfachsten Form ein berechneter numerischer Wert eines Codefragments ist, das für den Virus eindeutig ist. In selteneren Fällen kann der Algorithmus verhaltensabhängig sein, d. H. Wenn diese Datei X, Y, Z versucht, ihn als verdächtig zu kennzeichnen und den Benutzer zur Entscheidung aufzufordern. Abhängig vom Antivirus-Anbieter kann eine Signatur als Signatur, Definitionsdatei oder DAT-Datei bezeichnet werden.
Eine einzelne Signatur kann mit einer großen Anzahl von Viren konsistent sein. Dadurch kann der Scanner einen brandneuen Virus erkennen, den er noch nie zuvor gesehen hat. Diese Fähigkeit wird allgemein als Heuristik oder generische Erkennung bezeichnet. Eine generische Erkennung ist weniger wirksam gegen völlig neue Viren und wirksamer bei der Erkennung neuer Mitglieder einer bereits bekannten Virusfamilie (einer Sammlung von Viren, die viele der gleichen Merkmale und zum Teil denselben Code aufweisen). Die Fähigkeit, heuristisch oder generisch zu erkennen, ist bedeutsam, da die meisten Scanner jetzt mehr als 250.000 Signaturen enthalten und die Anzahl der neu entdeckten Viren von Jahr zu Jahr dramatisch ansteigt.
Die immer wiederkehrende Notwendigkeit zur Aktualisierung
Jedes Mal, wenn ein neuer Virus entdeckt wird, der von einer vorhandenen Signatur nicht erkannt werden kann oder möglicherweise erkannt wird, aber nicht ordnungsgemäß entfernt werden kann, da sein Verhalten nicht vollständig mit zuvor bekannten Bedrohungen übereinstimmt, muss eine neue Signatur erstellt werden. Nachdem die neue Signatur vom Antivirenhersteller erstellt und getestet wurde, wird sie in Form von Signaturaktualisierungen an den Kunden weitergeleitet. Diese Aktualisierungen erweitern die Erkennungsfunktion um das Scanmodul. In einigen Fällen kann eine zuvor bereitgestellte Signatur entfernt oder durch eine neue Signatur ersetzt werden, um bessere Erkennungs- oder Desinfektionsfunktionen zu bieten.
Abhängig vom Scan-Anbieter können Updates stündlich oder täglich oder manchmal sogar wöchentlich angeboten werden. Ein großer Teil der Notwendigkeit, Signaturen bereitzustellen, hängt von der Art des Scanners ab, d. H. Von dem, was dieser Scanner mit der Erkennung belastet. Adware und Spyware sind beispielsweise bei weitem nicht so reichhaltig wie Viren. Daher kann ein Adware / Spyware-Scanner normalerweise nur wöchentliche Signatur-Updates (oder sogar weniger) bereitstellen. Umgekehrt muss ein Virenscanner mit Tausenden von neuen Bedrohungen kämpfen, die jeden Monat entdeckt werden. Daher sollten Signaturaktualisierungen mindestens täglich angeboten werden.
Natürlich ist es einfach nicht praktikabel, für jedes neu entdeckte Virus eine eigene Signatur zu veröffentlichen. Daher neigen Antivirenanbieter dazu, einen festgelegten Zeitplan zu veröffentlichen, der alle neuen Malware-Programme abdeckt, die während dieses Zeitraums aufgetreten sind. Wenn eine besonders häufige oder bedrohliche Bedrohung zwischen ihren regelmäßig geplanten Updates entdeckt wird, analysieren die Hersteller normalerweise die Malware, erstellen die Signatur, testen sie und geben sie außerhalb des Bandes frei (dh sie geben sie außerhalb ihres normalen Updatezeitplans frei) ).
Um den höchsten Schutz zu gewährleisten, konfigurieren Sie Ihre Antivirensoftware so oft wie möglich nach Updates. Wenn Sie die Signaturen auf dem neuesten Stand halten, kann dies nicht garantieren, dass ein neuer Virus niemals durchschlägt, aber er ist weitaus unwahrscheinlicher.
