Cada virus tiene características únicas en su código. Las empresas antivirus analizan estos virus y extraen estos fragmentos de código únicos (las firmas). Cuando se escanea un nuevo archivo, el software antivirus compara el contenido del archivo con su base de datos de firmas de virus conocidas. Si se encuentra una coincidencia, el software marca el archivo como infectado.
Es importante tener en cuenta que:
* Las firmas no son infalibles: El malware sofisticado puede ser polimórfico (cambiando su código para evitar la detección) o metamórfica (reorganizando por completo su código mientras mantiene la funcionalidad). Estas técnicas hacen que la detección basada en la firma sea menos efectiva.
* Expotes de día cero: Se crean firmas * después de * se descubre un virus. Esto significa que los nuevos virus (exploits de día cero) pueden evadir inicialmente la detección hasta que sus firmas se agregan a las bases de datos antivirus.
* Huristics and Behavioral Analysis: El software antivirus moderno también se basa en la heurística (análisis del comportamiento del código) y el análisis de comportamiento (acciones de monitoreo del programa) además de la detección basada en la firma para combatir estas limitaciones. Estas técnicas ayudan a detectar incluso malware desconocido.
En resumen, una firma de virus es un elemento crucial en la detección de antivirus, pero es solo una pieza de un sistema más grande y complejo.