Qu’est-ce que la signature virale ?

Dans le domaine des antivirus, une signature de virus est un algorithme ou une fonction de hachage (un nombre dérivé d'une chaîne de texte) qui identifie de manière unique un virus spécifique.

Comment apparaissent les signatures de virus ?

Selon le type de scanner utilisé, la signature du virus peut être un hachage statique (la valeur numérique calculée d'un extrait de code unique au virus), ou, plus rarement, l'algorithme peut être basé sur le comportement. Par exemple, si ce fichier tente de faire quelque chose d'inhabituel, il sera marqué comme suspect et l'utilisateur sera invité à prendre une décision. Selon le fournisseur du logiciel antivirus , une signature de virus peut être appelée signature, fichier de définition ou fichier DAT.

Une signature peut correspondre à un grand nombre de virus. Cela permet au scanner de détecter un virus complètement nouveau qu'il n'a jamais vu auparavant. Cette capacité est souvent appelée détection heuristique ou générique (identification d'un programme ou d'un fichier présentant des fonctionnalités ou un comportement similaire à des programmes nuisibles connus, tels que des chevaux de Troie , des portes dérobées ou des exploits ).

Les signatures de virus peuvent être des fonctions de hachage statiques ou des algorithmes basés sur le comportement

Ceci est moins efficace contre des virus complètement nouveaux, mais est plus efficace pour détecter de nouveaux membres d'une famille de virus connue (une famille de virus est un ensemble de virus partageant de nombreuses caractéristiques communes) et le code est le même).

Cette capacité est très importante, car la plupart des scanners incluent aujourd'hui plus de 250 000 signatures et le nombre de nouveaux virus découverts continue d'augmenter fortement d'année en année.

Nécessite des mises à jour périodiques

Chaque fois qu'un nouveau virus est découvert que la signature actuelle ne peut pas détecter, ou est détectable mais ne peut pas être correctement supprimé, parce que son comportement ne correspond pas entièrement aux menaces établies précédemment connues, il est nécessaire de créer une nouvelle signature.

Une fois la nouvelle signature générée et vérifiée par le fournisseur d'antivirus, elle est fournie au client sous forme de mise à jour de signature. Ces mises à jour ajoutent des capacités de détection au moteur d'analyse. Dans certains cas, les signatures fournies précédemment peuvent être supprimées ou remplacées par de nouvelles signatures pour permettre une meilleure détection ou suppression globale.

Il est nécessaire de mettre à jour périodiquement la base de données de signatures

Selon le fournisseur, les mises à jour peuvent être fournies toutes les heures ou quotidiennement, parfois même chaque semaine. Une grande partie du besoin en matière de fourniture de signatures varie en fonction du type de scanner, c'est-à-dire de ce sur quoi le scanner se concentre sur la détection.

Par exemple, les logiciels publicitaires et les logiciels espions ne sont pas aussi « prolifératifs » que les virus, de sorte que les scanners de logiciels publicitaires/spywares ne peuvent généralement fournir des mises à jour de signatures qu'une fois par semaine (ou même moins souvent). En revanche, un antivirus est confronté chaque mois à des milliers de menaces nouvellement découvertes et les mises à jour des signatures doivent donc être fournies au moins chaque jour.

Bien sûr, il ne serait pas pratique de publier une signature distincte pour chaque virus nouvellement découvert, c'est pourquoi les fournisseurs d'antivirus ont tendance à publier selon un calendrier défini, couvrant tous les nouveaux logiciels malveillants découverts au cours de cette période. Si une menace est particulièrement répandue ou détectée entre des mises à jour régulièrement planifiées, le fournisseur analysera généralement le logiciel malveillant, créera une signature, le testera et le publiera normalement en dehors du calendrier de mise à jour.

Pour maintenir le niveau de protection le plus élevé, configurez votre logiciel antivirus pour vérifier régulièrement les mises à jour. Garder les signatures à jour ne garantit pas qu'un nouveau virus ne sera jamais manqué, mais cela rend moins probable que cela se produise.