Trong lĩnh vực diệt virus, virus signature (chữ ký virus) là một thuật toán hay hàm hash (một số có nguồn gốc từ chuỗi văn bản) xác định duy nhất một loại virus cụ thể.
Virus signature xuất hiện như thế nào?
Tùy thuộc vào loại trình quét đang được sử dụng, virus signature có thể là hàm hash tĩnh (giá trị số được tính toán của một snippet code duy nhất cho virus), hoặc ít phổ biến hơn, thuật toán có thể dựa trên hành vi. Ví dụ, nếu file này cố gắng làm điều gì đó bất thường, nó sẽ bị đánh dấu là đáng ngờ và người dùng được nhắc đưa ra quyết định. Tùy thuộc vào nhà cung cấp phần mềm diệt virus, virus signature có thể được gọi là chữ ký, file định nghĩa hoặc file DAT.
Một chữ ký có thể phù hợp với số lượng lớn virus. Điều này cho phép trình quét phát hiện một loại virus hoàn toàn mới mà nó chưa từng thấy trước đây. Khả năng này thường được gọi là heuristic hoặc generic detection (xác định một chương trình hoặc file có các tính năng hoặc hành vi tương tự như những chương trình gây hại đã biết, chẳng hạn như trojan, backdoor hoặc exploit).
Điều này rất ít hiệu quả trong việc chống lại các virus hoàn toàn mới, nhưng phát huy tác dụng tốt hơn trong việc phát hiện những thành viên mới của một họ virus đã biết (họ virus là tập hợp các virus có chung nhiều đặc điểm và code giống nhau).
Khả năng này có ý nghĩa rất quan trọng, vì hầu hết các trình quét hiện nay bao gồm hơn 250.000 chữ ký và số lượng virus mới được phát hiện tiếp tục tăng mạnh sau mỗi năm.
Cần cập nhật định kỳ
Mỗi khi phát hiện ra một loại virus mới mà chữ ký hiện tại không thể phát hiện được, hoặc có thể phát hiện được nhưng không thể loại bỏ đúng cách, vì hành vi của nó không hoàn toàn phù hợp với các mối đe dọa đã biết trước đó, cần phải tạo một chữ ký mới.
Sau khi chữ ký mới được tạo ra và kiểm tra bởi nhà cung cấp công cụ chống virus, nó được đưa đến cho khách hàng dưới dạng cập nhật chữ ký. Những cập nhật này thêm khả năng phát hiện cho công cụ quét. Trong một số trường hợp, chữ ký được cung cấp trước đó có thể được xóa hoặc thay thế bằng chữ ký mới để cung cấp khả năng phát hiện hoặc loại bỏ tổng thể tốt hơn.
Tùy thuộc vào nhà cung cấp, việc cập nhật có thể được cung cấp hàng giờ hoặc hàng ngày, đôi khi thậm chí hàng tuần. Phần lớn nhu cầu cung cấp chữ ký sẽ thay đổi tùy theo loại trình quét, tức là trình quét đó chú trọng vào việc phát hiện thứ gì.
Ví dụ, phần mềm quảng cáo và phần mềm gián điệp gần như không “sinh sôi nảy nở” như virus, do đó, thông thường, trình quét phần mềm quảng cáo/phần mềm gián điệp chỉ có thể cung cấp cập nhật chữ ký hàng tuần (hoặc thậm chí ít thường xuyên hơn). Ngược lại, một trình quét virus phải đối mặt với hàng ngàn mối đe dọa mới được phát hiện mỗi tháng và do đó, việc cập nhật chữ ký nên được cung cấp tối thiểu là mỗi ngày.
Tất nhiên, sẽ không thực tế khi phát hành một chữ ký riêng cho mỗi loại virus mới được phát hiện, do đó, các nhà cung cấp phần mềm chống virus có xu hướng phát hành theo lịch trình đã đặt, bao gồm tất cả những phần mềm độc hại mới được phát hiện trong khung thời gian đó. Nếu một mối đe dọa đặc biệt phổ biến hoặc được phát hiện giữa các bản cập nhật đã lên lịch thường xuyên, nhà cung cấp thường sẽ phân tích phần mềm độc hại, tạo chữ ký, kiểm tra và phát hành ra ngoài lịch cập nhật thông thường.
Để duy trì mức bảo vệ cao nhất, hãy cấu hình để phần mềm diệt virus kiểm tra các bản cập nhật thường xuyên. Giữ cho các chữ ký được cập nhật không đảm bảo một loại virus mới sẽ không bao giờ bị bỏ qua, nhưng làm cho điều này ít có khả năng xảy ra hơn.