Un patrón específico conocido de código de virus también se conoce como la firma de virus. Los programas antivirus pueden detectar virus por sus firmas de virus conocidas o patrones de código de virus.
La firma del virus es lo que distingue al virus de otros programas, y es similar a una huella digital ya que no hay dos iguales. La firma consta de bits específicos de código o datos y, a medida que se conocen, el software antivirus puede detectar y neutralizar el programa dañino.
El software antivirus funciona al comparar los archivos que encuentra mientras analiza un sistema informático con lo que se conoce como archivos de definición o DAT, que son esencialmente bibliotecas que contienen firmas de virus. Como tal, el programa antivirus necesita actualizar constantemente su base de datos de archivos de definición para poder proteger un sistema contra las amenazas en línea que cambian constantemente.
El software antivirus funciona porque la misma firma de virus puede aplicarse a varios virus. Los programas antivirus pueden incluso detectar virus desconocidos anteriormente simplemente porque sus firmas son las mismas que las versiones existentes. Los hackers que crean virus han desarrollado lo que se conoce como programas polimórficos. Estos pueden cambiar constantemente para crear muchos programas de virus diferentes, utilizando bits de código basura para completar los espacios en blanco. Sin embargo, incluso con una codificación tan compleja, siempre hay un cuerpo de código constante dentro del virus que puede ser detectado por el software antivirus apropiado.
