Virensignaturen oder Virendefinitionen
Eine Virensignatur (auch als Virendefinition bezeichnet) ist eine Datei oder mehrere Dateien, die von einem Sicherheitsprogramm heruntergeladen werden, um eine Schadsoftware zu identifizieren. Die Dateien ermöglichen die Erkennung von Malware durch Antiviren- (und andere Antimalware-) Software in herkömmlichen Dateiscan- und Erkennungssystemen.
Die Forscher von Security-Firmen untersuchen Schadsoftware, die im Internet zu finden sind, und testen ihr Verhalten häufig in einer Art Sandbox-Umgebung. Bei der Sandbox handelt es sich in der Regel um eine Umgebung auf der Grundlage einer virtuellen Maschine. Analysiert werden das Verhalten, die verwendeten Dateinamen und die eindeutigen Datenstrings in den Dateien.
Kommerzielle Antivirensoftware arbeitet seit geraumer Zeit auf der Basis von Virensignaturen. Um aktuelle Bedrohungen zu erkennen, werden diese Signaturen fortlaufend aktualisiert. Anhand der Signaturen ist die Software dann in der Lage, etwaige Schädlinge beim Scannen der Dateien oder der laufenden Prozesse zu erkennen. Ein Schwachpunkt dieses Ansatzes ist die Erkennung neuer Schadsoftware.
Eine weitere Methode der Virenerkennung ist der Einsatz von Heuristiken. Bei diesen Systemen verwenden Antivirenprogramme Algorithmen, um die Verhaltensmuster zu erkennen, die beim Testen einer bestimmten Schadsoftware durch Forscher gefunden wurden. Starke Heuristiken werden immer wichtiger, da sich fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) durch Verschlüsselung verbergen, um sich der Erkennung durch typische Scans zu entziehen. Metamorphe und polymorphe Viren, die ihren Code bei der Verbreitung verändern, verbergen bösartige Software ebenfalls vor herkömmlichen Scanverfahren.