Ein bekanntes spezifisches Muster von Virencode wird auch als Virensignatur bezeichnet. Antivirenprogramme können Viren anhand ihrer bekannten Virensignaturen oder Muster des Virencodes erkennen.
Die Virensignatur unterscheidet den Virus von anderen Programmen und ähnelt einem Fingerabdruck, da keine zwei gleich sind. Die Signatur besteht aus bestimmten Code- oder Datenbits, und sobald diese bekannt werden, kann Antivirensoftware das schädliche Programm erkennen und neutralisieren.
Antivirus-Software vergleicht die beim Scannen eines Computersystems gefundenen Dateien mit sogenannten Definitions- oder DAT-Dateien, bei denen es sich im Wesentlichen um Bibliotheken mit Virensignaturen handelt. Daher muss das Antivirenprogramm seine Datenbank mit Definitionsdateien ständig aktualisieren, um ein System vor sich ständig ändernden Online-Bedrohungen schützen zu können.
Antivirus-Software funktioniert, weil dieselbe Virensignatur für mehrere Viren gelten kann. Antivirenprogramme können sogar bisher unbekannte Viren erkennen, einfach weil ihre Signaturen dieselben wie bei bestehenden Versionen sind. Hacker, die Viren erzeugen, haben sogenannte polymorphe Programme entwickelt. Diese können sich ständig ändern, um viele verschiedene Virenprogramme zu erstellen, wobei Bits von Müllcode zum Ausfüllen der Lücken verwendet werden. Selbst bei solch komplexer Codierung gibt es jedoch immer einen konstanten Codekörper innerhalb des Virus, der von geeigneter Antivirensoftware erkannt werden kann.
