Los diferentes paquetes de software antivirus tienen diferentes capacidades y mecanismos de detección. Prácticamente todos admiten lo que se denomina un mecanismo basado en firmas, donde una serie particular de bytes sirve como una huella dactilar que activa una detección positiva.
Es importante entender que el uso de la palabra "firma" es completamente diferente a una firma digital, que es un valor criptográfico que demuestra matemáticamente el origen de un documento digital. Un archivo AV de cadenas de detección de malware debe denominarse más adecuadamente "archivo de huellas dactilares de virus" o "lista negra de huellas dactilares de virus", pero la palabra sign se utilizó hace mucho tiempo y se atascó.
El software de AV utiliza firmas digitales reales, sin embargo, para validar que sus archivos de actualización no han sido manipulados.
El problema con las cadenas de detección es que son estáticas. Si un autor de malware se da cuenta de que su código es detectable, solo cambia un poco su código, lo que cambia las huellas dactilares y hace que ya no esté en la lista negra.
Para ayudar con esto, el software AV también suele utilizar heurísticas, que es la lógica que detecta el comportamiento típico de un virus. Tal comportamiento podría ser "intentar actuar como un depurador" o "instalar un gancho en un programa diferente". Cualquier software que intente realizar estas actividades podría desencadenar una advertencia de detección. Las heurísticas son una buena adición porque pueden trabajar en nuevos virus que nunca se han inventado aún.
Sin embargo, mejores que la detección de malware, son herramientas AV que utilizan listas blancas de aplicaciones. Estos programas simplemente se negarán a permitir que se ejecute una aplicación que no tenga una suma de comprobación válida en el archivo en la lista blanca. Sin embargo, son difíciles de usar porque requieren una configuración sofisticada y un mantenimiento constante a medida que se agrega y actualiza el software.
Otra solución es configurar un sistema operativo para requerir firmas digitales en todo el código antes de permitir que se ejecute. Así es como iOS de Apple bloquea todo lo que no sea un software aprobado, y por qué los iPhones son más seguros sin un paquete de AV (los paquetes de AV a veces son vulnerables o inestables, y los atacantes también los han explotado).
Pero nada es perfecto. Tanto las listas blancas como los archivos firmados siguen siendo vulnerables a los atacantes creativos que aún pueden explotar los desbordamientos de búfer en las aplicaciones firmadas, y que utilizan técnicas como la programación orientada hacia atrás para ejecutar malware desde las aplicaciones existentes.
Lea otras preguntas en las etiquetas antivirus antimalware infection-vector