¿Las firmas de virus son diferentes entre los antivirus?
Por ejemplo, ¿puede una firma de virus en Kaspersky diferir de la firma asociada al mismo virus en Avast?
Sí, las firmas varían a medida que los proveedores de antivirus las desarrollan de manera independiente. El producto de un proveedor puede detectar el malware que otro pierde, o obtener un falso positivo que otro no podría encontrar.
Puede terminar con varios proveedores que tengan firmas idénticas para la misma pieza de malware debido a que los rasgos del malware tienen pocas opciones de firma, o una, pero se obtienen de forma independiente.
Algunos proveedores de AV reutilizan las firmas de otros. Por ejemplo, Kaspersky Lab insertó las firmas de algunos archivos no malintencionados en sus bases para detectar las reutilizaciones y, después de algún tiempo, los han detectado como falsos en los AV de otras compañías.
Hay algunas licencias en curso, pero en general, yo diría que todos los proveedores de AV tienen sus propios motores, y es posible que estos motores ni siquiera puedan entender las firmas o los conjuntos de reglas de otros motores.
Tener personal en el personal (tal vez incluso las 24 horas) que puede extraer firmas útiles de un conjunto / familia de malware es costoso. Así que las firmas individuales son propiedad intelectual apreciada.
Por la misma razón, el formato en disco real de cómo se construye una firma es algo que generalmente se mantiene en secreto para el software AV comercial. (Corrígeme si me equivoco).
Por otra parte, hay documentados en varios enfoques de código abierto para firmas AV. Una de las más conocidas son las reglas de "YARA". (Artículo archivado aquí .)