Una firma di virus (nota anche come definizione di virus) è un file o più file scaricati da un programma di sicurezza per identificare un virus informatico.
I file consentono il rilevamento del malware da parte del software antivirus (e altro antimalware) nei sistemi convenzionali di scansione dei file e rilevamento delle violazioni.
I ricercatori delle aziende antivirus studiano i virus che si trovano comunemente su Internet, spesso testandone il comportamento in una configurazione di tipo sandbox. La sandbox è generalmente un ambiente basato su una macchina virtuale. Vengono analizzati il comportamento, i nomi dei file utilizzati e le stringhe di dati univoche nei file.
Le utilità antivirus commerciali dipendono da tempo dalle definizioni dei virus. Il software di sicurezza scarica frequentemente i file per mantenerlo in grado di rilevare le minacce attuali. I file vengono utilizzati per aggiornare i criteri per il rilevamento dei file nelle scansioni del disco rigido e per i controlli sui processi in esecuzione. Il principale punto debole delle firme dei virus è nel rilevamento di nuovi virus.
Un altro metodo di rilevamento dei virus è l'uso dell'euristica. In questi sistemi, i programmi antivirus utilizzano algoritmi per rilevare i modelli di comportamento che sono stati trovati quando un virus specifico è stato testato dai ricercatori. L'euristica forte sta diventando sempre più importante a causa delle minacce persistenti avanzate, che si nascondono tramite la crittografia per eludere il rilevamento dalle scansioni tipiche. I virus metamorfici e polimofici, che modificano il loro codice durante la propagazione, nascondono anche il software dannoso dai processi di scansione convenzionali.