Un modèle spécifique connu de code de virus est également connu sous le nom de signature de virus. Les programmes antivirus sont capables de détecter les virus par leurs signatures de virus ou modèles de code de virus connus.
La signature du virus est ce qui distingue le virus des autres programmes, et elle est similaire à une empreinte digitale en ce sens qu'il n'y en a pas deux identiques. La signature se compose de bits de code ou de données spécifiques, et au fur et à mesure que ceux-ci deviennent connus, un logiciel antivirus est capable de détecter et de neutraliser le programme nuisible.
Le logiciel antivirus fonctionne en comparant les fichiers qu'il rencontre lors de l'analyse d'un système informatique avec ce que l'on appelle des fichiers de définition ou DAT, qui sont essentiellement des bibliothèques contenant des signatures de virus. En tant que tel, le programme antivirus doit constamment mettre à jour sa base de données de fichiers de définition afin de pouvoir protéger un système contre les menaces en ligne en constante évolution.
Le logiciel antivirus fonctionne car la même signature de virus peut s'appliquer à plusieurs virus. Les programmes antivirus peuvent même être capables de détecter des virus auparavant inconnus simplement parce que leurs signatures sont les mêmes que les versions existantes. Les pirates qui créent des virus ont développé ce que l'on appelle des programmes polymorphes. Ceux-ci peuvent changer constamment pour créer de nombreux programmes antivirus différents, en utilisant des morceaux de code poubelle pour remplir les blancs. Cependant, même avec un codage aussi complexe, il existe toujours un corps de code constant dans le virus qui peut être détecté par un logiciel antivirus approprié.