Un modello specifico noto del codice del virus è noto anche come firma del virus. I programmi antivirus sono in grado di rilevare i virus tramite le loro note di virus conosciute o modelli di codice virale.
La firma del virus è ciò che distingue il virus da altri programmi ed è simile a un'impronta digitale in quanto non esistono due uguali. La firma è costituita da specifici bit di codice o dati e, man mano che questi diventano noti, il software antivirus è in grado di rilevare e neutralizzare il programma dannoso.
Il software antivirus funziona confrontando i file che incontra durante la scansione di un sistema informatico con i cosiddetti file di definizione o DAT, che sono essenzialmente librerie contenenti le firme dei virus. Pertanto, il programma antivirus deve aggiornare costantemente il proprio database di file di definizione per poter proteggere un sistema dalle minacce online in continua evoluzione.
Il software antivirus funziona perché la stessa firma virale può essere applicata a più virus. I programmi antivirus possono persino essere in grado di rilevare virus precedentemente sconosciuti semplicemente perché le loro firme sono le stesse delle versioni esistenti. Gli hacker che creano virus hanno sviluppato i cosiddetti programmi polimorfici. Questi possono cambiare continuamente per creare molti programmi antivirus diversi, usando bit di codice spazzatura per riempire gli spazi vuoti. Anche con una codifica così complessa, tuttavia, all'interno del virus è sempre presente un corpo di codice costante che può essere rilevato da un software antivirus appropriato.