Sì, le firme variano a mano a mano che vengono sviluppate dai produttori di antivirus indipendentemente l'una dall'altra. Il prodotto di un fornitore può rilevare il malware che manca a un altro o ottenere un falso positivo che un altro non potrebbe trovare.

Potresti finire con più fornitori che hanno identiche firme per lo stesso pezzo di malware perché i tratti del malware hanno poche o una firma, ma sono arrivati in modo indipendente.

Alcuni venditori di AV riutilizzano le firme di altri. Ad esempio, Kaspersky Lab ha inserito le proprie firme di alcuni file non dannosi nelle sue basi per rilevare i riutilizzi e, dopo un po 'di tempo, li hanno osservati falsamente rilevati dagli AV di altre aziende come dannosi.

Le firme non sono generalmente interoperabili.

C'è qualche licenza in corso, ma in generale, direi che i venditori di AV hanno tutti i loro motori, e questi motori potrebbero non essere nemmeno in grado di capire le firme / i set di regole di altri motori.

Avere persone sullo staff (magari anche 24 ore su 24) in grado di estrarre firme utili da un set / famiglia di malware è costoso. Quindi le firme individuali sono proprietà intellettuali pregiate.

È per lo stesso motivo, che l'effettivo formato su disco di come viene costruita una firma è qualcosa che è generalmente tenuto segreto per il software AV commerciale. (Correggimi se sbaglio.)

D'altra parte, ci sono documentati diversi approcci Open-Source per le firme AV. Una delle più conosciute è la regola "YARA". (Articolo archiviato qui .)