Znany wzór kodu wirusa jest również znany jako sygnatura wirusa. Programy antywirusowe są w stanie wykryć wirusy za pomocą znanych sygnatur wirusów lub wzorców kodu wirusa.
Podpis wirusa odróżnia wirusa od innych programów i jest podobny do odcisku palca, ponieważ nie ma dwóch takich samych. Podpis składa się z określonych fragmentów kodu lub danych, a gdy te stają się znane, oprogramowanie antywirusowe jest w stanie wykryć i zneutralizować szkodliwy program.
Oprogramowanie antywirusowe działa poprzez porównywanie napotkanych plików podczas skanowania systemu komputerowego za pomocą tak zwanych definicji lub plików DAT, które w istocie są bibliotekami zawierającymi sygnatury wirusów. W związku z tym program antywirusowy musi stale aktualizować bazę danych plików definicji, aby móc chronić system przed stale zmieniającymi się zagrożeniami internetowymi.
Oprogramowanie antywirusowe działa, ponieważ ten sam podpis wirusów może dotyczyć wielu wirusów. Programy antywirusowe mogą nawet wykrywać nieznane wcześniej wirusy tylko dlatego, że ich sygnatury są takie same jak istniejące wersje. Hakerzy tworzący wirusy opracowali tak zwane programy polimorficzne. Mogą się one stale zmieniać, tworząc wiele różnych programów antywirusowych, wykorzystując fragmenty kodu śmieci, aby wypełnić puste pola. Jednak nawet przy tak złożonym kodowaniu zawsze istnieje stałe ciało kodujące wirusa, które może zostać wykryte przez odpowiednie oprogramowanie antywirusowe.