Heuristik
Virenscanner haben 3 Möglichkeiten, Viren zu erkennen: Sie können mittels Virensignaturen nach bekannten Viren suchen. Oder sie könne mittels einer Sandbox versuchen, vom Verhalten eines Programmes auf dessen Gefährlichkeit zu schließen.
Die 3. Möglichkeit besteht darin, vom Code eines Programmes auf dessen mögliche Gefährlichkeit zu schließen. Dieses Verfahren nennt man Heuristik. Enthält ein Programm z.B. Möglichkeiten, sich selbst als E-Mail zu versenden und an einem bestimmten Tag die Festplatte zu formatieren, ist dies zumindest verdächtig.
Vorteil dieser Methode ist, dass es vom Ausbruch eines Viruses bis ausliefern der passenden Virensignaturen einige Stunden - bei einigen Herstellern sogar eine Woche - dauert. Mit Hilfe der Heuristik kann der Virenscanner auch ohne Virensignaturen ein großteil der Viren erkennen und bekämpften.
Eine Heuristik liefert nie eine Ja/Nein-Aussage, ob ein Programm schädlichist oder nicht. Sie kann immer nur eine Wahrscheinlichkeit dafür liefern. Meist kann der Benutzer in seinem Antivirenprogramm festlegen, ab welchem Wert ein Programm als gefährlich eingestuft wird. Oder das Antivirenprogramm fragt bei möglichem Schadcode beim Benutzer nach, ob das programm ausgeführt werden darf oder nicht.