Bardzo ważnym skokiem jakościowym było powstanie technologii analizy behawioralnej umożliwiających kontrolę już uruchomionego kodu, w poszukiwaniu destrukcyjnych lub niestandardowych działań. Praktycznie każdy nowoczesny program zapewniający ochronę systemów Windows zawiera przynajmniej jeden motor wykorzystujący tę zasadę działania. Moduł behawioralny w pewnych przypadkach potrafi wykryć także nieznane zagrożenia, bazując jedynie na informacjach, jaka jest aktywność danego kodu. Ale jak każda technologia, także ona ma swoje ograniczenia. Jednym z nich jest wrażliwość na fałszywe alarmy. Twórcy systemów zabezpieczeń dokładają starań, by informacja o działaniach i kryteriach podejmowania decyzji w tego typu modułach nie była publicznie dostępna, gdyż może posłużyć do ich omijania. Warto zauważyć, że twórcą złośliwego kodu nie jest już nastoletni amator szukający rozgłosu w środowisku, ale doświadczony programista wyposażony w dużą wiedzę.

Aktualizacja wciąż ważna

Wszyscy producenci programów antywirusowych słusznie dokładają starań, by jak najczęściej aktualizować bazy danych z informacjami o wrogich kodach. Jeśli dostępna jest baza obejmująca aktualne zagrożenie, nawet tylko reaktywny program dobrze sobie z nimi poradzi. Należy zatem zadbać o to, by aktualizacja odbywała się przynajmniej raz na dzień, ponieważ aktualizacje tygodniowe to obecnie zbyt mało.

Ze względu na to, że komputery z reguły są obecnie połączone w sieci, atak nieznanego dotąd wirusa może spowodować lawinowy przyrost skompromitowanych węzłów. Na początku każdego ataku nawet najlepszy program antywirusowy może okazać się bezradny, gdy atak będzie przygotowany tak, by omijać konkretny program klasy Endpoint Security. Właśnie dlatego informacje o stosowanych zabezpieczeniach (marka programu Endpoint Security, konfiguracja zapory sieciowej i filtru treści, rodzaj serwera pracy grupowej i programu antywirusowego itd.) powinny być tajemnicą firmy. Dlatego też należy usuwać na serwerze poczty elektronicznej wszystkie nagłówki związane ze skanowaniem antywirusowym.

Wirusowe antylaboratoria

Szczególnie popularne wśród użytkowników domowych webowe serwisy antywirusowe mogą posłużyć także twórcom złośliwego oprogramowania. Tego typu strony są wyposażone w skaner antywirusowy, który ma funkcję automatycznego wysyłania fragmentów podejrzanego kodu do laboratoriów firm wytwarzających oprogramowanie zabezpieczające. Dzięki temu twórcy antywirusów mogą szybciej dostawać próbki nowych "produktów". Aby użytkownicy mieli poczucie prywatności, wyłącza się jednak opcję wysyłania fragmentów kodu. Oznacza to, że możliwe jest przeskanowanie wstępnej lub finalnej wersji kodu wirusa, by stworzyć złośliwą aplikację, której dany program antywirusowy nie wykryje.

Don Jackson z firmy SecureWorks twierdzi, że w środowisku crackerów istnieją tego typu, odpowiednio skonfigurowane instalacje dla większości programów antywirusowych, a także związane z nimi serwisy webowe. Cracker wcale nie musi korzystać z taki serwisów, wystarczy, by zainstalował kilka systemów wewnątrz środowisk wirtualnych, a wtedy istnieje możliwość sprawdzenia, jak dany antywirus radzi sobie z kolejnymi wersjami kodu.

Tego typu badania kodu przed wprowadzeniem do obiegu kolejnej wersji wirusa sprawiają, że coraz trudniej go wykryć, nawet jeśli został wykonany za pomocą znanych narzędzi. Według firmy SecureWorks, każda nowa wersja wirusa sprawia problemy, a nowe kody statystycznie są wykrywane zaledwie przez jeden program antywirusowy na cztery programy.