Система распознавания вредоносных сайтов в антивирусных программах работает на основе сигнатур вирусов и эвристического анализа. 3

Сигнатуры вирусов — это неизменные общие участки кодов известных вирусов. 3 У каждого антивируса есть база таких сигнатур. 3 Программа ищет в коде файлов сайта известные ей сигнатуры и, если находит, отмечает подозрительными. 3 Однако этот принцип работает не всегда, например, полиморфные вирусы так обнаружить нельзя — они не имеют сигнатур, их коды постоянно изменяются. 3

Эвристический анализ позволяет находить полиморфные вирусы и определять угрозу до того, как в базу попадёт её сигнатура. 3 Антивирус наблюдает за работой кодов программ и отслеживает те, которые ведут себя как вирусы, — выявляет паттерны поведения. 3

Кроме того, антивирусные программы сканируют веб-сайты на наличие ссылок, ведущих на вредоносные ресурсы, анализируют их контент и классифицируют согласно фильтрам ключевых слов. 4 Также применяются белые и чёрные списки. 14

Базы данных антивирусов постоянно обновляются по мере обнаружения новых типов угроз. 5