Несколько причин, по которым антивирусные программы могут считать безобидные системные утилиты вредоносными:

• Фрагменты кода, схожие с фрагментами кода вирусов. 3 Это достаточно частое явление, когда внутри программ есть фрагменты кода, схожие с фрагментами кода каких-то вирусов. 3
• Эвристический анализ. 5 При этом методе условный рейтинг опасности присваивается каждой функции, реализованной в программе. 5 Если сумма оценок всех функций программы превышает определённый «порог безопасности», программа признаётся вредоносной. 5 Однако при этом методе высока вероятность ложного срабатывания, так как многие программы, не являющиеся вредоносными, превышают установленное значение и признаются таковыми. 5
• Подозрительное поведение программы. 5 Многие современные антивирусные программы используют метод поведенческого анализа, при котором следят за поведением приложений. 5 Если какое-то из них покажется антивирусу «подозрительным», оно будет мгновенно заблокировано. 5

Например, некоторые утилиты обновления браузеров, действующие в фоновом режиме и отправляющие запросы на удалённые серверы с целью загрузки с них обновлений, могут быть спутаны с троянцем-загрузчиком. 5