Quali sono allora le caratteristiche di cui deve essere in possesso un antivirus per poter essere considerato un prodotto veramente efficace ? Innanzitutto è necessario sottolineare che, a causa della continua evoluzione ed affinamento delle tecniche di programmazione impiegate per la costruzione di codice virale, un antivirus non può più limitarsi a rilevare ed eliminare soltanto i virus noti ma deve anche essere progettato per identificare, anche se in modo probabilistico, nuove tipologie di virus.
Di conseguenza il primo requisito fondamentale è rappresentato dalla presenza di un motore di scansione cd. euristico in grado di ricercare all'interno dei file la presenza di particolari sequenze di byte che possono essere sintomo tipico di codice nocivo.
Ovviamente poiché questo tipo di scansione non fa uso di metodi deterministici essa non è in grado di offrire lo stesso livello di protezione ed affidabilità della scansione tradizionale, basata invece sull'individuazione di una impronta nota, e di conseguenza può generare un numero più o meno frequente di falsi allarmi chiamati anche falsi positivi che, pur richiedendo una ulteriore fase di analisi, svolgono tuttavia un compito importantissimo vale a dire richiamare l'attenzione dell'utente sull'esistenza di una possibile fonte di rischio.
In ogni caso, al di là di questa precisazione, è utile suddividere in due gruppi distinti le funzionalità che possono essere rinvenute in un prodotto antivirus: nel primo gruppo comprendente funzionalità cd. di base rientrano le seguenti caratteristiche:
- verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di sistema durante la fase iniziale di avvio del sistema;
- scansione in tempo reale della memoria;
- scansione in tempo reale dei file;
- scansione degli allegati di posta elettronica;
- capacità di individuazione delle altre tipologie di codice nocivo (cavalli di troia, backdoor, macro virus, ecc.);
- possibilità di creare dischetti di emergenza da utilizzare in caso di ripristino del sistema;
- rilascio da parte del produttore di frequenti aggiornamenti del file delle firme;
Nel secondo gruppo invece rientrano alcune funzionalità che possiamo considerare avanzate nel senso che esse facilitano l'utilizzo del prodotto od il suo aggiornamento ma non hanno alcuna influenza sulla sua efficacia ed affidabilità:
- possibilità di programmare scansioni del file system ad intervalli regolari;
- distribuzione centralizzata degli aggiornamenti (utile soprattutto in un ambiente di rete);
- possibilità di effettuare gli aggiornamenti attraverso Internet;
- capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia;
- presenza di una guida esauriente che descriva le tipologie note di virus, cavalli di troia e backdoor e le loro caratteristiche principali;