Die Zahl der gefundenen Schädlinge wächst rasant an (Graph ist logarithmisch skaliert).

Laut Andreas Marx von AV-Test haben die Spezialisten sämtliche unterschiedliche Dateien gezählt, bei denen sich der Fingerabdruck (MD5-Hash) von den anderen Funden unterscheidet. Dazu zählen auch Schädlinge, die mit einem anderen Laufzeitpacker gepackt oder anders verschlüsselt wurden. Ab 2004 scheint das Wachstum zu explodieren:

Die Zahlen verdeutlichen, dass der signaturbasierte Ansatz aktueller Virenscanner nicht mehr zeitgemäß ist. Eugene Kaspersky orakelte vergangenes Jahr zur CeBIT bereits angesichts solcher Zahlen, dass die Antivirenhersteller den Kampf gegen die Virenbastler verlieren könnten. Die Antivirenhersteller versuchen zwar, mit generischen Erkennungen anhand einer Signatur gleich eine Vielzahl von Varianten von Schädlingen zu erkennen, doch die Erstellung solcher generischen Signaturen geschieht durch Programmierer, kostet Zeit und ist fehleranfällig – avast und Gdata hatten heute mit einem Fehlalarm bei einer wichtigen Systemdatei durch so eine Signatur zu kämpfen.

Als Lösungsansatz kommen sogenannte Behavioral Blocker infrage, die die auf dem System laufende Software überwachen und deren Verhalten analysieren und bewerten. Häufen sich verdächtige Verhaltensweisen, beispielsweise das Verankern einer neu angelegten Datei als Autostart, Mitprotokollieren von Tastaturanschlägen sowie der Aufbau von Verbindungen mit IRC-Servern, können die bewerteten Verhaltensweisen einen Schwellwert überschreiten, bei dem der Behavioral Blocker Alarm schlägt und das potenziell gefährliche Programm stoppen und die vorgenommenen Änderungen rückgängig machen kann.

Im letzten c't-Virenscannertest (c't 1/08) enthielten nur wenige Antivirenlösungen bereits einen Behavioral Blocker. Zahlreiche Hersteller arbeiten inzwischen an entsprechenden Erweiterungen für ihre Antivirensoftware.