> La plupart des antivirus ne regarde pas le fichier mais se contentent de regarder le début de son code, si c'est dans la base, hop c'est identifié comme virus avec l'entrée correspondante dans la base. Plus c'est rapide plus c'est grossier, j'imagine, je ne suis pas un spécialiste non plus
C'est plus compliqué que ça : il y a une analyse heuristique afin de déterminer le potentiel « malwarien » de la bête. Le programme est lancé dans une sorte de machine virtuelle qui va tenter de trouver des fonctionnements anormaux. Tout ce qui est écrit avec des scripts qu'on peut transformer en exécutable (auto-it, auto-hotkey) est jugé dangereux car le fonctionnement n'est pas celui qu'on attend d'un programme « normal ». Puis ces scripts sont aussi des outils faciles pour programmer quelques malveillants. Les programmes compressé sont aussi jugé dangereux car les compresseurs d'exe ont longtemps été utilisés -ils le sont peut-être encore- pour masquer le caractère malveillant de l'exécutable en compliquant l'analyse.
Ça et un moteur d'analyse heuristique un peu à la ramasse, et on obtient les résultats qu'on connaît.