Viren, Würmer und Trojaner sind Beispiele von Malware. Dagegen gibt es spezielle Anti-Malware-Tools, die zur Vorbeugung, Erkennung und Beseitigung von Malware dienen. Sie werden fast mit allen Rechnern mitgeliefert und können den meisten Virenbedrohungen entgegenwirken, unter der Voraussetzung, dass sie regelmäßig aktualisiert und ordnungsgemäß gewartet werden, andernfalls können sie den Schutz gegen neue Viren nicht leisten.
Die Antiviren-Branche baut auf ein riesiges Netzwerk von Benutzern, die über neue Viren früh berichten, so dass Antidote schnell vorbereitet und verteilt werden können. Weil einige tausend neue Viren jeden Monat erzeugt werden, muss die Virendatenbank ständig aktualisiert werden. Sie hilft bei der Identifikation der bekannten Viren, wenn sie versuchen anzugreifen. Namhafte Hersteller der Antivirensoftware veröffentlichen die neuesten Antidote auf ihren Webseiten und die Software selbst weist die Benutzer auf periodische Aktualisierung hin. Die Grundsätze der Netzwerksicherheit sollen festlegen, dass alle Computer im Netzwerk regelmäßig aktualisiert werden und idealerweise von der gleichen Antivirensoftware geschützt werden. So werden Wartungs- und Aktualisierungskosten minimiert. Auch die Antivirensoftware an sich muss aktualisiert werden.
Ohne Hinsicht auf die Nützlichkeit der Antivirensoftware hat sie auch einige Nachteile. Eine Antivirensoftware kann beispielsweise die Computerleistung senken. Für unerfahrene Benutzer können die Aufforderungen und Entscheidungen kompliziert sein. Und eine falsche Entscheidung kann zu einer Sicherheitsverletzung führen.
Wenn ein Computer von Viren gereinigt wird, werden Viren auf unterschiedlichste Art ausgerottet: Beseitigung des Codes in der infizierten Datei, der dem Virus entspricht; Beseitigung der ganzen infizierten Datei oder Stellen der infizierten Datei unter Quarantäne (ihr Verschieben auf eine Stelle, wo sie nicht gestartet werden kann).
Für die oben genannten Verfahren werden üblicherweise verschiedene Methoden verwendet.
Es gibt zum Beispiel die signaturbasierte Erkennung, welche bekannte Muster von Daten in dem ausführbaren Code sucht. Viren vervielfältigen sich durch Infizieren von Hostanwendungen - sie kopieren einen Teil des ausführbaren Codes in ein bestehendes Programm. Sie werden daher so programmiert, dass sie die gleiche Datei nicht mehrmals infizieren. Dafür fügen sie eine Folge von Bytes in die infizierte Anwendung ein und später können sie kontrollieren, ob die gegebene Datei schon infiziert wurde - dieser Prozess wird als Virensignatur bezeichnet. Antivirensoftware erkennt an Hand dieser Signatur das Virus. Diese signaturbasierte Erkennung ist die älteste Methode der Antivirensoftware.
Diese Methode kann keine Viren erkennen, die noch nicht in der Virendatenbank gespeichert sind. Darüber hinaus maskierten die Programmierer von Viren sie häufig, so dass ihre Signatur schwer oder gar nicht erkannt werden kann. Um solchen Bedrohungen entgegenzuwirken, wird Heuristik eingesetzt.
Eins der heuristischen Verfahren verwendet generische Signaturen und kann damit neue Viren oder Varianten der bestehenden Viren identifizieren, durch Suchen der bekannten Malware oder ihrer unbedeutenden Variationen in Dateien. Dieses Verfahren umfasst die Analyse des Verhaltens der Anwendungen, um eine ähnliche Aktivität zu erkennen, die bei einem bekannten Virus auftritt.
Diese Antivirensoftware kann daher Viren erkennen, selbst wenn die Virendatenbank noch nicht aktualisiert wurde.
Andererseits löst sie oft einen falschen Alarm aus.