I programmi malevoli vengono spesso compressi – o “packed”, cioè “impacchettati” – utilizzando vari metodi combinati con la codifica del contenuto del file, allo scopo di impedire il reverse engineering del software nocivo e, al tempo stesso, di ostacolare l’analisi del suo comportamento per mezzo di metodi proattivi ed euristici. I programmi antivirus rilevano i risultati dell’attività dei packer sospetti, ovvero gli oggetti “packed” o compressi.
L’estrazione dei file compressi può essere impedita in vari modi: il packer, ad esempio, potrebbe non decifrare completamente il codice, ma solo nella misura in cui viene eseguito, oppure potrebbe decodificare completamente e lanciare un oggetto malevolo solo in un giorno specifico della settimana.
Gli aspetti principali che differenziano i comportamenti degli oggetti riconducibili alla sottoclasse dei “Packer sospetti” sono il tipo e il numero di packer utilizzati nel processo di compressione dei file.
La sottoclasse dei Packer sospetti contempla i seguenti comportamenti: