Normalmente un anti-virus effettua il rilevamento dei virus ricorrendo all'analisi comparativa. L'anti-virus è dotato di un archivio di firme (o definizioni), una sorta di enciclopedia che contiene tutte le sequenze di bit tipiche dei virus conosciuti.
Durante la scansione di un ipotetico file pippo.exe, l'anti-virus cercherà al suo interno ciascuna delle firme presenti nell'archivio delle definizioni. Se troverà, ad esempio, la firma del virus "Topolino", allora segnalerà il file pippo.exe come infettato dal virus "Topolino" ed agirà di conseguenza. Se, invece, all'interno del file pippo.exe non sarà rilevata alcuna sequenza tipica dei virus, il file sarà giudicato innocuo.

Ma cosa succede quando si ha la sfortuna di imbattersi in un file paperino.exe infettato da un virus "Gastone" sino a quel momento sconosciuto e quindi non presente nell'archivio delle firme? Normalmente il virus sfuggirebbe al controllo ed avrebbe campo libero sul computer dell'utente. Qui entra in scena l'Analizzatore Euristico. Questo modulo non esamina il file alla ricerca di sequenze chiave, ma lo esegue per monitorarne le azioni. Il file non viene realmente eseguito sul sistema (sarebbe troppo rischioso), bensì all'interno di un ambiente virtuale (è il principio della sandbox). Poiché i virus, noti o ignoti che siano, eseguono sempre e comunque determinate azioni peculiari, a quel punto "Gastone" sarà segnalato come virus e dunque bloccato. Ovviamente, per la sua stessa natura, il controllo euristico può essere soggetto a qualche falso positivo e il rilevamento deve essere verificato. Sarebbe buona norma non consentire l'esecuzione di un processo rilevato come infetto dal controllo euristico e inviare copia del file al laboratorio Kaspersky per un'analisi approfondita.