Program, ami megpróbálja a kártékony programokat felismerni és annak tevékenységét korlátozni. A klasszikus vírusírtó pontosan felismer egy kártékony programot annak jellegzetességei által – ebben az esetben amíg a vírusírtó gyártója nem ismeri a programot, és ezt az ismeretet nem osztja meg a vírusírtó programmal, addig nyilván a vírusírtó sem fogja felismerni. Ennek kiküszöbölésére használják a heurisztikus elemzést: a vírusírtó megpróbálja elemezni a vizsgált programot, hogy az úgy viselkedik-e, mint egy vírus (pl. önkódolás, kifelé irányuló kommunikáció).