Med sumljivo obnašanje spadajo poskusi dostopanja do zagonskega sektorja na disku, lociranja vseh datotek v trenutni mapi, pisanja v izvršne datoteke (npr. tipa *.exe, *.sys, *.scr) in poskusi brisanja vseh datotek v mapi ali celo disku. Hevristični algoritem dodeli določeno utež vsaki od sumljivih lastnosti in če vsota uteži za neko datoteko preseže vnaprej določen prag, protivirusni program datoteko označi kot virus. Pri tovrstnem iskanju virusov pa so možni tudi lažni alarmi.