La mayoría de las soluciones antivirus utilizan una variedad de técnicas para identificar malware.
El enfoque más simple (y más antiguo) es usar firmas de malware conocido, como los hashes MD5 / SHA1, o cadenas específicas en binarios. Esta técnica funcionó más exitosamente con malware anterior que no tenía el número de variantes que vemos hoy.
A continuación tenemos el análisis estático heurístico. Esto funciona al escanear archivos y buscar características sospechosas como empacadores, códigos ocultos, importaciones de bibliotecas específicas, etc. Podría decir que esto es lo más cercano a los "patrones" de los que está hablando. Uno podría escribir malware y modificarlo hasta que no sea detectado por la heurística de malware más común. Estos patrones y algoritmos son secretos bien guardados de cada proveedor de antivirus y es poco probable que los compartan más allá de explicaciones genéricas.
La última forma de identificación de malware es a través del análisis heurístico dinámico. Esto ocurre cuando el malware se ejecuta en un recinto de seguridad y el antivirus analiza lo que hace el software. Examina las bibliotecas a las que llama, las acciones que realiza, si trata de ocultarse, si realiza entradas de registro, etc. Hay muchas formas de evitar la identificación a través del análisis dinámico que son demasiado profundas para esta respuesta. decir que se puede pasar por alto.
TL; DR Nadie puede decirle exactamente cuáles son los patrones para cada programa antivirus. Hay algunas cosas genéricas que todos buscan, pero los detalles son secretos.