La mayoría de las tecnologías antivirus utilizan detección basada en firmas. Esencialmente, una lista de virus conocidos y sus variantes en un momento dado en el tiempo.
La detección basada en firmas puede ser muy efectiva, pero no puede identificar malware a menos que ya lo sepa y haya creado una firma para esta pieza de malware. Como resultado, este método de detección no es útil contra variantes / virus desconocidos y recientemente desarrollados.
Si las bases de datos de firmas no se actualizan regularmente, existe una posibilidad muy real de infección. La mayoría de los buenos proveedores de AV lanzarán actualizaciones todos los días. Algunos proveedores de AV compran 'suscripciones' para integrarse en sus productos en lugar de desarrollar sus propias firmas, sin embargo, esto retrasa el tiempo necesario para implementar las firmas a veces.
La mayoría de los AV tratarán los archivos sospechosos de la misma manera que los ejecutan a través de diferentes tecnologías, incluidos los motores heurísticos. Algunos motores más avanzados existen en ciertos productos, mientras que otros no tienen estas características. Una vez más, otra razón por la que puede haber diferencias entre los productos.
Además, algunos virus se crean para evitar motores antivirus específicos (por ejemplo, una solución AV de empresa común es McAfee) y, por lo tanto, serán detectados por otros AV pero no específicamente por McAfee.
Con respecto a los 'codificadores de virus', asumo que se refiere a 'cifrar', que es el proceso de cifrado / ofuscación de la carga útil de un virus para evitar la detección. Esto puede ser detectado por los motores AV que reconocen la tecnología de cifrado y lo marcan como sospechoso, sin embargo, es posible derrotar los motores AV utilizando esta técnica. Consulte aquí para obtener más información
Recomiendo leer el artículo de wikipedia aquí
y este enlace Estrategias de virus informático y métodos de detección para una mayor comprensión sobre este tema.