Sanal makine kullan nedeni ilk olarak bilinen, zaten yakalanmış trojanların kodundan, belirgin bir parça "imza" olarak virüs veritabanlarına kaydedilir. Bundan dolayı da "fudlama" adını verilen, kodu saklama işlemini yapmadan diyelim ki, bir virüs'u bir antivirüs kullanıcısına göndermeye kalkılır sa bu anda antivirüs " virüs " der ve programı engeller. Çünkü imza yakalanmıştır.
İlla bilinemsine gerek yok mesela keylogger klavye tuşu çekmenin Assembly karşılığı map olsun bunuda virüsün sahibine atan Assembly.
Karşılığı da pack olsun bunda 2'si yani mappack(kendi ismimi kullandım bilerek) antivirüs bu 2'si olunca bu virüs diyor.
Yanlış alarmlarda mesela bir mail atma uygulamasında hem Assembly karşılığı map maili yazmak için ve pack te mail göndermek için (burayı biraz salladım) ise virüs sanabilir.