Hace tiempo se usaban técnicas de detección por firmas, pero con el DarkAvenger los antivirus evolucionaron a técnicas para detectar virus polimorficos...

Usan la heuristica.
Emulación de Código.
Ya casi no se usa la busqueda de patrones similares.
Strings (Cadenas de texto en el codigo del programa) sospechosas.
Modificaciones del cambio de los ficheros PE, (offset 0x3C está un valor que apunta a la PE Header, si esa está modificada hay virus, lo mismo con el Entry Point del programa)
etc..
hay muchas cosas de esto..
y es un tema avanzado y complicado..

hay un buen libro que te puedo recomendar si te interesa...

The Art of computer virus research and defense (si mal lo recuerdo asi se llama) es de Peter Szor (ingeniero inverso que trabaja para Symantec)

un saludo.