Schädliche Programme werden häufig komprimiert (gepackt) – mit ganz unterschiedlichen Methoden, die meist mit Verschlüsselung kombiniert werden, um ein Reverse Engineering des Schädlings zu vermeiden und die Analyse des Programmverhaltens über proaktive und heuristische Methoden zu behindern. Antivirus-Programme entdecken die Ergebnisse der Aktionen verdächtiger Packer, beziehungsweise deren gepackte Dateien.
Es gibt auch Möglichkeiten, gepackte Dateien davor zu schützen, entpackt zu werden: So komprimiert der Packer zum Beispiel den Code nicht vollständig, sondern nur soweit er ausgeführt wird; oder er verschlüsselt ein schädliches Programm vollständig und startet es nur an einem bestimmten Wochentag.
Die Hauptfunktionen, die das Verhalten verdächtiger Packer in Unterklassen einteilen, sind die Art und Zahl der Packer, die für den Komprimierungsprozess verwendet werden.
Diese Unterklasse von Schadprogrammen enthält die folgenden Verhaltensweisen: