По какому алгоритму это происходит?
Суммарная оценка по следующим показателям:
1. Анализ JS-кода роботом на зловредные последовательности (сигнатуры) и прогон кода через антивирусные базы.
2. Проверка загрузки доп. ресурсов из "чёрного" списка источников для исполнения кода
3. Оценка поведения DOM-объектов при непосредственном исполнении кода
4. Нарушения различных прав
5. Прямые жалобы от пользователей
6. Борьба с неугодными сайтами под видом того, что сайт - вредоносный.
7. Хозяин-барин!
