O que o Firefox faz quando “verifica vírus” após o download?

Não importa o fato de que o Firefox é um navegador e não uma ferramenta AV, mas o que exatamente faz depois de um download? Mesmo em sistemas que têm um AV atualizado, isso gera uma pausa de vários segundos após o download (onde não consigo abrir o arquivo de dentro do gerenciador DL) e não tenho idéia do que o FF pode estar tentando lá.

Eu sei que posso desligá-lo (usando FF apenas no trabalho de qualquer maneira), mas eu estou querendo saber. Eu posso pensar em algumas coisas aqui o que poderia ser:

1. O próprio FF é um scanner AV e carrega assinaturas em segundo plano e outras coisas. Soa altamente improvável e não deve precisar de dezenas de segundos para 20 arquivos KiB.
2. O FF tenta falar com o AV instalado para mastigar o arquivo. Soa desnecessário, uma vez que a maioria dos programas antivírus oferece proteção em tempo real e, portanto, já pegou um vírus e também porque o FF faz isso em sistemas sem o antivírus instalado também.
3. FF carrega o arquivo para algum verificador de vírus on-line. Improvável e estúpido.
4. O FF instrui algum verificador de vírus on-line a fazer o download do arquivo e a verificar. Improvável e seria um bom alvo para DoSing esse serviço.
5. O FF gera um hash do arquivo e o envia para algum lugar (presumivelmente o Google) para verificar. Eles então respondem com "Whoa, esse hash é totalmente um vírus" ou "Não, esse MD5 não parece muito vírus-y para mim".

Estou ficando sem ideias melhores. Alguém tem uma pista?