Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee
El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.
Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn" - en los recursos de version por ejemplo -
Trata de
reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...