Pues hay ciertas acciones q el av detecta como sospechosas, por ej:
Q nada mas iniciarse el ejecutable se autocopie o se añada al reg (ponlo en un timer)
algunas cadenas como HKEY_LOCAL_MACHINE\.... vamos las cadenas para añadirse al registro (las encriptas y ya esta)
Algunas apis como urldownload (llamala mediante su espacio en memoria)
Algunas cadenas como virus, troyano, rat (simplemente no las pongas xDD)
Acciones como abrir el cd y lameradas de ese estilo
Lo mejor para saber q es lo q detecta el av es ir kitando funciones y analizando tu virus/rat hasta encontrar la q detecta el av y luego modificarla