Pues hay ciertas acciones q el av detecta como sospechosas, por ej:

Q nada mas iniciarse el ejecutable se autocopie o se añada al reg (ponlo en un timer)

algunas cadenas como HKEY_LOCAL_MACHINE\.... vamos las cadenas para añadirse al registro (las encriptas y ya esta)

Algunas apis como urldownload (llamala mediante su espacio en memoria)

Algunas cadenas como virus, troyano, rat (simplemente no las pongas xDD)

Acciones como abrir el cd y lameradas de ese estilo



Lo mejor para saber q es lo q detecta el av es ir kitando funciones y analizando tu virus/rat hasta encontrar la q detecta el av y luego modificarla 

jejejeje solo me referia a lo del registro xD

GUID como encrypto ese registro o que ay que sea personal mio, por que segun dijo benru que por eso agarraron al tipo del macro melissa

que por que no cambio su GUID

segun se es para las extensión una cosa asi sun reaciones a cada extensión poero la verdad no se que tenga que ver ni como se la encrypto

que guarda informacion personal como el FilePath asi como donde fue compilado?

tienes razon jejej XDDD entendi mal, pense q hablaba de source sorry jejej 

Con las apis LoadLibrary, GetProcAddress y CallWindowProc, mirate la api guide pa mas info (aunke te aviso q el ej de la apigude te peta el VB xDD)