Digo que debe ser específico porque cada anti virus tiene su manera propia de defenderse, acordate que hace unos años uno podía matar un anti virus con un simple taskkill.
Eso hacia la tarea de infectar una pc mucho mas facil.
Ahora no podés hacer eso ni a palos, ni siquiera podés usar la api openprocess(),yo me acuerdo que había hecho un programa que se salteaba la protección que tenía otro programa contra matar el proceso, inyectando datos aleatorios y haciendo crashear el proceso.

El tema es que en cuanto una herramienta se hace muy popular, ya se buscan medios para contrarrestar dicha herramienta.
Por supuesto, un usuario muy avanzado, conociendo su objetivo, podría experimentar con diversos métodos para hacer indetectable un programa que mate el proceso del anti virus objetivo y el firewall, para luego infectar la pc y dejarla completamente vulnerable.
Pero estamos hablando de cosas muy hard core...

Generalmente lo que se hace con una suite de seguridad es intentar saltarse las protecciones de maneras no tan bruscas ya que la idea principal es pasar desapercibido. Agregar excepciones a mano (siempre que se pueda bypassear la protección de las configuraciones), engañar al motor de análisis de la forma que sea posible (signatures, codepaths, etc) suelen ser las formas mas comunes.
Si uno entra en modo kernel no necesariamente tiene que ser para desactivar la suite, mas bien todo lo contrario. Si en ese ámbito se encuentra un posible fallo (hooks mal implementados, por ejemplo) entonces se lo explota y se lo aprovecha, pero desactivar la suite de seguridad es la ultima instancia cuando no quedan otras alternativas, por lo menos para cualquier malware serio.
Igualmente cada caso es un mundo. No es lo mismo comparar Avg Free o Avast con otras suites como Kaspersky o Comodo.

En la mayoria de las suites de seguridad existen errores de diseño que pueden ser explotados. Por esa razón los usuarios siempre tienen que tener en mente que un antivirus/firewall solo es una simple protección mas que si no va acompañada de brain.exe es lo mismo que la nada.

En cuanto a la idea principal del post, es preferible que detecte de mas y no de menos. Si es un falso positivo y es una utilidad que conocemos, se agrega una excepción -dos clicks- y asunto arreglado.

Dime tu si el Avast debe o no debe avisar del serv-u
ServU.exe
Submission date:
2010-11-30 05:14:49 (UTC)
Current status:
finished
Result:
1 /42 (2.4%)

Antivirus    Version    Last Update    Result
AhnLab-V3    2010.11.30.00    2010.11.29    -
AntiVir    7.10.14.136    2010.11.29    -
Antiy-AVL    2.0.3.7    2010.11.30    -
Avast    4.8.1351.0    2010.11.29    -
Avast5    5.0.677.0    2010.11.29    -
AVG    9.0.0.851    2010.11.30    -
BitDefender    7.2    2010.11.30    -
CAT-QuickHeal    11.00    2010.11.30    -
ClamAV    0.96.4.0    2010.11.30    -
Command    5.2.11.5    2010.11.30    -
Comodo    6898    2010.11.30    -
Emsisoft    5.0.0.50    2010.11.30    -
eSafe    7.0.17.0    2010.11.29    -
eTrust-Vet    36.1.8007    2010.11.29    -
F-Prot    4.6.2.117    2010.11.29    -
F-Secure    9.0.16160.0    2010.11.30    -
Fortinet    4.2.254.0    2010.11.29    -
GData    21    2010.11.30    -
Ikarus    T3.1.1.90.0    2010.11.30    -
Jiangmin    13.0.900    2010.11.29    -
K7AntiVirus    9.69.3115    2010.11.29    -
Kaspersky    7.0.0.125    2010.11.30    -
McAfee    5.400.0.1158    2010.11.30    -
McAfee-GW-Edition    2010.1C    2010.11.29    -
Microsoft    1.6402    2010.11.29    -
NOD32    5659    2010.11.29    probably a variant of Win32/ServU-Daemon
Norman    6.06.10    2010.11.29    -
nProtect    2010-11-29.01    2010.11.29    -
Panda    10.0.2.7    2010.11.29    -
PCTools    7.0.3.5    2010.11.30    -
Prevx    3.0    2010.11.30    -
Rising    22.76.00.01    2010.11.30    -
Sophos    4.60.0    2010.11.30    -
SUPERAntiSpyware    4.40.0.1006    2010.11.30    -
Symantec    20101.2.0.161    2010.11.29    -
TheHacker    6.7.0.1.093    2010.11.30    -
TrendMicro    9.120.0.1004    2010.11.30    -
TrendMicro-HouseCall    9.120.0.1004    2010.11.30    -
VBA32    3.12.14.2    2010.11.29    -
VIPRE    7451    2010.11.30    -
ViRobot    2010.11.30.4176    2010.11.30    -
VirusBuster    13.6.66.0    2010.11.29    -
Additional information
Show all
MD5   : b8281e121cd893d4bab9c8422d0c021b
SHA1  : 4d036162d211d85b6aa44eae782e01399f1e4488
SHA256: 1825a36cddba11a18be02cea17b97071be68ce00aae21c65c78ea59091895f82

Creo que es una irresponsabilidad decir que un antivirus es malo por una prueba tan trucha.

Todos sabemos lo dificil que es desarrollar y mantener un antivirus, en especial apareciendo nuevas amenazas tan seguido y que esto se haga gratis y con el minimo de publicidad  se agradece

Se

Pero el exe nod no lo detecta como malware