Ich schätze mal, da hat die Heuristik zugeschlagen und durch ändern des Icons hat sich die verdächtige Bytefolge geändert.
Bytefolgen werden in Heuristiken eher weniger benutzt. Sowas wie: importiert Funktionen abc und def aus xyz.dll, Datei ist nicht signiert, Checksumme im
PE-Header ist nicht korrekt wären Anhaltspunkte. In Kombination sind dann mehrere dieser Dinger eine Heuristik und dienen dazu mehrere Varianten einer Malware (oder in Zukunft ähnliche Malware) zu finden.
Auch Signaturen sind eher selten einfach Bytefolgen oder so ...
Aber da du uns ja beharrlich die genaue Meldung verschweigst, kann man nur mutmaßen.
Hat er angegeben. Aber das war das HIPS (oder so).