Wie bitte? Das Programmicon ist doch noch das Delphi
Standart Symbol.
Heuristiken basieren normalerweise auf mehreren Indikatoren. Wenn jetzt alle anderen zusammengenommen dem Wert schon fast über die Schwelle zu "böser Code" helfen, kann eine Heuristik in der das Delphi-Symbol eingearbeitet ist soetwas hervorrufen.
Stell es dir wie ein Punktesystem zusammen in dem verschiedene Indikatoren mit Wichtung einen Gesamtwert bilden, der dann gegen einen Schwellwert abgeglichen wird.
Programmname service.exe, wird vom laufenden Programm aufgerufen, laufendes Programm beendet sich, service löscht das Prgramm und stellt die neue Version bereit.
Ein paar Tage ging es gut, dann Virenalarm.
Programm umbenannt in dfdf.exe (also völlig sinnlos) und es funktioniert wieder.
Wiederum eine zu aggressive Heuristik.
Um dir auch hier ein Beispiel zu geben. mirc.exe war sehr lange ein beliebter
IRC-Client und wurde dann oft "vorinstalliert" weitergegeben. Oft war dann noch ein (bösartiges) Anhängsel in der .exe, so daß es für eine Heuristik unter bestimmten Umständen Sinn machen kann nach einem solchen Namen zu gehen.
service.exe und services.exe sind auch bei Malware-Autoren sehr beliebt weil die bei oberflächlicher Betrachtung nicht so schnell auffallen.
Und bitte diesem Kommentar nicht ganz ernst nehmen!!
...also im Umkehrschluss, ich gebe einem Virus einen völlig sinnlosen Namen und dann läuft er wieder...
Die bösen Jungs sind viel kreativer, glaub mir. Bei denen wird VirusTotal bspw. auch benutzt um abzuklären ob und wenn ja von wie vielen Scannern eine Malware erkannt wird. Dann ggf. in ein paar Iterationen anpassen und sobald keiner der "Großen" in der Branche es mehr erkennt, veröffentlichen.
Übrigens ist Avira in der Branche für die ausgesprochen hohe Anzahl von Fehlalarmen (false positives) bekannt.