Sowas kann ja nur über "Heuristik" (besser: simple generische Erkennmethoden) erkannt werden. Und dabei werden sicherlich noch andere Parameter überprüft. Ist die Datei signiert? Sowas sollte z.B. die Einschätzung schon zu Deinen Gunsten verschieben.
Ja das habe ich auch getan und wenn ich die Zeile mit UrlDownloadToFile auskommentiere, mekern gleich 3 antivirus Programme nicht mehr (NOD32, ArcaVir und VBA32).
Nur noch Emsisoft und Ikarus mekern, aber die kenne ich nicht mal, also sind die auch nicht wichtig.
Überprüft habe ich die Datei auf
http://virusscan.jotti.org/de/
Was meinst du mit signieren?