Para detectar amenazas AV, intente comparar el archivo con malware conocido. Pero el malware cambia mucho y, por lo tanto, es muy común que no se encuentre una coincidencia exacta con el malware conocido. En este caso, AV intenta detectar un malware potencial comparando las técnicas y el comportamiento utilizados en el binario con el malware conocido, es decir, el uso de empaquetadores específicos o similares.
Por supuesto, estas heurísticas no pueden ser 100% precisas. Esto significa que puede suceder que el malware se marque como limpio (falso negativo), pero también que los archivos inofensivos se marquen como malware (falso positivo) porque han encontrado técnicas empleadas en el malware. Demasiados falsos negativos significan que el malware no se bloquea con el AV, pero demasiados falsos positivos significa un bloqueo excesivo, es decir, que los archivos inofensivos se bloquean como en su caso.
Lamentablemente, una tasa de falsos positivos baja suele ir acompañada de una tasa de falsos negativos alta y viceversa, por lo que los proveedores de AV deben encontrar un equilibrio entre estos dos que sea aceptable para los usuarios. El balance exacto depende de la AV y la configuración específica pero generalmente vemos una tasa de falsos negativos del 2..6% (es decir, este malware no se detecta) con solo unos pocos falsos positivos (es decir, un overblock pequeño pero aún existente). Consulte av-comparitives para obtener estadísticas detalladas.
En su caso, un solo proveedor de AV tenía alguna firma o heurística que probablemente coincidía con el malware existente basado en Python, solo porque usted también usa python. Este es un caso típico de un falso positivo y no hay mucho que pueda hacer al respecto. Una vez que su producto es lo suficientemente importante, los proveedores de AV pueden explícitamente incluirlo en una lista blanca para evitar etiquetarlo como malware por accidente.