Большинство антивирусных программ работают с базой данных сигнатур, а не эвристическим обнаружением, поэтому большинство из них вообще ничего не заметят, если вы не напишите программу с той же сигнатурой, что и та, которую они ищут.
Если у вас есть эвристическая программа обнаружения, просто попробуйте некоторые очевидные действия вирусов, такие как изменение настроек, определяющих, какие программы запускаются при запуске, проверка процессов на наличие общих имен антивирусных программ и т. Д. Возможно, вы сможете найти документацию для вашей конкретной программы и выясните, какую именно эвристику она использует для обнаружения вирусов на основе поведения. Будет довольно сложно найти много полезного, просто запустив «вирус может сделать что-то подобное», слепо.