Per rilevare le minacce AV tenta di confrontare il file con malware noto. Ma il malware cambia molto e quindi è molto comune che non sia possibile trovare una corrispondenza esatta con il malware noto. In questo caso, l'AV tenta di rilevare potenziali malware confrontando tecniche e comportamenti utilizzati nel binario con malware noto, ovvero l'utilizzo di specifici packer o simili.
Naturalmente tale euristica non può essere accurata al 100%. Ciò significa che può accadere che il malware venga contrassegnato come pulito (falso negativo) ma anche che i file innocui vengano contrassegnati come malware (falso positivo) perché hanno scoperto che impiegano tecniche viste nel malware. Troppi falsi negativi significano che il malware non viene bloccato dall'AV, ma troppi falsi positivi significano un sovraccarico, cioè che i file innocui vengono bloccati come nel tuo caso.
Sfortunatamente un basso tasso di falsi positivi di solito va di pari passo con un alto tasso di falsi negativi e viceversa, quindi i venditori di AV devono trovare un equilibrio tra questi due che è accettabile dagli utenti. L'esatto equilibrio dipende dall'AV e dalle impostazioni specifiche ma di solito vediamo un tasso di falsi negativi del 2,6% (cioè questo malware non viene rilevato) con solo pochi falsi positivi (cioè un overblock piccolo ma ancora esistente). Vedi av-comparitive per statistiche dettagliate.
Nel tuo caso un singolo fornitore AV aveva una firma o un'euristica che probabilmente corrispondeva al malware esistente basato su Python, solo perché si utilizzava anche python. Questo è un tipico caso di falso positivo e non c'è molto da fare. Una volta che il tuo prodotto è abbastanza importante, i fornitori di prodotti audiovisivi potrebbero indicarlo esplicitamente in bianco per evitare di etichettarlo come malware per sbaglio.