Tenho quase certeza de que ferramentas de crack são detectadas como malware ou vírus porque, por definição, elas são. Sua finalidade específica é modificar programas e arquivos para que eles não funcionem conforme planejado. Eles excluem arquivos de verificação, modificam o status de registro e fazem o que for possível para impedir que o destino funcione como pretendido.
Mesmo que o crack permita que você, usuário, use o programa gratuitamente (ou seja, você está alcançando seu objetivo com o programa e fazendo com que ele funcione como você pretende), o AV não se importa com isso. Se algum programa quiser editar outro (ou editar arquivos de sistema), ele se ajusta à definição de qual malware é.