Se eu quisesse descobrir se um arquivo é realmente um vírus, e não apenas um falso positivo, imagino que precisaria executar o arquivo em uma nova VM do Windows e acompanhar todas as alterações feitas na publicação inteira do sistema operacional -instalação e monitorar o tráfego da rede durante e após a execução.
Como devo fazer isso? Eu imagino wireshark ou Netlimiter para análise de rede, mas em termos de rastreamento de todas as alterações de registro e arquivo, não tenho certeza.