алгоритм поиска вирусного кода скорее больше похож на поиск по регулярным выражениям. База вирусов это фактически набор масок, по которым осуществляется распознование с дополнительными проверками для уточнения модификации. При небольшой длинне маски часто и возникают проблемы с ошибочным распознованием, которое мы и наблюдаем с hook.dll, а так же с более знаменитым элементом WinExec. Избежать подобных проблем почти всегда удается незначительным изменением кода.

PS: был у меня когда *.com файл объемом что-то чуть менее 100 байт и один из антивирусов так же находил в нем трояна. Т.е. файл содержал ту самую маску из антивирусной базы и прекрасно демонстрировал несовершенство алгоритмов распознавания.