самый простой способ обнаружить вирь - это его мегосигнатура в прогах.
Если прога не сжата и не криптована то там будет видел кусок исходного кода.
Покрайней мере первые версии не шифруются.
Достаточно глянуть чтобы внутри файла небыло строк типа
uses windows или Software\Borland\Delphi или \bin\dcc32.exe
хотя когда пойдет новая версия вирей, что скорее всего будет в ближайшее время, то наверное начнут шифровать строковые данные