¿La heuristica esta loca?

[noele1995]

Ayer estuve trabajando en un keylogger, lo analice en chk4me.com y me salian 3 firmas, lo modee un poco y salieron rapidamente, lo escanee y ya yo na habia detecciones. Hoy con mi paranoya me ha dado por volver a escanearlo, y 3 FIRMAS de nuevo... yo aqui ya no lo entendia, pero bueno abri un nuevo proyecto, copie el codigo compile y tras las firmas fuera de nuevo...
Si alguien que sepa mas de esto me podria explicar porque pasan estas cosas se lo agradeceria ya que son cosas buenas a saber cuando intentas dejar algo fud.

Salu2, Noele1995.

[Karcrack]

¿Tagnames?

[x64core]

Karcrack que es eso de tagname desde ayer e estado buscando algo

[Karcrack]

El nombre de detección. Como Tr/Dropper y esas cosas...

[noele1995]

TR/Dropper.Gen ese odioso del avira me acuerdo que estaba, tambien me salieron 2 mas pero que no recuerdo ahora muy bien que deteccion me sacaban pero en uno ponia Gen. Tambien otra pregunta que me a surgido es porque en P-Code me salen mas detecciones que en codigo nativo?

[xxxposeidonxxx]

Eso suele ocurrir cuando la utilización de métodos para indetectar malware son publicos o usados por muchos usuarios! O ...las firmas estaban en la ruta del compilado !
Cuando usas métodos de indetección privados puedes sacarlos de código de fuente FUD durante mucho tiempo! 

ejemplos!

Agarras un Runpe y le das una simple ofuscación con un cifrado Rot13 de una tool publica y un Runpe publico, otro usuario tendrá ese Runpe y puede que coja la herramienta la misma cifrado de cifrado Rot que utilizaste tu! entonces si el que primeramente utilizo ese "método" y lo publica, las compañias de antivirus le firman el runpe, el que no publico el crypter también sera firmado! ¿porque? porque utilizo el mismo método que el otro que publico el crypter, por eso hay que innovar cosas nuevas y no hacer siempre los que hay en los vídeos, los vídeos son para que cojas un ejemplo y saques tus variantes !

saludos