Zitat von 0xF30FC7:

Die Aussage ist falsch. Es hat durchaus einen Grund wieso WebWasher Delphi (2007?) Executables als infiziert betrachtet.

Im Normalfall hat eine Executable exakt eine ausführbare Section (.text) und in dieser liegt entsprechend auch der Entry Point, ausser ... ja ausser sie ist infiziert. Dann gibts oftmals eine weitere ausführbare Section und der Entry Point zeigt nicht mehr in die erste ausführbare Section sondern in die zweite.

Die Delphientwickler habens leider nicht so mit Standards oder meinen es besser zu wissen als alle anderen und daher haben Delphi Executables nun leider Gottes nicht eine sondern mindestens zwei ausführbare Sections (.text, .itext) und der Entry Point zeigt auch nicht auf die erste Section (.text) sondern auf die zweite (.itext). Rein strukturell sehen Delphi Executables also aus wie infiziert.

Sobald Du die Executable patchst und den Entry Point in die erste Section verlegst, so daß sie aussieht wie eine "normale" ausführbare Datei, hat auch WebWasher nichts mehr zu bemängeln.