Ich muss dazu noch sagen, dass die Malwareaktionen in diesen Dingern extrem verdeckt ablaufen. In dem Fall zum Beispiel, wurde Code versteckt in den Speicher der EXE geladen und ein neuer Thread in der EXE gestartet, der die Malwareaktionen ausführte (das war auch in den LOGs des PPFScanners zu sehen).
In dem Fall könnte ich mir vorstellen, dass der Code, der da ausgeführt wird, gar nicht mit dem Paket des Cracks mitgeliefert wurde, sondern später (mit einer ganz anderen Endung als .dll und verschlüsselt) aus dem Netz nachgeladen wurde.
Aber auch für diesen Code gilt: Er führte da scheinbar sowohl Aktionen für den Crack als auch weitere Aktionen für den Malwarebefall aus.
Ich spreche hier allerdings nur von der Gaming Szene, die lässt sogar mittlerweile ihre Modifikation offen einsehbar.
Nur damit wir von der gleichen Sache reden: Ich rede von Software, die kostenpflichtige Software von Drittfirmen kostenlos nutzbar macht. Selbst wenn du den Code von solchen Sachen hast, können Malwareaktionen zum Beispiel durch Aufruf von Sachen erzeugt werden, die später in der Resource sitzen. Das hast du ja selbst schon gesehen, wie das geht.
Wenn ihr Leute in eurer Szene habt, die diese Sachen dekompilieren können und den dann vorliegenden ASM Code soweit auseinandernehmen können, dass sie jedes Byte dort verstehen (und das auch bei jeder EXE und jeder DLL tun), seit ihr da vielleicht recht sicher (es sei denn, die schreiben selbst solche Sachen). Programmierer sind in der Regel keine Idioten.
Du kannst aber davon ausgehen, dass jemand, der solche Codes schreibt, sehr genauen Überblick darüber hat, ob ihr das tut und könnt - oder eben nicht.