Damit liegst du (leider) nicht so weit daneben. Bei VT hochladen war auch eine Weile Usus. Aber mittlerweile haben die Malwareautoren ihre eigenen Dienstleister. Man darf ja nicht vergessen, daß das nicht mehr die VXer aus den 1990ern und frühen 2000ern sind, die zeigen wollen was sie technisch so auf Lager haben, sondern daß es sich um eine im wahrsten Wortsinne organisierte Schattenwirtschaft handelt. Und unsere Geheimdienste mischen da mit, wie man spätestens nach Snowdens Enthüllungen auch ganz sicher weiß.

Übrigens: auch Zeitstempel (auch die von Signaturen, oder von den Datensätzen die zu den Debugsymbolen gehören oder der Zeitstempel im PE-Header - der allerdings nicht bei Delphi) sind Indikatoren bei den Heuristiken

Frisch erstelltes Programm bei dem andere Indikatoren knapp unter der Schwelle für die Erkennung bleiben? Oh?! Frisch erstellt! Bingo ... Hauptgewinn für den Entwickler!