Der "Dropper.Gen" wird eher an "EOF" erkannt. Also Anhängsel an die letze Section. Die meisten Crypter korrigieren (wenn überhaupt) die letze Section nicht vollständig, was dann zu der Heuristikmeldung führt.
Crypt.XPACK.Gen sollte afaik dagegen an den benutzen APIs liegen.