Ho letto che un malware trovato da Kaspersky è stato compilato nel fuso orario di Mosca. Come fanno a sapere l'ora della compilazione?
È possibile ottenere la data / ora di compilazione / collegamento, ad esempio da COFFHeader.TimeDateStamp campo. Ma questo non ti dà il fuso orario in quanto il campo è solo " il numero di secondi trascorsi da mezzanotte (00:00:00), 1 gennaio 1970, UTC ". Presumo che Kaspersky abbia concluso un TZ di Mosca guardando la data / ora di compilazione di più versioni diverse e vedendo la maggior parte tra 4AM UTC (8AM Moscow) e 2PM UTC (6PM Moscow) (simile a un'analisi eseguita da FireEye nel loro report dell'Apt28, pagina 27 ).
Non penso che sia possibile rilevare la data / ora / fuso orario della compilazione fino a quando il malware non lo ha specificato esplicitamente all'interno.
Il tempo segnalato da Kaspersky deve essere la data / ora / fuso orario quando la prima minaccia di tale malware è stata segnalata al database dei virus di Kaspersky.