Sembra molto facile da implementare, hardcode un URL in una funzione, e quindi eseguire la funzione (ogni 12 ore ad esempio). Controlla il numero di versione fornito dall'URL, se c'è una mancata corrispondenza, scarica l'aggiornamento dall'URL (crittografato con una chiave privata), quindi lo decrittografa con la chiave pubblica (codificata) e lo applica.
Perché gli autori di virus come WannaCry non implementano un tale meccanismo?
I malware creati per persistere su una macchina (come trojan, bot e simili) sono per lo più provvisti di routine di aggiornamento. La maggior parte dei casi il malware consentirà al master di fornire un collegamento a un altro binario che verrà quindi scaricato ed eseguito.
Poiché ogni malware creato per i robot "herd" è dotato di una funzione "download & execute", in alcuni casi questo è solo un passaggio facile. Scarica, esegui e poi uccide la persistenza dei binari principali.
Potrebbe ad es. guarda un po 'questo nel backend: (ignora il fatto, che questo gaudox è probabilmente vecchio e brutto come f ....;)
