He leído que un malware encontrado por kaspersky se compiló en la zona horaria de Moscú. ¿Cómo saben el momento de la compilación?
Es posible obtener la fecha / hora de la compilación / vinculación, por ejemplo, desde COFFHeader.TimeDateStamp campo. Pero eso no le da la zona horaria ya que el campo es simplemente " el número de segundos transcurridos desde la medianoche (00:00:00), 1 de enero de 1970, UTC ". Supongo que Kaspersky concluyó un TZ de Moscú mirando la fecha / hora de compilación de múltiples versiones diferentes y viendo que la mayoría están entre las 4AM UTC (8AM Moscú) y las 2PM UTC (6PM Moscú) (similar a un análisis que FireEye hizo en su Apt28 report, página 27 ).
No creo que sea posible detectar la fecha / hora / zona horaria de la compilación hasta que, a menos que el malware lo haya especificado explícitamente.
La hora informada por Kaspersky debe ser la fecha / hora / zona horaria en que se notificó la primera amenaza de este tipo de malware a la base de datos del virus Kaspersky.