Fragen? Antworten! Siehe auch: Alternativlos
Update: Hups, Tweet ist wieder weg. Mehr als den Tweet hatte ich auch nicht dazu.
Update: Lutz Donnerhacke dazu:
Der Killswitch ist kein Killswitch, sondern eine primitive Anti-Debug Maßnahme. In der Sandbox werden üblicherweise alle extenen Kommunikationen umgelenkt. Er testet also nur auf das Vorhandensein einer Analyse-Sandbox.
Zum Tweet ... Dort wurden verschiedene Teile der Malware miteinander verglichen, nicht verschiedene Versionen. Als er das nach einigen Minuten bemerkt hatte, hat er den Tweet gelöscht.
Empfehle doch allen Lesern, Resolverlogs und Firewalllogs nach der Domain oder deren Auflösung zu durchsuchen. Das zeigt auch inaktive Installationen.
Die Empfehlung reiche ich gerne weiter.