Naaaahhh :-P
Ho semplicemente avuto un po' da fare in questi giorni...
Allora, il punto principale e importante è che è sicuramente
pulito, visto che nonostante tutto qualche dubbio uno poteva
averlo.
Ho controllato sia aprendo il file, sia analizzandolo a mano
con ProcMon e altro per vedere cosa fa.
A parte un paio di chiamate di sistema leggermente diverse al
momento dell'apertura della VM di VB6 (vedi sotto), il comportamento
è virtualmente identico..
Tra l'altro, adesso sono in 4 gli AV su Virustotal che lo
riconoscono :-(
Per tutti si tratta comunque di un riconoscimento generico;
alcuni dei nomi e degli alias di quel riconoscimento sono:
BackDoor.Generic.738, W32/VBTrojan.19F2!Maximus,
Win32/DelfInject.gen!AC, Suspicious.Cloud.2, Win32/VB.RGB
Suspicious_Gen2.WADLY, PE:Trojan.Win32.Generic.15D390B2!366186674
Mal/Behav-034, PAK_Generic.001, Generic.dx!E3E721EADB9A
...eccetera.
In altre parole, un /qualche cosa/ scritto in un VB6 di qualche
anno fa. Il perché non venga riconosciuto anche il mio può
dipendere da una questione di versione di qualche componente
di VB, presumibilmente il compilatore che effettua delle chiamate
leggermente diverse. Il come e il perché probabilmente non lo
sanno più neanche quelli della MS, se li conosco bene :-)
L'ultima possibilità resta quella degli aggiornamenti: nella mail
specificavi che l'ultimo che hai è l'SP6, ma dopo l'SP6 in effetti
*c'è* stato altro. Questo "cumulative update" del 2012 ce l'hai?
https://www.microsoft.com/en-us/download/details.aspx?id=7030
Bye, G.