Een recent ontdekt Trojaans paard blijkt opzettelijk niet op Windows XP te werken, niet omdat Microsoft de ondersteuning over een aantal maanden stopzet, maar als misleiding. De auteur blijkt een specifieke functie op een manier aan te roepen die niet op Windows XP werkt. Hierdoor crasht de applicatie op het inmiddels elf jaar oude besturingssysteem.

Op Vista en nieuwer werkt alles naar behoren. Volgens Hiroshi Shinotsuka van anti-virusbedrijf Symantec is dit opzettelijk gedaan om de malware bij gerichte aanvallen in te zetten en detectie te ontlopen.

De kwaadaardige lading van de malware wordt pas na de functie actief waardoor die op Windows XP crasht. De analist stuurde de malware naar acht geautomatiseerde analysesystemen op internet, maar geen enkel systeem sloeg alarm. Dit zou kunnen komen door het gebruik van XP voor de analyse of de manier waarop de aangeroepen functie wordt gebruikt.

Data
Daarnaast viel de malware ook op omdat het allerlei opmerkelijke details van besmette computers verzamelt, zoals de aanwezigheid van een draadloze netwerkkaart, het soort werkgeheugen, de fabrikant, instellingen, serienummer en versie van het BIOS en omschrijving van de batterij.

De malware werd op twee systemen door Symantec aangetroffen. Shinotsuka stelt dan ook dat de kwaadaardige code bij gerichte aanvallen is ingezet. De malwaremaker wist tevens dat het aangevallen bedrijf Windows Vista of nieuwer gebruikte en zou daarom opzettelijk ervoor hebben gekozen om dat malware geen Windows XP te laten ondersteunen.