Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Bei noch neuartiger Malware stellt sich zunächst immer die Frage, welches Ziel diese verfolgt. Wir beobachten derzeit eine neue .NET Spyware, über die bisher noch nicht berichtet wurde. Sie zeichnet sich vor allem durch den Gebrauch hartnäckiger Anti-Analysetechniken aus, die durch die Verwendung des Packers Confuser implementiert wurden. Abgesehen davon investiert sie zur Laufzeit jedoch nicht viel Mühe in ihre Tarnung, und offenbart damit ihre Absichten. Die Spyware sammelt Login-Daten vieler verschiedener Programme und verwendet einen Keylogger, um an Informationen zu gelangen.

 

Die von uns Camolog getaufte .NET Spyware verbreitet sich über eine derzeit laufende Phishing-Kampagne. Sie bringt einen Keylogger mit und sammelt Login-Daten von Mail-Clients, Browsern, FTP- und Instant-Messenger-Clients. Die so eingesammelten Zugangsdaten werden nach solchen Informationssammelkampagnen in der Regel von den Cyberkriminellen verkauft oder für Folgeangriffe verwendet.

 

Phishing-Mails als “Dosenöffner”

 

Bei den einzelnen E-Mails der eher moderat großen Spam-Mail-Welle variieren die Betreffzeilen (siehe Screenshot) und Attachments leicht. Die Attachments, mit denen die Malware ausgeliefert wird, hatten meistens eine Größe zwischen 400KB und 1,3MB. In dem folgenden Screenshot ist eine dieser Phishing-Mails zu sehen, wobei die verwendeten Kontaktinformationen geschwärzt sind, da es sich bei diesen häufig um entwendete Informationen echter Personen handelt.

 

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

 

Die Phishing-Mail gaukelt dem Empfänger vor, nach einem Angebot zu fragen und motiviert ihn so dazu, den Anhang zu öffnen. In diesem jedoch befindet sich ein RAR-Archiv mit dem Namen Sample Product 9076_pdf.rar. Das Archiv versteckt die ausführbare .NET-Datei SampleProduct9076_pdf.exe, die als Dropper der Spyware dient und durch eine Variante des öffentlich verfügbaren Verschleierungstools Confuser gesichert wurde.

 

Die Verwendung von Confuser wird offensichtlich, öffnet man die Malware im .NET Decompiler dotPeek. Auch der verwendete Projektname “dimineata” ist auffällig und lässt sich zur Identifikation der Malware verwenden. Das zeigt der nachfolgende Screenshot.

 

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

 

Der Einsatz von Anti-Decompiler- und Anti-Debugger-Techniken erschwert jedoch die Analyse der Malware. So stürzt das Analysetool IDA Pro bereits beim Laden der Binärdatei ab, .NET spezifische Decompiler funktionieren nicht richtig und bei dynamischen Analysen verwendete Debugger schlagen fehl, sodass manuelle Analysen kaum Informationen liefern. Das ist wahrscheinlich auch einer der Gründe, weshalb bisher keine Berichte über diese Spyware zu finden sind.

 

Camolog widersetzt sich einer Untersuchung

 

Erst nach der Ausführung in einer gesicherten und überwachten Umgebung lässt sich ein Überblick über das Verhalten der Malware gewinnen. Dabei ist unter anderem zu beobachten, dass die Malware als Prozess mit Namen “chrome.exe” und der Beschreibung “Accu-Chek 360˚ diabetes management software” läuft. Dieser Prozess startet einen weiteren Subprozess mit gleichem Namen. Nach kurzer Zeit legt die ursprüngliche Binärdatei eine Kopie von sich als AppData\Local\Temp\iaq\iaq.exe an, startet ihren Subprozess und löscht sich im Anschluss daran selbst.

 

Zu dem Zeitpunkt, an dem der Subprozess geladen werden soll, müssen dessen Binärdaten vollständig entpackt und entschlüsselt im Speicher vorliegen. Die Übergabe erfolgt in Form eines Bytearrays an die AppDomain.Load()-Funktion. Da diese Funktion zum .NET Framework gehört, ist sie nicht von den Anti-Analysetechniken des Verschleierungstools betroffen und lässt sich im Gegensatz zu den Funktionen der Malware problemlos analysieren. Dadurch ist es mit einem Debugger wie dnSpy möglich, einen Breakpoint auf diese Funktion zu setzen und die Binärdatei der vom Dropper nachgeladenen Malware aus dem Speicher zu dumpen. Diese soll nun nachfolgend etwas genauer untersucht werden.

 

Untersuchung der Spyware

Untersuchung der Spyware

 

Die Binärdatei der gedroppten Spyware wurde nur durch eine zufällige Umbenennung der Funktionen und Variablen und nicht durch weitere Anti-Analysetechniken verschleiert. Somit lässt sich mit einem .NET Decompiler wieder lesbarer Sourcecode generieren, der das Verhalten der Malware verrät.
 

Welche Informationen sammelt die Spyware?

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die Spyware sammelt etliche Informationen: Neben den in den Favoriten gespeicherten Verbindungsdaten des FTP Clients SmartFTP auch Passwörter des Clients WS_FTP, die zuletzt verwendeten Verbindungen von FileZilla, Verbindungen gespeicherter Sessions von WinSCP, aber auch die Verbindungsdaten von FTPWare.

 

Zusätzlich werden die in dem Instant Messenger Pidgin gespeicherten Accountdaten sowie die Passwörter des Video Chat Tools Paltalk ausgelesen. Camolog sammelt außerdem fleißig die Account-Daten der Mail-Clients Outlook und Thunderbird sowie die Login-Daten der Browser YandexBrowser, ChromePlus und Chromium. Mit einem Keylogger kann die Spyware zudem eingegebene Informationen und Passwörter jeglicher Art mitschneiden.

 

Die Spyware nistet sich im System ein, indem sie Registry Keys für Windows Autorun anlegt (siehe Indikatorenliste). Durch diese Registry Keys und den laufenden Prozess “chrome.exe” ist die Malware sehr gut im System zu identifizieren.

 

Alles gut mit Hornetsecurity ATP

 

Mit unseren ausgeklügelten Spamfiltermechanismen erkennen wir E-Mails dieser Kampagne seit dem ersten Auftreten und filtern diese bereits in der Cloud heraus. So hat die Spyware keine Chance, in die Nähe der Unternehmensinfrastruktur unserer Kunden zu gelangen. Durch Hornetsecurity Advanced Threat Protection genießen unsere Kunden zudem den Schutz vor jeglichen Variationen dieser Malware. Durch den Einsatz von Verhaltensanalysen liegt der Schutz von Hornetsecurity ATP weit über dem eines herkömmlichen Spamfilters. Hier ein Auszug der ATP-Verhaltensanalyse:

 

Die detaillierte Auswertung der Sandbox-Analyse

Die detaillierte Auswertung der Sandbox-Analyse

 

Liste der Indikatoren zur Erkennung der Malware:

 

Phishing-Mails:

 

Betreffzeilen, die in der Kampagne verwendet werden:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Attachment der Phishing-Mail – Win32 RAR Archive:

 

  • Dateiname: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Attachments anderer E-Mails dieser Kampagne:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Dateityp: RAR archive data, v4, os: Win32
  • Größe: 331K
  • Inhalt des Archivs, SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Dropper aus dem Archiv:

 

  • Dateiname: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Andere Dropper der Kampagne:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 429K
  • Prozessname: chrome.exe
  • Beschreibung: Accu-Chek 360˚ diabetes management software
  • Droppt die Datei, SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Signifikanter String:  dimineata.exe
  • Legt außerdem eine Kopie von sich unter C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Nachgeladene Spyware:

 

  • Dateiname: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 58K
  • Prozessname: chrome.exe

 

Registry Keys, von denen Informationen gesammelt wurden:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Dateien, von denen Informationen gesammelt wurden:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Registry Keys, die angelegt wurden, um Persistenz herzustellen:

 

  • Autoruneintrag des Droppers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Autoruneintrag der Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot
NanoCore – Kreative Verbreitung eines alten Bekannten

NanoCore – Kreative Verbreitung eines alten Bekannten

 

Es müssen nicht immer neu entwickelte Schadcodes sein, die Angreifer verwenden. Oftmals nutzen sie auch erprobte Malware für ihre Zwecke, wenn es für sie passend erscheint. Ungleich wichtiger in einem solchen Fall ist es dann natürlich, den Verbreitungsweg so zu wählen, dass sich die Schadsoftware unbemerkt beim Opfer platzieren lässt. Wir haben uns ein solches Vorgehen einmal etwas genauer am Beispiel NanoCore angeschaut.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

NanoCore ist ein Remote Access Trojaner, der seit 2013 in verschiedenen Versionen als  vergleichsweise günstiges Fertigprodukt zu erwerben ist. Remote Access Trojaner sind eine sehr gefährliche Malwareart, die es Angreifern erlaubt, infizierte Systeme komplett aus der Ferne zu steuern und zu überwachen. 2015 wurde die Vollversion von NanoCore mit allen Plugins gecracked und ist seitdem in Untergrundforen kostenlos erhältlich.

 

Der Entwickler von NanoCore wurde letztes Jahr festgenommen und in einem spannenden Verfahren zu 3 Jahren Haft verurteilt. Von besonderer Bedeutung ist der Fall vor allem deshalb, da erstmals ein Entwickler eines Dual-Use-Tools verurteilt wurde, der das Tool nicht “für den Eigenbedarf” zum Hacken verwendet hat. Entscheidend für die Verurteilung war, dass der Entwickler die Software in Hackerforen angeboten hatte und wusste, dass manche seiner Kunden das Tool für illegale Zwecke einsetzen würden.

NanoCore ist noch immer nicht aus der Mode gekommen und treibt weiterhin sein Unwesen. Da das Tool jedoch sehr gut analysiert ist und daher leicht von Antivirenprodukten aufgespürt werden kann, müssen die Angreifer oft kreativ werden, um den Trojaner auszuliefern. Hierfür denken sie sich ausgefeilte Verschleierungsmethoden aus.

 

In der vergangenen Woche konnten wir einen Cyberangriff mit NanoCore beobachten, in dem auf kreative Art und Weise verschiedene Techniken kombiniert wurden, um den Remote Access Trojaner auszuliefern und zu installieren. Hierfür verwendeten die Angreifer eine Kombination aus Phishing, einem selbstextrahierenden Winrar-Archiv sowie dem legitim nutzbaren Administrationswerkzeug AutoIT.

 

Auslieferung per Phishingmail

 

Die initiale Phishingmail gaukelt dem Empfänger ein besonderes Geschäftsangebot vor, das in einem mitgelieferten PDF namens “inquiry.pdf” im Anhang stehen soll. Durch die Verwendung vollständiger Kontaktinformationen soll die Mail überzeugender wirken. Da diese Informationen häufig echt sind, haben wir sie im nachfolgenden Screenshot ausgeschwärzt.

 

Beispiel Phishing Mail

Beispiel für eine Phishing Mail

 

Das anhängende Phishing-PDF sieht aus wie ein Link zu Dropbox, beinhaltet aber eine URL, über die eine Archivdatei aus einer anderen Quelle heruntergeladen wird.

 

Fake Dropbox-Seite zu Malware-Link

Fake Dropbox-Seite zu Malware-Link

 

In diesem “inquiry.zip” ZIP-Archiv befindet sich die Datei “inquiry.scr”. Die Dateiendung “scr” ist nur eine Alternative zu “exe” und wurde früher für ausführbare PE-Dateien verwendet, die Bildschirmschoner installieren. In diesem Fall handelt es sich um ein selbstextrahierendes Winrar-Archiv, das als Malwaredropper missbraucht wird.

 

Verwendung eines selbstextrahierenden Archives

 

Die in der Datei enthaltenen Strings zeigen, dass es sich bei der scr-Datei um ein selbstextrahierendes Winrar-Archiv handelt. Signifikante Strings sind beispielsweise:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

Das Archiv ließ sich manuell nicht fehlerfrei extrahieren. Erst eine Ausführung der Datei zeigt den unbeschädigten Inhalt des Archives, bestehend aus:

 

  • 42 zufällig benannten Dateien mit unterschiedlicher Endung, die nur um die 500 Byte groß sind und ASCII Daten enthalten
  • Das legitime Administrationstool AutoIT, umbenannt als “mta.exe”
  • Eine ASCII Datei “qoa.docx”, die 951K groß ist und die Konfiguration für AutoIT enthält
  • Eine ASCII Datei “stt=dsr”, die 3MB groß ist und ein obfuskiertes Script in der AutoIT-eigenen VBA-ähnlichen Scriptsprache enthält

 

Im August 2015 berichtete TALOS über einen ähnlichen Angriff , der die Kombination eines selbstextrahierenden Archives mit AutoIT verwendendete, um NanoCore auszuliefern. Der Angriff hat weitere Ähnlichkeiten zu der von uns beobachteten Attacke, was eine Verbindung zwischen den Vorfällen vermuten lassen. So stoppt beispielsweise der Angriff für 20 Sekunden, wenn ein laufender Avast Prozess detektiert wird. 2015 wurde jedoch ein Officemakro in der Phishingmail verwendet, während in dem hier untersuchten Fall ein PDF zum Einsatz kam. Auch bei den ausgelieferten Payloads gibt es Unterschiede, wie beispielsweise die Auslieferung weiterer Malware in dem 2015 von Talos untersuchten Angriff.

 

Angreifer missbrauchen Automatisierungstool AutoIT

 

AutoIT ist ein legales Werkzeug, das zur Automatisierung von Administrationsaufgaben verwendet wird. Es stellt hierfür eine eigene Scriptsprache bereit, die an VBA angelehnt ist. Das Tool ist frei erhältlich und wurde leider schon öfter von Kriminellen zur Installation von Malware verwendet, so dass es manchmal fälschlicherweise als gefährlich eingestuft wird.

 

Das AutoIT-Script in der Datei “stt=dsr” aus dem ZIP-Archiv hat eine AntiAV-Technik eingebaut, die die Ausführung schlafen legt, falls der Prozess “avastui.exe” auf dem System läuft. Es liest aus der “qoa.docx” Konfigurationsdatei verschiedene Werte aus der Sektion “Setting” aus. Danach wird eine zufällig benannte Datei erstellt, in die einer der ausgelesenen Strings geschrieben wird. Diese Datei ist ebenfalls ein obfuskiertes AutoIT-Script, 272K groß, und heißt in unserem Fall “DIENU”. In dieser Datei wird der String “Settings File Name” mit dem Namen der Konfigurationsdatei “qoa.docx” überschrieben. Anschließend setzt das Script die Attribute aller extrahierten Dateien auf “hidden” und “read only”, um sie möglichst unscheinbar werden zu lassen. AutoIT wird gestartet und das erstellte “DIENU”-Script, das “qoa.docx” als Konfigurationsdatei verwendet, wird AutoIT übergeben.

 

Intelligente Systemprüfung vor Installation von NanoCore

 

Das “DIENU”-Script nimmt einige Änderungen am System vor, so zum Beispiel das Ändern der Systemkonfiguration und von Registryeinträgen. Es versucht herauszufinden, ob es in einer VMware oder Virtualbox Sandbox läuft – falls dies der Fall ist, bricht das Script ab, um einer möglichen Analyse zu entgehen. Im weiteren Verlauf wird der Remote Access Trojaner installiert, indem Schadcode in den Prozessspeicher von “RegSvcs.exe” injiziert wird – ein .NET Tool, das zur Installation von Services gedacht ist. Diese Technik wird gerne verwendet, um Malware in legitimen Programmen zu verstecken.

 

Funktionsablauf des NanoCore-Angriffes

Funktionsablauf des NanoCore-Angriffes

 

Flexibilität von NanoCore durch modularen Aufbau

 

NanoCore ist modular aufgebaut. Die jeweiligen Plugins, die sich unabhängig voneinander ein- und ausschalten lassen, hat DigiTrust in einem Artikel ausführlich beschrieben. Bei diesem Angriff wurden zwei Plugins verwendet: Das Client Plugin in Version 1.2.0.0 und das Surveillance Plugin mit der Produktversionsnummer 1.0.1.7.

 

Die Plugins wurden als Bibliotheksdateien “ClientPlugin.dll” und “SurveillanceExClientPlugin.dll” für .NET geschrieben und mit dem Tool “Eazfuscator.NET 3.3” verschleiert. Um Analysen mit einem Debugger zu erschweren, sind die Methoden mit den Attributen “DebuggerHiddenAttribute” und “DebuggerNonUserCode” versehen. Hierdurch wird ein Debugging dieser Methoden und das Setzen von Breakpoints verboten.

 

Client-Plugin

 

Das Client-Plugin ist der Grundbaustein, der sich um die Kommunikation mit dem Command-and-Control-Server und die Verwaltung der gesammelten Informationen in einer Key/Value-Sammlung kümmert. Die Informationen lassen sich optional komprimiert per Pipe an den C2-Server senden. Der Client hat des Weiteren Optionen, um Einstellungen zu ändern, Plugins und sich selber zu deinstallieren und den Hostcomputer zu steuern, also diesen zum Beispiel herunterzufahren, neu zu starten, oder Sicherheitsmechanismen zu deaktivieren.

 

Surveillance-Plugin

 

Das Surveillance-Plugin bringt allerlei Features für die Überwachung des Opfers mit. So kann der Angreifer Passwörter, Logs und DNS Records sammeln. Der Hostcomputer ist per Remote-Desktop steuerbar, und es können Mitschnitte von Tasteneingaben, dem Mikrofon oder der Webcam aufgenommen werden.

 

Das Surveillance Plugin kann vier Kommandos empfangen:

 

  1. Password: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

Im Großen und Ganzen zeigt sich ein umfangreicher Werkzeugkasten, um den infizierten Rechner aus der Ferne komplett zu steuern und zu überwachen.

 

Kein Durchkommen dank Hornetsecurity ATP

 

So ausgefeilt die Verschleierungsmethoden dieses NanoCore-Angriffes auch sind, die wahre Absicht des Tools wird durch die Verhaltensanalysen der Hornetsecurity ATP Sandbox erkannt. Diese erkennt sowohl das Entpacken der Dateien, das Erstellen der neuen Dateien, die Prozessinjektion der NanoCore DLLs in einen legitimen Prozess, die Modifikation der Registyeinträge als auch die Netzwerkkommunikation.

 

Analysetätigkeiten von Hornetsecurity ATP

Analysetätigkeiten von Hornetsecurity ATP

 

Indicators of Compromise

 

Die folgenden Dateien mit ihren sha256-Hashwerten wurden in dem Angriff verwendet. Da AutoIT eine legitime Software ist, führen wir das Tool hier nicht mit auf.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Domain, von der das zip-Archiv heruntergeladen wurde: htXp://ibeitou.com/inquiry.zip