Archivos de etiquetas: troyano

[Actualizado 08/04/19]Aumento de SPAM relacionado al malware EMOTET

Actualización: 8 de abril de 2019:
Nuevamente nos encontramos frente a otra campaña basada en Emotet, ésta utiliza el correo electrónico para enviar archivos .ZIP con contraseña, la cual es posible encontrar en el mismo correo. Con esta técnica se evitan filtros de antimalware en gateways de correo hasta llegar al endpoint.
Una vez descomprimido, aparece un archivo de JavaScript, el cual al intentar ser ejecutado directamente libera el malware escondido. En esta oportunidad además se trata de un malware que roba credenciales del usuario, las cuales pueden ser de cualquier tipo de servicio (correo, banca, rrss, etc).
Como señuelo, esta variante arroja un mensaje de error (falso) al ejecutarse, éste indica “Formato de archivo no compatible. Hubo un error al abrir este documento. El archivo está dañado y no se pudo reparar…”. De cualquier forma el malware ya se encuentra instalado y ejecutándose.
Es recomendable alertar a los usuarios de esta amenaza para que estén conscientes de ésta en caso de recibir un correo con adjunto.ZIP y contraseña. Monitorear o bloquear la ejecución/descarga directa de archivos JS en las plataformas firewall, antispam y/o endpoint.
IoC:
Sitios web
http://pontoacessoweb[.]com.br/x6o5aq7/pW_t/
http://192.186.96[.]125/mult/health/nsip/merge/
http://afkar[.]today/cgi-sys/suspendedpage.cgi
http://192.186.96[.]125/iplk/dma/nsip/
http://www.liyuemachinery[.]com/config.replace/W_dK/
http://192.186.96[.]125/xian/merge/nsip/
http://192.186.96[.]125/json/sess/
Dominios
www.liyuemachinery[.]com
pontoacessoweb.com[.]br
entasystem[.]online
afkar[.]today
Hashes
3fef1791f40149036f14b13c38a559c7b9b44571
aa4ae06286b7932529389721446012ec1a68a3ed83c13ebe197d91e60b1a59f4
2c6be4fb920ab3ae5ded5be2936ec767
ffbe73591031973cb52f6950ed61b168a0f0bda69f004db08846dfc1bd1d1920
99d671ee30cb4a19558f5ae273698ec2
f55dc41ab2314e9252673aa5dcbaf6a54f96c2ce
a186a24cdd085c6b4f3bb2136f1c11a3ca7475fa08e91703723797ba8cf7778b
Actualización: 25 de marzo de 2019:
Durante los últimos 3 dias, el aumento de ataques mediante este malware ha incrementado de forma tal que el gobierno de Chile emitió una alerta desde su CSIRT, el cual indica:
“En base a informaciones recibidas de fuentes internas se ha establecido un estado situacional de alerta de ciberseguridad por incidente que se encuentra afectado a sectores relevantes de la economía.
Como producto de la coordinación intersectorial la información preliminar que se ha logrado recabar permite establecer que se debe bloquear, hasta que no se indique lo contrario mediante comunicado de igual o superior naturaleza, el siguiente sitio web y dirección IP:
Sitio web: triosalud[.]cl Dirección IP: 190[.]107[.]177[.]246
El bloqueo debe efectuarse tanto para flujos que provengan desde esos orígenes como flujos cuyo destino sean estos.
A nivel de RCE se están aplicando las protecciones respectivas y se ha elevado el nivel de alerta para estos patrones maliciosos.
Se notificará a los encargados de ciberseguridad en la medida que se detecte algún patrón que los involucre directamente para que se tomen las medidas del caso.
Otro comunicado, de no mediar una variación sustantiva de la situación, se emitirá para el restablecimiento del estado de normalidad en la RCE.”
Posteriormente se emitió un boletín nº2 el cual contiene una actualización de IP a bloquear, éste documento se encuentra en https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
La vulnerabilidad de WinRAR presente desde hace 19 años.
Hace poco mas de un mes fue publicada una vulnerabilidad en el ampliamente utilizado gestor de archivos comprimidos WinRAR, vulnerabilidad que se indica que existe hace 19 años (!!!). Esta vulnerabilidad consiste en renombrar un archivo .ace (otro formato comprimido) a .rar de forma que al abrirlo con WinRAR éste se instale en el inicio del sistema. La técnica de incrustar malware en archivos .ace no es nueva, y se ha utilizado previamente debido a la rareza de uso de este formato, por lo que muchos sistemas de revisión de malware en correo electrónico no solían analizar este tipo de archivos.
El investigador de seguridad Germán Fernández Bacian, detectó al analizar algunos dominios .cl que tienen la vulnerabilidad Directory Listing, mediante OSINT, que uno de estos alojaba un archivo llamado “denuncias.rar”, el cual había sido subido en el mismo dia del análisis al servidor. Al analizar este archivo mediante Hybrid Analysis indica que explota la vulnerabilidad de WinRAR, instalando un troyano bancario identificado como Integrity.exe. Este troyano se comunica al servidor .cl originalmente indicado para actualizar la tabla de activos infectados.
Otro archivo posteriormente encontrado “__Denuncia_Activa-CL.pdf.bat”, contiene un malware el cual sería el KL-Banker, el cual apunta a bancos chilenos. En su panel de administración se encontraron activos de distintos bancos en Chile.
Esto daría paso al comunicado de ciberseguridad emitido por el CSIRT del gobierno de Chile este viernes 22 de marzo de 2019.
Paralelamente la SBIF emite un comunicado con alerta de seguridad por presencia de malware en sistemas empresariales.
Spear phishing
Hubo una campaña de spear phishing (phishing dirigido a objetivos con un perfil definido previamente), en el cual se apuntaba a robar credenciales utilizando la botnet de Emotet. El objetivo específico son cuentas de empresas proveedoras a empresas más grandes, con el objetivo final de llegar a instituciones financieras, principalmente bancos. Este método se conoce como supply chain attack (ataque a la cadena de suministro).
Para esconder esta operación los atacantes utilizaron los sitios de GoDaddy para evitar ser detectados en dominios potencialmente peligrosos.

Algunos bancos bajaron sus portales de segmento empresas como precaución para evitar transacciones fraudulentas e infecciones.
Una muestra de correo de phishing para esta amenaza:

Más troyanos
Otro troyano detectado en estas campañas es el conocido como Zonidel. El cual tiene funciones de spyware y control remoto, lo que permitiría el robo de credenciales, manipulación de archivos, cargar otros malware en el sistema, participar en DDoS, finalización de procesos, etc.
Un listado de activos infectados se puede hallar en https://pastebin.com/ERs3xkia
Una recomendación de seguridad inmediata es actualizar WinRAR a la ultima versión.
Indicadores de compromiso:
Dominios:
5.39.218.210185.29.8.45190[.]107[.]177[.]246190[.]107[.]177[.]91triosalud[.]cl
URL:
hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://5.39.218[.]210/dns/dns.php?dns=<random>”hxxp://5.39.218[.]210/dns/logs/logpc.phphxxp://185.29.8[.]45/1.exehxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/
Hash:
421448d92a6d871b218673025d4e4e121e263262f0cb5cd51e30853e2f8f04d7
Originalmente publicado el 29 de noviembre de 2018:
Un aumento de correos Spam, Phishing y Spoofing relacionados al malware Emotet, es esperado en los siguientes dias; debido a la naturaleza polimórfica de este virus, la detección es variable para todos los antivirus.
Técnicamente Emotet es un troyano bancario, aunque es mayormente usado como un “descargador” para una variedad de otras amenazas (TrickBot, Zeus Panda Banker, IcedID y otros), utiliza robo de credenciales, propagación por red, recolección de información sensible, redireccionamiento de puertos, entre otras características. Esto lo convierte en una amenaza considerable.
El US-CERT emitió en el mes de julio un aviso de seguridad acerca de Emotet, indicando que “se encuentra entre los malwares más destructivos y costosos”. En casos de infección dentro de Estados Unidos, el costo de remediación asciende hasta USD$1 millón por cada incidente.
Según ESET el modo de infección comienza con un Spam bien diseñado, el cual puede contener hipervínculos maliciosos como adjuntos de Microsoft Word o PDF que aparentan ser facturas, mensajes de seguridad del banco o avisos de “actualización de Word”.
Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF. Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.
Agregaron que las nuevas variantes de Emotet se generan en promedio cada dos horas, de esta forma las firmas de este malware van cambiando constantemente, dificultando así la protección completa para las posibles víctimas.
“Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos.” indica ESET.
Se estima que esta nueva campaña tiene su auge el 5 de noviembre de 2018, luego de un periodo de baja actividad. Siendo sus principales víctimas entidades bancarias en Norte y Sudamérica.
Descripción de la Amenaza
Técnica:PDF, PowerShell, Office VBA Macro
Malware:Emotet
Actor:TA542
Familia:Downloader, Botnet, Stealer, Spambot
Sophos:CXmail/OleDl-AU,CXmail/OleDl-J,Troj/DocDl-QJO, Troj/DocDl-QLX
Asuntos:
Procedimiento de pago para sus servicios de John Lange – IN TimeCambion de su tarifa de Seguel, RodrigoWells Fargo statementProcedimiento de pago para su trabajo de Ehrlich | KolorprintValuation Invoice from 11/07/18
Adjuntos:
untitled-3st974835.docv1/9-27/4719.doccontrato.docnuevo-contrato.docnuevo-acuerdo.docacuerdo.docfa_num_xnx90393.docInvoice_No_96608.doc
Análisis de la infección
La infección inicial se distribuye a través de correo electrónico no deseado, con la siguiente secuencia de eventos: Un correo electrónico no deseado que contiene un enlace de descarga o un archivo adjunto que llega a la bandeja de entrada de la víctima.
El enlace de descarga apunta a un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica e inicia una secuencia de comandos Powershell. El script de Powershell intenta descargar y ejecutar Emotet desde múltiples fuentes de URL. Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble que incluiye un gran diccionario de contraseñas débiles y de uso común.
El diccionario de contraseñas se utiliza para obtener acceso a los sistemas en red. Una vez que obtiene acceso, se copia a sí mismo en acciones ocultas de C$ o Admin$. La copia recibe a menudo el nombre de archivo my.exe, pero se han usado otros nombres de archivo.
Emotet contiene una lista incrustada de cadenas entre las que elige dos palabras para fusionarlas en el nombre de archivo que utilizará en el momento de la infección inicial. Las cadenas elegidas se agrupan utilizando el ID de volumen del disco duro. Como resultado, el mismo disco duro siempre dará como resultado el mismo nombre de archivo para cada sistema infectado. También descarga un componente de actualización automática capaz de descargar la última copia de sí mismo y de otros módulos. Este componente se guarda como %windows%<filename>.exe, donde el nombre del archivo se compone de 8 dígitos hexadecimales.
Algunos de los otros módulos que este componente descarga se utilizan para recopilar credenciales de otras aplicaciones conocidas o para recopilar direcciones de correo electrónico de los archivos PST de Outlook para su uso con correo no deseado dirigido. Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. Luego instala y ejecuta el .exe actualizado como un servicio de Windows.
Fases de la infección

Ejemplo de SPAM

Análisis de causa raíz por Sophos

Análisis de la muestra
MALICIOSO
Nombre: Contrato.doc
Nombre Amenaza: Troj/DocDl-QKJ
Tamaño: 80KiB
Score Amenaza: 100/100
Tipo: DOC
AV Detección: 55%
Mime: application/msword
Tipo Virus: Troyano
SHA256: 98888c43345a90cfb2336a916e091eccf59d9cab4ff647585c9e170e9e5481df
Fuente:Información extraída de https://www.hybrid-analysis.com
Resultado de Análisis con diferentes antivirus
Se comprobó la amenaza en la página https://www.virustotal.com, dicha página permite el análisis de amenazas por medio de la verificación con 57 marcas diferentes de antivirus, de las cuales 35 marcas detectaron como positivo la detección de malware dando un 61% de coincidencia de peligrosidad y fue catalogado como troyano.

Link del análisis:
Top 10 Antivirus

Ransomware Scarab ataca a escala global

Una campaña con correos maliciosos está tomando forma, el mayor botnet de spam, Necurs, envía una nueva cadena de ransomware a una escala de 2 millones de correos por hora.
Entre el spam malicioso que se encuentra distribuyendo están el los troyanos Dridex y Trickbot, además de los ransomware Locky y Jaff, junto con una nueva versión de Scarab.

En estos correos se encuentra un script de VB y un adjunto comprimido en 7zip para realizar la descarga. Estos correos llegan con un adjunto en formato “Scanned from <MARCA_IMPRESORA>”.
Como siempre la principal recomendación es no abrir correos no esperados o de alguna otra forma sospechosos. Adicionalmente es grato saber que Sophos Antivirus detecta y previene este malware.
Para el próximo año se espera que el ransomware sea el principal método de ataque para los ciberdelincuentes, una excelente forma de prevención es Sophos Intercept X, el cual utiliza el comportamiento de las aplicaciones para evitar encriptaciones no solicitadas.
Información Técnica:
SHA-256:
Script: c7e3c4bad00c92a1956b6d98aae0423170de060d2e15c175001aaeaf76722a52
7zip: 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
URL de descarga (bloquear):
hard-grooves[.]com/JHgd476?
pamplonarecados[.]com/JHgd476?
miamirecyclecenters[.]com/JHgd476?
———–
Adicionalmente se detectaron nuevos hashes y fuentes de amenazas, los cuales también se recomienda bloquear:
http://8 0.211.173.20:80/amnyu.arm 0255c6d7b88947c7bc82c9b06169e69d http://8 0.211.173.20:80/amnyu.arm 3e72bbab07516010ab537d7236c48a2c http://8 0.211.173.20:80/amnyu.arm 6c5cadcc9dbcac55b42d1347f4b51df1 http://8 0.211.173.20:80/amnyu.arm7 2e5ec99ef2cf8878dc588edd8031b249 http://8 0.211.173.20:80/amnyu.arm7 359527251c09f4ec8b0ad65ab202f1bb http://8 0.211.173.20:80/amnyu.arm7 4c21d1f6acfb0155eb877418bb15001d http://8 0.211.173.20:80/amnyu.arm7 5cd69f7c5cd6aef4f4b8e08181028314 http://8 0.211.173.20:80/amnyu.arm7 794f01740878252e8df257b0511c65df http://8 0.211.173.20:80/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20:80/amnyu.arm7 eee4ff0e2c9482acea3251c9c2ce6daf http://8 0.211.173.20:80/amnyu.arm a6f11eba76debd49ee248b6539c4d83c http://8 0.211.173.20:80/amnyu.arm ccc8761335b2d829dff739aece435eac http://8 0.211.173.20:80/amnyu.arm dd10fb3ed22a05e27bca3008c0558001 http://8 0.211.173.20:80/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20:80/amnyu.m68k 1782f07f02d746c13ede8388329921e4 http://8 0.211.173.20:80/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20:80/amnyu.m68k 84d737bc5a1821c2f21489695c2c3a71 http://8 0.211.173.20:80/amnyu.m68k 8f347206f06b05ea8d2e8ea03f4f92d4 http://8 0.211.173.20:80/amnyu.m68k 94353157ddcd3cb40a75a5ecc1044115 http://8 0.211.173.20:80/amnyu.m68k b1c66e2a2ed68087df706262b12ca059 http://8 0.211.173.20:80/amnyu.m68k b8aedf6ee75e4d6b6beeafc51b809732 http://8 0.211.173.20:80/amnyu.mips 0ee0fc76a8d8ad37374f4ac3553d8937 http://8 0.211.173.20:80/amnyu.mips 2aa0c53d7d405fa6ffb7ccb895fb895f http://8 0.211.173.20:80/amnyu.mips 56b74e34ddf0111700a89592b5a8b010 http://8 0.211.173.20:80/amnyu.mips 62fa57f007a32f857a7e1d9fb5e064eb http://8 0.211.173.20:80/amnyu.mips 633df071ac6f1d55193fc4c5c8747f2a http://8 0.211.173.20:80/amnyu.mips 6eed6b55c5cd893aa584894a07eec32f http://8 0.211.173.20:80/amnyu.mips 97c314a2a100ea4987e73e008225d3be http://8 0.211.173.20:80/amnyu.mpsl 09d98cbaa9794184841450221d410f15 http://8 0.211.173.20:80/amnyu.mpsl 21f1ab847a9b27f8aaabcafd9cf59756 http://8 0.211.173.20:80/amnyu.mpsl 33e1e2803bb70cd0d66911175782c6a1
http://8 0.211.173.20:80/amnyu.mpsl 4e63eccca00b01b66162fa5258d03956 http://8 0.211.173.20:80/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http://8 0.211.173.20:80/amnyu.mpsl 7e0f883f239c922a151aab2500400880 http://8 0.211.173.20:80/amnyu.mpsl e46cbc10309e970ec267afee496832c9 http://8 0.211.173.20:80/amnyu.ppc 3dadafe1cc9639a7d374682dafab954c http://8 0.211.173.20:80/amnyu.ppc 49e4b3e5d7302c2faf08c1ed585a89ca http://8 0.211.173.20:80/amnyu.ppc 80bcea07b752ae4306da5f24f6693bea http://8 0.211.173.20:80/amnyu.ppc 9e4caeada13676ddc5b7be44e03fe396 http://8 0.211.173.20:80/amnyu.ppc a40852f9895d956fe198cb2f2f702ebf http://8 0.211.173.20:80/amnyu.ppc a8bde89d2fe98268801b58f42214cdca http://8 0.211.173.20:80/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http://8 0.211.173.20:80/amnyu.sh4 141930ed206ef5f076b2a233b390ea65 http://8 0.211.173.20:80/amnyu.sh4 1bdaf4cd21fb9cb42d971a25fb183d04 http://8 0.211.173.20:80/amnyu.sh4 25d3ddb85bf392c273dd93922199628c http://8 0.211.173.20:80/amnyu.sh4 39eddba755333e22841b2627a2a19e59 http://8 0.211.173.20:80/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http://8 0.211.173.20:80/amnyu.sh4 56afda94860e8d1ca8a7b9960769020d http://8 0.211.173.20:80/amnyu.sh4 9dc0c166e30922d1ea8da06ba46996dc http://8 0.211.173.20:80/amnyu.spc 3f0322c0b7379e492a17d3cb4fa2c82e http://8 0.211.173.20:80/amnyu.spc 53c60f58ce576071c71ede7df656e823 http://8 0.211.173.20:80/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http://8 0.211.173.20:80/amnyu.spc 651b186b04583f0067d4cc2d95565a95 http://8 0.211.173.20:80/amnyu.spc a18b4a6250f51c1f350b37e1187292fb http://8 0.211.173.20:80/amnyu.spc c5e1a57671dab607b8fa7363ab6582ab http://8 0.211.173.20:80/amnyu.spc e6cd9197d443fb9fa79ab103232e2b67 http://8 0.211.173.20:80/amnyu.x86 018a9569f559bfafbc433dc81caf3ec0 http://8 0.211.173.20:80/amnyu.x86 1663952daca0c49326fb8fa5585d8eec http://8 0.211.173.20:80/amnyu.x86 243d2c8ba1c30fa81043a82eaa7756e7 http://8 0.211.173.20:80/amnyu.x86 4b375509896e111ef4c3eb003d38077f http://8 0.211.173.20:80/amnyu.x86 6371b6b1d030ac7d2cb1b0011230f97f
http://8 0.211.173.20:80/amnyu.x86 64bda230a3b31a115a29e0afd8df5d8a http://8 0.211.173.20:80/amnyu.x86 ed825b8aadee560e5c70ffaa5b441438 http://8 0.211.173.20/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20/amnyu.mips 97c314a2a100ea4987e73e008225d3be http:// 80.211.173.20/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http:// 80.211.173.20/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http:// 80.211.173.20/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http:// 80.211.173.20/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http:// 80.211.173.20/amnyu.x86 4b375509896e111ef4c3eb003d38077f http:// blacklister.nl/bins/mirai.arm be6165a3e131cc92d3f7d51284cf70bb http:// blacklister.nl/bins/mirai.arm5n c639bc6b50ab0be250147572956a9d6b http:// blacklister.nl/bins/mirai.arm6 8f9c5099e3749d0199262289c9deaa3d http:// blacklister.nl/bins/mirai.arm7 e508956188f2cb71605ae0e8fbdf4a64 http:// blacklister.nl/bins/mirai.i486 25846ce769f0bd5b204f440127d51f21 http:// blacklister.nl/bins/mirai.i686 d3c82dd5d512304efc6a42018f0bf2a7 http:// blacklister.nl/bins/mirai.m68k 3ef657efcfe16ad869a587d30480306f http:// blacklister.nl/bins/mirai.mips b4af22c2b3b1af68f323528ee0bc6637 http:// blacklister.nl/bins/mirai.mips64 1e1d6b41a13c97ad3754815021dd0891 http:// blacklister.nl/bins/mirai.mpsl 6adb31781db797712d759f564b9761b6 http:// blacklister.nl/bins/mirai.ppc 7936cc1d021664892c48408ec1c9143c http:// blacklister.nl/bins/mirai.ppc440fp fd6235e4e1cf4a0f6c2d609a7b1ffc55 http:// blacklister.nl/bins/mirai.sh4 5c8ef7f23f26e0e48ab527ef83874213 http:// blacklister.nl/bins/mirai.spc 7ce73df7fb50beda2f549f9695a23538 http:// blacklister.nl/bins/mirai.x86 539e9bf8c81bd3e9ae520fd74218a6b8 http:// blacklister.nl/bins/mirai.x86_64 d69e501480f03f06e4579fa13e47d04a