Informe-v1.1.10 RSV CQR JLB AVM Final2
Transcript of Informe-v1.1.10 RSV CQR JLB AVM Final2
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
43
Glosario
AWK. Es un lenguaje de programación diseñado para procesar datos basados en texto, ya sean
archivos o flujos de datos.
Bash. Es un intérprete de órdenes de Unix para el proyecto GNU. También puede ser utilizado
como un lenguaje de programación, ya que se compone de todas las sentencias básicas de un
leguaje estructurado común.
Batch. En DOS, OS/2 y Microsoft Windows, un archivo de batch es un archivo de texto que
contiene una serie de comandos para ser ejecutados desde el intérprete de comandos.
Botnets. Son redes mundiales conformadas por equipos infectados, los cuales son conocidos como
“Zombis”. Estos equipos son llamados actualmente “Bots” y están a la espera de una orden
enviada por una computadora central conocida como Comando y Control (Command and Control,
C&C); hoy en día existen variaciones en la infraestructura que permiten la existencia de múltiples
computadoras centrales e incluso con capacidades de convertir a un simple “bot” en computadora
central. Son utilizadas para causar negaciones de servicio distribuidas (DDoS). A menudo los
atacantes dueños de estas redes hacen millonarias sumas de dinero rentándolas para propósitos
maliciosos.
Bots. Se trata de un programa robot, el cual se encarga de realizar funciones rutinarias. Pero que
también pueden ser usados para crear cuentas en sitios que otorgan cuentas de correo gratuitas,
para con esas cuentas realizar daños. También llegan a ser programas que a través de órdenes
enviadas desde una computadora central controlan el equipo personal de la víctima, es decir, la
convierten en un “Zombi”.
Caballo de Troya (Trojan horse). Se disfraza él mismo como un programa funcional mientras
encubre propósitos maliciosos y ocultos. Setiri y Hydan son buenos ejemplos.
Glosario
44
Combinación de códigos maliciosos. Combina varias técnicas, las cuales ya fueron descritas, para
incrementar la efectividad. Se ejemplifican con Lion y Bgbear.B.
Dirección IP. Es un código numérico que identifica a un equipo de cómputo en una red. Se forma
de 32 bits, o bien, cuatro octetos en su versión 4.
Dirección MAC. Significa Media Access Control (MAC) y es un identificador único y físico de cada
interfaz de red, ya sea cableada o inalámbrica. Es asignada por el fabricante de acuerdo con la
regulación de la IEEE. Se conforma de seis bytes y siempre es representada en sistema
hexadecimal.
DNS. Significa Domain Name System que en español se puede nombrar como Sistema de Nombres
de Dominio. Su función es proveer el mecanismo para el nombramiento de recursos y una manera
en que los nombres son usables en diferentes equipos, redes, familias de protocolos, redes
internas y organizaciones administrativas.
Exbibyte. Es una unidad de almacenamiento de información. Corresponde a 2060 bytes, es decir
1,152,921,504,606,846,976 bytes. Se representa con el símbolo EiB. El empleo del prefijo “exbi”
(exa binario) se debe a que es la potencia de 2 que más se aproxima a “exa”, prefijo cuyo valor es
1018, es decir, 1,000,000,000,000,000,000.
Exploit. Es aquel código que ataca una vulnerabilidad en particular de un sistema operativo o
aplicación. Los exploits no son necesariamente maliciosos, ya que gran cantidad de ellos son
creados por investigadores de seguridad informática para demostrar que existe una
vulnerabilidad. Sin embargo, existen ocasiones en que son componentes comunes de los
programas maliciosos como los gusanos informáticos.
FTP. Es el File Transfer Protocol, o Protocolo de Transferencia de Archivos. Tiene la intención
promover la compartición de archivos, incentivar el uso remoto de computadoras de manera
indirecta o implícita, proteger un usuario de variaciones en los sistemas de almacenamiento de
archivos entre equipos, y transmitir la información confiable y eficientemente.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
45
GPL. Su significao es General Public License, o bien, Licencia Pública General; es una licencia
creada por la Free software Foundation en 1989 y es usada principalmente para proteger la libre
distribución, modificación y uso del software. Su propósito es declarar que el software cubierto
por esta licencia es software libre y protegerlo de intentos de apropiación que restrinjan las
libertades anteriores a los usuarios.
Gusano (Worm). Se propaga a través de la red. Se auto-replica. Usualmente no requiere de
interacción humana para propagarse. Algunos ejemplos son Morris Worm, Code Red y SQL
Slammer.
HTTP. El Hypertext Transfer Protocol es un protocolo a nivel de aplicación para sistemas de
información transaccionales, colaborativos y distribuidos. Es un protocolo genérico y sin patria
definida, el cual puede ser usado para muchas otras tareas además de uso para hiper texto. Ha
estado en uso por la iniciativa global de información World-Wide-Web desde 1990.
Inundadores (Flooders). Los usuarios maliciosos utilizan los inundadores para atacar sistemas de
redes de cómputo con una carga extra de tráfico de red para llevar a cabo una negación de
servicio (DoS). Y cuando la negación de servicio es ejecutada simultáneamente por muchos
sistemas comprometidos (también llamados zombis), el ataque es conocido como negación de
servicio distribuida (DDoS).
Keyloggers. Son programas espías que toman el control de los equipos, para espiar y robar
información. Monitorean el sistema y registran las pulsaciones del teclado para robar las claves
tanto de páginas financieras y correos electrónicos, así como cualquier información introducida
por teclado que el equipo utiliza para conocer lo que la víctima ha realizado; como conversaciones,
ubicaciones visitadas, ejecuciones, movimientos, etcétera.
Mailers y Mass-Mailers. Son un especial tipo de gusanos de computadoras, los cuales se envían
ellos mismos en correos electrónicos. Los Mass-Mailers se enviarán a múltiples correos incluyendo
una copia de ellos mismos una vez que el código fue invocado. Programas como Happy99 o
calificado como W32/SKA.A@m envían una copia de sí mismo cada vez que el usuario envía un
nuevo mensaje.
Glosario
46
MD5. Es un algoritmo de reducción criptográfico diseñado por el profesor Ronald
Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts).
Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans
Dobbertin descubriese su debilidad. La codificación del MD5 de 128 bits es representada
típicamente como un número de 32 dígitos hexadecimal. Cualquier información a la que se le
aplique el algoritmo tendrá un correspondiente hash de salida que en teoría es único, es decir, que
no puede producirse con alguna otra combinación.
Modelo de interconexión TCP/IP. Son las siglas de Transmission Control Protocol/Internet
Protocol, es la arquitectura que rige todas las comunicaciones entre todas las computadoras en
Internet. Es un conjunto de instrucciones que dictan cómo se han de enviar paquetes de
información por distintas redes. También tiene una función de verificación de errores para
asegurarse que los paquetes llegan a su destino final en el orden apropiado.
Perl. Es un lenguaje de programación interpretado y diseñado por Larry Wall en 1987. Toma
características del lenguaje C, del lenguaje interpretado shell, AWK, sed, Lisp y, en un grado
inferior, de muchos otros lenguajes de programación.
Pharming. Es un software maligno que suplanta el servicio DNS mediante el archivo hosts local
para así conducir a la víctima a una página Web falsa. El efecto se aprecia al intentar entrar a un
determinado nombre de dominio en nuestro navegador redirecciona a la víctima al sitio que el
atacante ha cambiado. Por ejemplo, la página de un banco puede ser www.banco.com
(213.132.253.4) y el DNS resuelve la dirección 123.234.134.60, entonces no es fácil percatarse de
que se está visitando una página falsa perteneciente al atacante.
Phishings. Del inglés "fishing" (pescando). Este término se utiliza para identificar la acción
fraudulenta de conseguir información confidencial, vía correo electrónico o página web, con el
propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas
aparentemente iguales a la del banco o de los portales con ingreso por contraseña.
Programas generadores de correo spam. Estos programas son usados para enviar mensajes no
solicitados a grupos de mensajería instantánea, grupos de noticias, o cualquier otro tipo de
dispositivos móviles en forma de correo electrónico o mensajes SMS por telefonía celular.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
47
Usualmente los spammers lo hacen para ganar dinero al inundar las redes con tráfico que contiene
cierta publicidad.
Protocolo DHCP. Significa Protocolo de configuración de host dinámico. Es un protocolo que
permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su
configuración de red) en forma dinámica (es decir, sin intervención particular). El protocolo DHCP
sirve principalmente para distribuir direcciones IP en una red.
Protocolo IRC. El Internet Relay Chat es para uso de conferencia con base texto. Ha sido
desarrollado desde 1989, año cuando fue originalmente implementado para establecer
conversaciones entre un grupo de personas.
Puerta trasera (Backdoor). Lleva a cabo un desvío de los controles normales de seguridad para dar
al atacante acceso. Han sido muy útiles para los usuarios maliciosos las siguientes aplicaciones:
Netcat, Virtual Network Computing (VNC), subseven y back Orifice. Sin embargo, los dos primeros
pueden ser utilizados legítimamente como herramientas de administración remota, e
ilegítimamente como herramientas de ataque.
Puertos. Son los puntos finales de una comunicación. Son interfaces, por las cuales, diferentes
tipos de datos pueden ser enviados y recibidos. Se cuenta con 65535 interfaces de software en
cada dispositivo.
Red de datos. Es un conjunto de equipos de cómputo interconectados entre sí, de tal forma que
pueden intercambiar información.
RootKit a nivel de núcleo. Manipula la parte central del sistema operativo, el núcleo, para ocultar
y crear puertas traseras. Algunos ejemplos: Adore y Kernel Instrusion System.
RootKit a nivel usuario. Reemplaza y modifica programas ejecutables usados por administradores
y usuarios del sistema. Pueden aplicar la familia de Linux RootKit (LRK), Universal RootKit y
FakeGINA.
Glosario
48
Script Kidie. Es alguien que busca una presa fácil. No busca información específica o una víctima en
concreto. Su objetivo es ganar de la forma más sencilla posible privilegios. Hace esto centrando su
actividad en la búsqueda de una vulnerabilidad por toda Internet, que les permita explotar el
sistema. Tarde o temprano encontraran a alguien vulnerable. Algunos de ellos son usuarios
avanzados que desarrollan sus propias herramientas y garantizan su futuro acceso mediante
puertas traseras. Otros no saben lo que hacen y solo saben ejecutan herramientas.
Independientemente de su nivel de conocimientos, comparten una estrategia común, una
búsqueda aleatoria de cualquier vulnerabilidad, para a continuación aprovecharse de ella.
Sed. Es un editor de flujo, una potente herramienta de tratamiento de texto para el sistema
operativo Unix que acepta como entrada un archivo, lo lee y modifica línea a línea mostrando el
resultado en la salida estándar.
Sendmail. Es un popular "Agente de Transporte de Correo" (MTA, Mail Transport Agent) en
Internet, cuya tarea consiste en encaminar los mensajes o correos de forma que estos lleguen a su
destino.
Servicio simulado. AAAEs un servicio de red que simula a un servicio legítimo, maneja algunas
órdenes del este, sin embargo no llega más lejos y su función básica capturar los datos que iban
dirigidos al servicio en cuestión.
SHA1. Es el segundo de los algoritmos de la familia SHA (Secure Hash Algorithm, Algoritmo de
Hash Seguro) desarrollado por la NSA (Agencia de seguridad Nacional de los Estados Unidos) y
publicado en el NIST (National Institute of Standards and Technology). Produce una salida resumen
de 160 bits (20 bytes) de un mensaje que puede tener un tamaño máximo de 264 bits. Esta basado
en principios usados por Ronald L. Rivest, diseñador de MD4 y MD5.
Virus. Infecta un archivo del sistema víctima (p.e. ejecutable, documento de procesador de
palabras, etcétera). Él mismo se replica. Normalmente requiere de la interacción humana para su
activación (abriendo un archivo, leyendo un correo electrónico, arrancando el sistema o
ejecutando un programa infectado). Algunos ejemplos son Michelangelo y CIH.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
49
WMIC. El Windows Management Instrumentation Command-line revela una gran cantidad de
información sobre Windows Server 2003 y hardware subyacente, mediante el uso de Windows
Management Instrumentation (WMI). El primer propósito de WMIC es facilitar administración de
tareas automáticas y de script. Sin embargo, también es útil para la resolución de problemas ya
que sus reportes con información del sistema no están disponibles con otras herramientas.
Glosario
50
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
55
Apéndices
Preparación de la infraestructura
Para el correcto funcionamiento de la herramienta TRUMAN es necesaria la utilización de equipos
de cómputo con ciertas características en específico. En la infraestructura básica se debe contar
con lo siguiente:
Un servidor de arranque por red y servicios de red. Instalado con un sistema operativo
GNU/Linux.
Un equipo con Windows XP, puede ser en cualquiera de sus versiones.
Las siguientes consideraciones deben hacerse al instalar la herramienta:
El servidor de GNU/Linux almacena dos imágenes del cliente Windows XP. Una de ellas
es una imagen limpia, es decir, sin infecciones; la segunda es una imagen contaminada
como producto de la ejecución de un código malicioso, ésta última se genera cada vez
que se ejecuta un programa malicioso para su análisis.
Los estados de antes y después de la infección son ampliamente comparados para la
obtención de la información relevante.
El sistema operativo del equipo cliente será restaurado por el servidor mediante la
utilización de la imagen no contaminada. Esto permitirá dejar listo al cliente para un
nuevo análisis.
Antes de instalar el desarrollo de la herramienta TRUMAN en el servidor, será necesaria la
instalación de una serie de utilidades que complementan al desarrollo y le permiten desempeñar
todas sus funcionalidades. A continuación un listado de dichos complementos.
Servidor DHCP (dhcpd)
Servidor Apache 2 con soporte Perl (httpd y mod_perl)
Servidor TFTP
Apéndices
56
Sendmail
Snort
Tcpflow
Tcpdump
Comando “dd”
Entre otras.
Por último queda mencionar las características físicas y lógicas tanto del servidor como del cliente
de la herramienta. En el caso del servidor se debe instalar en un equipo con al menos 1 Gb de
memoria RAM, por lo menos 10 Gb en disco duro, un procesador de mínimo 1.6 Ghz y dos
interfaces de red 10/100 Mbps; debe tener instalado un sistema operativo GNU/Linux de manera
básica, es decir, sin interfaz gráfica, ya que no es necesaria; para el desarrollo de este proyecto he
utilizado la distribución de GNU/Linux Debian 4.0 Etch, la cual resulta sencilla de instalar, utilizar y
administrar. Para el caso del cliente en realidad puede tratarse de un equipo no muy potente,
pues sólo llevará a cabo la tarea de ser cliente; se recomienda que tenga 256 Mb de memoria, 2
Gb en disco duro y una interfaz de red 10/100 Mbps; debe contar con un Windows XP instalado en
una partición de 2 Gb y se recomienda que no más, aunque sí puede ser menos. Creo que no es
necesario mencionar que ambos equipos deben contar con los medios de entrada suficientes para
realizar la instalación de sus respectivos sistemas operativos como unidades de CD y DVD, según
sea el caso. También se requiere un cable cruzado para su interconexión. Para este proyecto la
implementación se realizó en equipos virtuales, pero una instalación en equipos físicos es cien por
ciento viable, en realidad en el DSC/UNAM-CERT se cuenta con una implementación física de
prueba.
Instalación de la herramienta TRUMAN ampliada
Conociendo el apéndice anterior se puede proceder a la instalación de la infraestructura y la
herramienta en su total funcionalidad. Antes de comenzar se deben interconectar ambos equipos
mediante el cable cruzado y la segunda interfaz de red del servidor a la red interna que le
proporcione salida a Internet. Por último encender el servidor e iniciar sesión como “root” para
comenzar.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
57
Instalación del Servidor
Paso 1. Se procede a instalar el servidor de SSH para la administración remota del equipo,
mediante la ejecución de los siguientes comandos (el primero para actualizar la lista de paquetes
disponibles y el segundo para la instalación del servicio SSH).
# apt-get update # apt-get install openssh-server
Paso 2. A continuación se instalan algunas utilerías necesarias con el comando de abajo. (Fig. A.1)
#apt-get install perl tftpd-hpa dhcp3-server xinetd tcpdump tcpflow psmisc binutils gcc make libperl-dev libc6-dev libwww-perl sendmail libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev
Fig. A.1. Comando para la instalación de utilerías.
Paso 3. Modificar la configuración de la segunda tarjeta de red con una dirección estática (en este
caso se usó 4.5.6.1/24). Utilizar el siguiente comando y editar el archivo como se muestra en la
figura. (Fig. A.2, página siguiente)
# vim /etc/network/interfaces
Apéndices
58
Fig. A.2. Configuración de la interfaz de red.
Enseguida reiniciar los servicios de red con el siguiente comando para que surtan efecto las
configuraciones.
# /etc/init.d/networking restart
Es importante mencionar que TRUMAN permite configurar cualquier segmento de red, por esta
ocasión se usó la red 4.5.6.0/24 que es la que está configurada por defecto en el empaquetado
original de TRUMAN.
Paso 4. Ahora se debe realizar la instalación del servidor apache 2 desde el código fuente. Para
ello seguir la siguiente bitácora de comandos. (Fig. A.3)
# wget http://www.eu.apache.org/dist/httpd/httpd-2.2.14.tar.gz # wget http://www.eu.apache.org/dist/httpd/httpd-2.2.14.tar.gz.md5 # md5sum httpd-2.2.14.tar.gz # tar -zxvf httpd-2.2.14.tar.gz # cd httpd-2.2.14 # ./configure --enable-so # make && make install # /usr/local/apache2/bin/apachectl start # ls -l /usr/local/apache2/
Fig. A.3. Instalación de Apache 2.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
59
Paso 5. Instalación de mod_perl para Apache 2. Los siguientes comandos ayudarán a resolver este
paso. (Fig. A.4)
# wget http://perl.apache.org/dist/mod_perl-2.0-current.tar.gz # tar xzvf mod_perl-2.0-current.tar.gz # ln -s /usr/lib/libgdbm.so.3 /usr/lib/libgdbm.so # cd mod_perl-2.0.4/ # perl Makefile.PL MP_APXS=/usr/local/apache2/bin/apxs # make && make test
Fig. A.4. Instalación de mod_perl para Apache 2.
Paso 6. Editar y agregar en el archivo /usr/local/apache2/conf/httpd.conf la línea: LoadModule
perl_module modules/mod_perl.so. En la sección correspondiente para Dynamic Shared Object
Support (Soporte de Objetos Compartidos y Dinámicos). Posteriormente se debe reiniciar el
servicio de Apache 2. Los siguientes dos comandos servirán para el propósito. (Fig. A.5)
# vim /usr/local/apache2/conf/httpd.conf # /usr/local/apache2/bin/apachectl restart
Apéndices
60
Fig. A.5. Configuración del archivo /usr/local/apache2/conf/httpd.conf.
Paso 7. Editar el archivo /etc/default/tftpd-hpa y cambiar RUN_DAEMON a “yes”, cambiar
“/var/lib/tftpboot” por “/tftpboot”. Se debe iniciar el servicio, solo que antes se sugiere eliminar
del arranque del envoltorio de “tftp” y matar el proceso correspondiente a “inetd”. (Fig. A.6)
# vim /etc/default/tftpd-hpa # mv /etc/rc2.d/S20openbsd-inetd /etc/rc2.d/K20openbsd-inetd # /etc/init.d/tftpd-hpa start # chmod +x /etc/init.d/apache2.sh
Fig. A.6. Configuración del archivo /etc/default/tftp-hpa.
Para este punto se sugiere editar el archivo /etc/init.d/apache2.sh, al igual configurarlo para que
se ejecute en cada reinicio del sistema. Para lo cual serán útiles los comandos siguientes.
# echo ‘#!/bin/bash’ > /etc/init.d/apache2.sh # echo ‘/usr/local/apache2/bin/apachectl start’ >> /etc/init.d/apache2.sh # echo '/etc/init.d/tftpd-hpa restart' >> /etc/init.d/apache2.sh
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
61
# ln -s /etc/init.d/apache2.sh /etc/rc2.d/S21apache2
Paso 8. Para que la herramienta de comparación de sistemas de archivos de la herramienta
ampliada funcione correctamente se debe instalar un módulo de perl, el cual es “Digest-MD5-
File”. Para lograrlo seguir las siguientes líneas de comandos.
# wget http://search.cpan.org/CPAN/authors/id/D/DM/DMUEY/Digest-MD5-File-0.07.tar.gz # tar xzvf Digest-MD5-File-0.07.tar.gz # cd Digest-MD5-File-0.07 # perl Makefile.PL # make # make install
Paso 9. Ahora bien comencemos con la instalación de la herramienta TRUMAN. He construido un
paquete llamado truman-0-2_DSC.tar.gz, el cual contiene todos los programas que componen a
esta versión mejorada. A través de colocar cada archivo en su ubicación específica quedará la
herramienta instalada. La lista de comandos a continuación será útil para este propósito.
# tar xzvpf truman-0.2_DSC.tar.gz # cd truman-0.2_DSC # cp -r forensics/ / # cp -r images/ / # cp -r results/ / # cp -r tftpboot/ / && ln -s /tftpboot /var/lib/tftpboot # cp -r mnt/ / # cp etc/dhcp3/dhcpd.conf /etc/dhcp3/dhcpd.conf # cp etc/init.d/* /etc/init.d/ # ln -s /etc/init.d/services.sh /etc/rc2.d/S99services # cp etc/xinetd.d/* /etc/xinetd.d/ && /etc/init.d/xinetd restart # cp usr/bin/dumphive /usr/bin/ # cp usr/local/apache2/cgi-bin/truman.cgi /usr/local/apache2/cgi-bin/
Paso 10. Editar el archivo /etc/dhcp3/dhcpd.conf en la parte de “host client7” donde se deberá
poner la dirección MAC del cliente Windows a utilizar. (Fig. A.7, página siguiente)
# vim /etc/dhcp3/dhcpd.conf
Apéndices
62
Fig. A.7. Configuración del archivo /etc/dhcp3/dhcpd.conf.
Paso 11. Modificar el archivo /etc/services agregándole dos líneas al final con las siguientes
instrucciones.
# echo -e '# Truman Services' >> /etc/services # echo -e 'ddsave\t\t45611/tcp\t\t\t# Truman save requests' >> /etc/services # echo -e 'ddrestore\t45612/tcp\t\t\t# Truman restore requests' >> /etc/services
Paso 12. Creación de la utilidad /bin/ddquiet. Fácilmente con las siguientes órdenes de Shell.
# echo '#!/bin/bash' > /bin/ddquiet # echo '/bin/dd $* 2>/dev/null' >> /bin/ddquiet # chmod 755 /bin/ddquiet
Paso 13. Para que el funcionamiento de TRUMAN sea normal se deben asignar una serie de
permisos y cambio en dueños y grupos. Seguir la lista de órdenes a continuación.
# chgrp daemon /forensics/queue/ /forensics/exes/ # chmod g+rwx /forensics/queue/ /forensics/exes/ # chown -R daemon:daemon /tftpboot/pxelinux.cfg/ # chmod g+rwx /tftpboot/pxelinux.cfg/ # chmod g+rw /tftpboot/pxelinux.cfg/* # chmod o+x,g+x,u+x /usr/local/apache2/cgi-bin/truman.cgi # chmod o+w /fauxservers/start.flag
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
63
Paso 14. Ahora se procede con la instalación de Snort. Poner atención a la bitácora.
# wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz # tar xzvf snort-2.8.4.1.tar.gz # cd snort-2.8.4.1 # ./configure # make # make install
Paso 15. Para asegurar el levantamiento de todos los servicios se recomienda reiniciar el servidor
en este momento. A continuación una vista de cómo debe lucir el comando “netstat -natup". (Fig.
A.8)
Fig. A.8. Salida del comando “netstat -natup”.
Instalación del Cliente
Paso 1. Se debe configurar en el BIOS del equipo el arranque vía red. La mayoría de los equipos
recientes soportan esta funcionalidad. (Fig. A.9)
Fig. A.9. Configuración del BIOS.
Apéndices
64
Paso 2. Antes se debe crear una cuenta con privilegios de administración para ser configurada con
inicio de sesión automático en este cliente. Para lograr éste último propósito se deben seguir las
siguientes instrucciones:
a) Hacer clic en el menú de Inicio y en Ejecutar, escribir “regedit” y hacer clic en Aceptar.
(Fig. A.10)
Fig. A.10. Ejecutando “regedit”.
b) Buscar la siguiente clave de Registro. (Fig. A.11)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Fig. A.11. Llave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
c) Utilizando los datos de la cuenta que se quiera configurar (nombre de usuario y
contraseña), hacer doble clic en la entrada DefaultUserName, escribir el nombre de
usuario y hacer clic en Aceptar. (Fig. A.12)
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
65
Fig. A.12. Señalamiento del valor a modificar.
d) Hacer doble clic en la entrada DefaultPassword, escribir la contraseña en el cuadro de
información del valor y, a continuación, hacer clic en Aceptar. (Fig. A.13)
Fig. A.13. Señalamiento del valor a modificar.
e) Hacer doble clic en la entrada AutoAdminLogon, escribir 1 en el cuadro de información del
valor y hacer clic en aceptar. (Fig. A.14)
Apéndices
66
Fig. A.14. Señalamiento del valor a modificar.
f) Por último salir del editor del registro. Hacer clic en Inicio, después en Apagar equipo,
luego en Reiniciar, para verificar el inicio automático que se acaba de configurar. (Fig.
A.15)
Fig. A.15. Pantalla de apagado y reinicio del sistema.
Nota. Si no hay ningún valor denominado DefaultUserName, DefaultPassword y/o
AutoAdminLogon, se deberá crearlos. Para ello, seguir estos pasos:
En el Editor del Registro, hacer clic en Edición, en Nuevo y, a continuación en Valor alfanumérico.
a) Escribir “DefaultUserName”, “DefaultPassword” o “AutoAdminLogon” como nombre del
valor y, a continuación, presionar ENTRAR.
b) Hacer doble clic en cada una de las claves que se acaban de crear y escribir el nombre de
usuario y contraseña en el cuadro Información del valor, respectivamente.
c) Si no se especifica ninguna cadena en DefaultPassword, Windows XP cambia
automáticamente el valor de la clave AutoAdminLogon de 1 (verdadero) a 0 (falso), con lo
que deshabilitará la característica de inicio de sesión automático.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
67
Paso 3. El siguiente paso es desactivar el firewall, servicio de antivirus, de actualizaciones y las
alertas.
Para desactivarlos dar clic en Inicio y después en Panel de Control. Después de haber entrado en
el Panel de control acceder al Centro de seguridad y desactivar las alertas. Ésto es, una vez en la
ventana y en la parte de la izquierda hay una columna llamada "Recursos". Dirigirse a "Cambiar la
forma en que el Centro de seguridad me alerta". Es como se muestra a continuación. (Fig. A.16)
Fig. A.16. Configuración de las alertas de seguridad de Windows.
Ahora bastará con desactivar las tres casillas de selección, después dar clic en Aceptar.
A partir de la ventana anterior también se pueden desactivar cada uno de los rubros
comprendidos en el Centro de Seguridad (firewall y actualizaciones). El resultado debe ser el
siguiente. (Fig. A.17)
Fig. A.17. Características de seguridad desactivadas.
Apéndices
68
Paso 4. Ahora es necesario desactivar la funcionalidad de restauración automática.
Para desactivarla dar clic en Inicio y después en Panel de Control. Después de haber entrado en el
Panel de control acceder a Rendimiento y mantenimiento para después dirigirse a Sistema. Y
colocado en la pestaña de Restaurar sistema habilitar la casilla para desactivar la restauración del
sistema. (Fig. A.18)
Fig. A.18. Restauración del sistema desactivado.
Paso 5. Ahora sólo resta instalar la parte de la herramienta TRUMAN correspondiente a Windows
XP. Para ello se debe acomodar el contenido de la carpeta win32 en el sistema de archivos de
Windows, considerando que win32 es la raíz de dicho sistema de archivos. (Fig. A.19)
Fig. A.19. Instalación de TRUMAN en Windows.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
69
Paso 6. En este paso se tiene que registrar el arranque de las aplicaciones de TRUMAN en
Windows. Esto se realiza mediante la ejecución de los archivos get.reg y restart.reg, los cuales
están en C:\. Así como también ejecutar los comandos de abajo para procesos y conexiones
iniciales e instalar la herramienta wmic .
C:\>tasklist > "C:\psorig.txt" C:\>netstat -na > "C:\netorig.txt" C:\>wmic
La imagen de abajo es como se verá la pantalla de inicio. (Fig. A.20)
Fig. A.20. Pantalla de inicio de TRUMAN en Windows.
Ajustes generales
Antes de comenzar el análisis de códigos maliciosos es necesario obtener la imagen limpia del
sistema cliente, con la que se va a restaurar una vez que se contamine. Para ello reiniciar el
sistema cliente y elegir la opción tres en el menú de arranque de TRUMAN (fig. A.21). Se realizará
la imagen, al terminar de ejecutar los comandos de abajo para guardar la imagen y obtener la
información de la imagen limpia. De forma autómatica el cliente se reiniciará y se colocará en el
modo de espera para el análisis de malware.
Apéndices
70
Fig. A.21. Menú de arranque de TRUMAN en Windows.
# mv /images/ddsave.img /images/ddrestore.img # /forensics/getorig.sh
Únicamente resta colocar muestras de códigos maliciosos en el directorio /forensics/queue para
que comience a analizarlos automáticamente.
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
71
Anexos
Anexo 1. Archivo C:\get.bat
@ECHO OFF set SERVER_IP=4.5.6.1 set REPORT_CGI=truman.cgi rem echo Reporting successful boot to boot server... echo Reportando arranque exitoso al servidor de arranque... rem con esta linea manda ejecuta el script cgi del servidor para poner el arranque de truman en 1, ver truman .cgi wget -q -O C:\ok.txt http://%SERVER_IP%/cgi-bin/%REPORT_CGI%?res=booted > nul :retr rem echo Attempting to retrieve next file in queue... echo Intentando recuperar el siguiente archivo en cola... rem activa el envio de malware contenido en la carpeta /forensics/queue del servidor,lo hace uno a la vez rem y lo coloca en la ruta C:\WINDOWS\system32\sandnet.exe. Si la dicho directorio estuviera vacio enviara un archivo de 0 bytes wget -q -O C:\WINDOWS\system32\sandnet.exe http://%SERVER_IP%/cgi-bin/%REPORT_CGI%?func=dequeue > nul rem verifica si el archivo es de 0 bytes comparandola binariamente con otro archivo que tambien es de 0 bytes fc /b C:\WINDOWS\system32\sandnet.exe C:\zero.txt | find "FC: no se han encontrado diferencias" > nul rem error 2 si el comando falla if errorlevel==2 echo El comando fc fallo rem error 1 y error no es 2 se dirige a la etiqueta filefound if errorlevel==1 if not errorlevel==2 goto filefound rem echo File not found, sleeping 60 seconds... echo Archivo no encontrado, durmiendo 60 segundos... sleep 60 goto retr :filefound copy C:\WINDOWS\system32\sandnet.exe C:\ rem echo Executing malware sample... echo Ejecutando muestra de malware... echo 1 > C:\flag.txt
Anexo 2. Archivo C:\restart.bat
@ECHO OFF :retr fc /b C:\flag.txt C:\zero.txt | find "FC: no se han encontrado diferencias" > nul rem error 2 si el comando falla if errorlevel==2 echo El comando fc fallo rem error 1 y error no es 2 se dirige a la etiqueta filefound if errorlevel==1 if not errorlevel==2 goto binaryexe echo No hay un binario en ejecucion
Anexos
72
sleep 1 goto retr :binaryexe echo Durmiendo 300 segundos (5 min)... sleep 300 tasklist > C:\psnew.txt rem pslist > C:\psnew.txt netstat -na > C:\netnew.txt rem echo Volcando memoria fisica... rem dd.exe if=\\.\PhysicalMemory of=c:\memdump.img bs=4096 conv=noerror echo Rebooting... rem shutdown -r wmic os where primary=true Call Reboot
Anexo 3. Archivo /forensics/compare.pl
#!/usr/bin/perl -w #Este script hace una comparacion del sistema de archivos entre el orig y el new, #es decir, la imagen limpia y la contaminada use Digest::MD5::File qw(dir_md5_hex file_md5 file_md5_hex url_md5_hex); ####################################################### ##### VALIDAR Y CARGAR LOS ARGUMENTOS ##### ####################################################### if (@ARGV == 0) { print "Modo de Uso \n$0 -i Ruta_Imagen\n$0 -x Ruta_Imagen\n"; exit 1; } #cambiar imagen para obtener valores del original $IMAGEN=$ARGV[1]; $ORIGINAL="/forensics/orig/orig.md5"; $NUEVO="/forensics/new/new.md5"; if ($ARGV[0] eq "-i" && @ARGV == 2) { #print "\n######## Entrando al modo INICIAL ########"; inicial($ORIGINAL); exit 0; } elsif ($ARGV[0] eq "-x" && @ARGV == 2) { #print "\n####### Entrando al modo COMPARACION ########"; comparacion(); exit 0; } else { print "\nModo de Uso \n$0 -i,-x Ruta_Imagen\n"; exit 1; } ####################################################### ##### FUNCIONES ##### ####################################################### ### Funcion para encontrar los archivos y/o registros dentro del archivo ### encontrar(CadenaArchivo,ArchivoInfo) sub encontrar{ my $file; my $archivo; $file=shift; #print "Cadena: $file"; #$file=~ s/\\/\\\\/g; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/^\Q$file\E/) { chomp($_); return split(/\|/,$_); } } return (); } ### Funcion para leer los directorios ## leerDir (RutaAbsolutaDirectorio [ArchivoGuardar])
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
73
sub leerDir { # print "\nLeyendo Directorio $_[0]"; # if (!defined($guardar)) {$guardar='orig.md5'; } if (defined($_[1])) {$guardar=$_[1];} my $d; my @dir; $d=$_[0]; chomp($d); #if ($d=~/\"$/) {chop($d);} # print "\nDirectorio: '$d'"; opendir(DH,$d) || die "No se pudo abrir directorio: '$d'"; @dir=readdir DH; # print "@dir"; foreach (@dir) { # print "$_\n"; if (-d $d."/".$_) { if (/(^.$)|(^..$)/) { next; } #print "\nDirectorio:'$d\\$_'"; leerDir($d."/".$_,$guardar); next; } if (-f $d."/".$_) { open(SV,">>$guardar") or die "Error al abrir archivo para guardar"; print SV "\n$d/$_|".file_md5_hex($d."/".$_); close(SV); next; } } } #### Se le pasa como argumento el archivo de salida a guardar sub inicial { #print "\nFUNCION INICIAL: \nArchivo de Salida $_[0]"; open(SV,">$_[0]") or die "Error al BORRAR archivo para guardar"; close(SV); leerDir($IMAGEN,$_[0]); } sub comparacion { my @reg; #print "\nFuncion de comparacion"; inicial($NUEVO); `sed 's/\\/mnt\\/new/C:/g' $NUEVO > $NUEVO.res`; `rm $NUEVO`; `mv $NUEVO.res $NUEVO`; #OJO ajuste previo para probar con los siguientes comandos #Las siguientes cuatro lineas efectivas son para una optimizacion en la clasificacion de los archivos #print $ORIGINAL.$NUEVO."\n"; `diff --text $ORIGINAL $NUEVO | grep "^<" | grep -v -f /forensics/patternsfs.txt | sed -e 's/<\\s//g' > /forensics/.orig.md5.diff`; `diff --text $ORIGINAL $NUEVO | grep "^>" | grep -v -f /forensics/patternsfs.txt | sed -e 's/>\\s//g' > /forensics/.new.md5.diff`; $ORIGINAL="/forensics/.orig.md5.diff"; $NUEVO="/forensics/.new.md5.diff"; print "\nArchivos creados:"; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { print "\n$reg[0]"; } } close(TMP); print "\n\nArhivos modificados:"; open(TMP,$NUEVO);
Anexos
74
while (<TMP>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { next; } elsif ($dato[1] ne $reg[1]) { print "\n$dato[0]"; } } close(TMP); print "\n\nArchivos borrados:"; open(SAL,$ORIGINAL); while (<SAL>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$NUEVO); if (@dato == 0) { print "\n$reg[0]"; } } close(SAL); `rm $NUEVO`; `rm $ORIGINAL`; }
Anexo 4. Archivo /forensics/ajustar.sh
#!/bin/bash #Este script sirve para ajustar la salida del respaldo del registro de windows para hacerlo mas trabajable #$1 es el archivo a ajustar p.e. default.reg if [ $# -eq 1 ]; then cp $1 $1.bkp #haciendo una copia del archivo original para convervarlo en el formato original sed -i 's/^\s$/#####/' $1 #sustutiyendo lineas en blanco con un espacio por ##### sed -i 's/\]\r/\]####/' $1 #sustituyendo "]\r" por "]####" sed -i 's/\r//' $1 #eliminando todos los "\r" que en vi se ven como ^M perl -ne 's/,\\\n/,/g; print' < $1 > $1.tmp; mv $1.tmp $1 #eliminando saltos de linea de los registros con valores hex, para que sean de una sola linea sed -i 's/,\s\s/,/g' $1 #juntar esos valores sustituyendo ",[espacio][espacio]" por "," sed -i '/REGEDIT4/d' $1 #eliminando la linea que contiene el patron REGEDIT4, que es la primera perl -ne 's/\n/\|\|/g; print' < $1 > $1.tmp; mv $1.tmp $1 #sustituyendo todos los saltos de linea "\n" por ||, resulta en texto completamente junto perl -ne 's/#####\|\|/\n/g; print' < $1 > $1.tmp; mv $1.tmp $1 #sustituyendo el patron "#####||" por salto de linea "\n" sed -i 's/####||/###/' $1 #sustituyendo el patron "####||" por "###" sed -i '/^$/d' $1 #eliminando lineas en blanco else echo -e "Modo de Uso \n$0 Ruta_Dump_Registro\n" exit -1 fi
Anexo 5. Archivo /forensics/comparer.pl
#!/usr/bin/perl -w #Este script hace la comparacion del registro de Windows entre orig y new, limpio y contaminado #@ARGV[0] es el archivo original, p.e. /forensics/orig/default.reg #@ARGV[1] es el archivo nuevo, p.e. /forensics/new/default.reg ####################################################### ###### VALIDAR Y CARGAR LOS ARGUMENTOS ##### ######################################################## if (@ARGV != 2) { print "Modo de Uso \n$0 Ruta_Archivo_Reg Ruta_Archivo_Reg\n"; exit 1;
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
75
} $ORIGINAL=$ARGV[0]; $NUEVO=$ARGV[1]; if ( -e $ORIGINAL && -e $NUEVO) { comparacion(); exit 0; } else { print "Alguno de los archivos no existe\n"; exit 1; } ### Funcion para encontrar los registros dentro del archivo sub encontrar { my $file; my $archivo; $file=shift; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/^\Q$file\E/) { chomp($_); return split(/###/,$_); } } return (); } sub encontrar_reg { my $file; my $archivo; $file=shift; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/\Q$file\E/) { chomp($_); return($_); } } return (''); } sub comparacion { my @reg; #print "\nLlaves creadas y registros:"; $imprime = 0; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/###/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { if ( $imprime == 0 && $imprime != 1) { print "\nLlaves creadas y registros:"; $imprime = 1; } print "\n$reg[0]\n"; @registros=split(/\|\|/,$reg[1]); foreach $r (@registros) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print "\t$r\n"; }
Anexos
76
} } } close(TMP); #print "\n\nLlaves modificadas y registros:"; $imprime = 0; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/###/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { next; } elsif ($dato[1] ne $reg[1]) { if ( $imprime == 0 && $imprime != 1) { print "\nLlaves modificadas y registros:"; $imprime = 1; } print "\n$dato[0]\n"; @registros_orig=split(/\|\|/,$dato[1]); @registros_new=split(/\|\|/,$reg[1]); open(ORIG,">/tmp/.orig_reg") or die "Error al BORRAR archivo temporal"; foreach $r (@registros_orig) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print ORIG "$r\n"; } } close(ORIG); open(NEW,">/tmp/.new_reg") or die "Error al BORRAR archivo temporal"; foreach $r (@registros_new) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print NEW "$r\n"; } } close(NEW); comparacion_reg("/tmp/.orig_reg","/tmp/.new_reg"); } } close(TMP); } sub comparacion_reg { my $original = shift; my $new = shift; my $dato; #print "\n\n\tRegistros creados:"; $i = 0; undef @creados; open(TEMP,$new); @file = <TEMP>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$original); if ($dato eq '') { #print "\n\t$f"; $creados[$i] = $f; $i++; } } close(TEMP); if (@creados != 0) { print "\n\tRegistros creados:\n";
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
77
foreach $r (@creados) { print "\t$r\n"; } } #print "\n\n\tRegistros modificados:"; $i = 0; undef @modificados; open(TEMP,$new); @file = <TEMP>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$original); if ($dato eq '') { next; } elsif ($dato ne $f) { #print "\n\t$dato"; $modificados[$i] = $dato; $i++; } } close(TEMP); if (@modificados != 0) { print "\n\tRegistros modificados:\n"; foreach $r (@modificados) { print "\t$r\n"; } } #print "\n\n\tRegistros borrados:"; $i = 0; undef @borrados; open(SAL,$original); @file = <SAL>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$new); if ($dato eq '') { #print "\n\t$f"; $borrados[$i]=$f; $i++; } } close(SAL); if (@borrados != 0) { print "\n\tRegistros borrados:\n"; foreach $r (@borrados) { print "\t$r\n"; } } }
Anexo 6. Archivo /forensics/forensics.sh
#!/bin/sh #$1 imagen a cargar, p.e. ddsave.img #$2 punto de montaje y subdirectorio de salida en /forecsics, p.e. new HIVEPATH=/mnt/new/WINDOWS/system32/config if [ -e /tmp/go.txt ]; then /fauxservers/stop.sh 2> /dev/null /usr/local/apache2/bin/apachectl stop FILENAME=`cat /tmp/go.txt` FPATH=/results/${FILENAME}-files rm -f /tmp/go.txt
Anexos
78
rm /tmp/*.bin 2> /dev/null rm /forensics/new/* 2> /dev/null mount -o loop -r -t ntfs /images/ddsave.img /mnt/new mkdir -p $FPATH echo -e "================================= Reporte TRUMAN =====================================" > $FPATH/Reporte_${FILENAME}.txt echo >> $FPATH/Reporte_${FILENAME}.txt echo "Binario: $FILENAME" >> $FPATH/Reporte_${FILENAME}.txt echo Firma MD5: `md5sum /forensics/exes/$FILENAME | awk '{print $1}'` >> $FPATH/Reporte_${FILENAME}.txt echo Firma SHA1: `sha1sum /forensics/exes/$FILENAME | awk '{print $1}'` >> $FPATH/Reporte_${FILENAME}.txt #cd /mnt/new #sed 's/\/mnt\/orig/C:/g' -e 's/\//\\/g' /forensics/orig/orig.md5 > /forensics/orig/orig.md5.res #rm /forensics/orig/orig.md5 #mv /forensics/orig/orig.md5.res /forensics/orig/orig.md5 echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt #Realizando la comparacion del sistema de archivos y de acuerdo a los archivos diferenciados perl /forensics/compare.pl -x /mnt/new | sed 's/\//\\/g' | grep -v -f /forensics/patternsfs.txt > /forensics/new/.reporte.tmp sleep 5 cat /forensics/new/.reporte.tmp >> $FPATH/Reporte_${FILENAME}.txt rm /forensics/new/.reporte.tmp #Realizando el volcado del registro de windows dumphive $HIVEPATH/default /forensics/new/default.reg dumphive $HIVEPATH/software /forensics/new/software.reg dumphive $HIVEPATH/system /forensics/new/system.reg #Ajustando los volcados para dejarlos de la forma: Llave###Valores /forensics/ajustar.sh /forensics/new/default.reg /forensics/ajustar.sh /forensics/new/software.reg /forensics/ajustar.sh /forensics/new/system.reg #Extrayendo archivos de procesos y puertos en escucha cp /mnt/new/psnew.txt /forensics/new/psnew.txt.bkp cp /mnt/new/netnew.txt /forensics/new/netnew.txt.bkp #para pslist #sed -e '/^\s$/d' -e '/Process\sinformation/d' -e '/CPU\sTime/d' /mnt/new/psnew.txt | awk '{print $1}' | egrep -v "(cmd|pslist|sleep)" > /forensics/new/psnew.txt #para tasklist sed -e '/^\s$/d' -e '/Nombre\sde\simagen/d' -e '/=========/d' -e 's/\sI/I/g' -e 's/\sP/P/g' /mnt/new/psnew.txt | awk '{print $1}' | egrep -v "(cmd\.exe|tasklist\.exe|sleep\.exe|wuauclt\.exe)" > /forensics/new/psnew.txt #sed -e '/^\s$/d' -e '/Conexiones\sactivas/d' -e '/Proto/d' /mnt/new/netnew.txt | awk '{print $1,"|",$2,"|",$3,"|",$4}' | sed 's/\s//g' > /forensics/new/netnew.txt sed -e '/^\s$/d' -e '/Conexiones\sactivas/d' -e '/Proto/d' /mnt/new/netnew.txt | grep -v "127\.0\.0\.1" | sed 's/^\s\s//g' > /forensics/new/netnew.txt diff /forensics/orig/psorig.txt /forensics/new/psnew.txt | grep "> " | sed 's/>\s//g' > /tmp/process.txt perl /forensics/finder.pl /forensics/orig/psorig.txt /tmp/process.txt > /tmp/process.txt.bkp if test -s /tmp/process.txt.bkp then echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nProcesos levantados:\n" >> $FPATH/Reporte_${FILENAME}.txt cat /tmp/process.txt.bkp | grep -v "logon\.scr" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/process.txt /tmp/process.txt.bkp diff /forensics/orig/netorig.txt /forensics/new/netnew.txt | grep "> " | sed 's/>\s//g' > /tmp/network.txt perl /forensics/finder.pl /forensics/orig/netorig.txt /tmp/network.txt > /tmp/network.txt.bkp if test -s /tmp/network.txt.bkp then echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nConexiones activas:\n" >> $FPATH/Reporte_${FILENAME}.txt echo -e "Proto Direccion Local Direccion Remota Estado\n" >> $FPATH/Reporte_${FILENAME}.txt cat /tmp/network.txt.bkp >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/network.txt /tmp/network.txt.bkp #Comparando las direfencias entre los volcados de registro
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
79
echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\DEFAULT :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/default.reg /forensics/new/default.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /forensics/new/.default.reg.temp #perl /forensics/comparer.pl /forensics/orig/default.reg /forensics/new/.default.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.default.reg.temp diff --text /forensics/orig/default.reg /forensics/new/default.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/orig.default.reg diff --text /forensics/orig/default.reg /forensics/new/default.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/new.default.reg perl /forensics/comparer.pl /tmp/orig.default.reg /tmp/new.default.reg > /tmp/default.rep if [ -s /tmp/default.rep ]; then cat /tmp/default.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.default.reg /tmp/new.default.reg /tmp/default.rep echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\SOFTWARE :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/software.reg /forensics/new/software.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /forensics/new/.software.reg.temp #perl /forensics/comparer.pl /forensics/orig/software.reg /forensics/new/.software.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.software.reg.temp diff --text /forensics/orig/software.reg /forensics/new/software.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/orig.software.reg diff --text /forensics/orig/software.reg /forensics/new/software.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/new.software.reg perl /forensics/comparer.pl /tmp/orig.software.reg /tmp/new.software.reg > /tmp/software.rep if [ -s /tmp/software.rep ]; then cat /tmp/software.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.software.reg /tmp/new.software.reg /tmp/software.rep echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\SYSTEM :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/system.reg /forensics/new/system.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /forensics/new/.system.reg.temp #perl /forensics/comparer.pl /forensics/orig/system.reg /forensics/new/.system.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.system.reg.temp diff --text /forensics/orig/system.reg /forensics/new/system.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /tmp/orig.system.reg diff --text /forensics/orig/system.reg /forensics/new/system.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /tmp/new.system.reg perl /forensics/comparer.pl /tmp/orig.system.reg /tmp/new.system.reg > /tmp/system.rep if [ -s /tmp/system.rep ]; then cat /tmp/system.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.system.reg /tmp/new.system.reg /tmp/system.rep #echo -e "\n" >> $FPATH/Reporte_${FILENAME}.txt #script para el analisis de trafico /forensics/traffic.sh /tmp/sandnet.pcap echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nAnalisis de trafico\n" >> $FPATH/Reporte_${FILENAME}.txt if [ -s /tmp/.report_traffic ]; then cat /tmp/.report_traffic >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nEl analisis de trafico no arrojo resultados" >> $FPATH/Reporte_${FILENAME}.txt fi echo -e "\n" >> $FPATH/Reporte_${FILENAME}.txt
Anexos
80
umount /mnt/new; #/fauxservers/stop.sh 2> /dev/null cp /tmp/sandnet.pcap /results/capturas/${FILENAME}.pcap 2> /dev/null perl /forensics/mailreport.pl "$FILENAME" "$FPATH/Reporte_${FILENAME}.txt" scp -r -q $FPATH/ [email protected]:/home/malware-unam/TRUMAN/Reportes/ /usr/local/apache2/bin/apachectl start fi
Anexo 7. Archivo /forensics/traffic.sh
#!/bin/bash #Toma un archivo (arg[1]), o todos los pcap en un directorio #Genera reporte #Requiere Snort 2.8.4.1 o superior #----------------------VARIABLES---------------------------- #Localizacion de snort: snort_loc=/usr/local/bin/snort #Archivo de configuracion de snort snort_conf=/etc/snort/snort.conf #----------------------------------------------------------- #Revision de integridad de argumentos if [[ $# -ge 2 || $# -eq 0 || $1 == "--help" ]]; then echo "Uso: ./traffic captura.pcap" exit 1 fi #inicializacion del archivo de reporte echo -ne "" > /tmp/.report_traffic #Si tenemos argumento valido: #Snort sobre el archivo de captura, genera alert echo "Snort procesando..." $snort_loc -r $1 -l /tmp/ -c $snort_conf -b &> /dev/null #$snort_loc -r $1 -l /tmp/ -c $snort_conf -b echo "Listo. 1" #Voy a limpiar el alert porque esta lleno de repetidos #Busca IP, la imprime con el numero de conexiones grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}:80" /tmp/alert | awk 'gsub(":80","",$4) {print $4}' | uniq -c > /tmp/.http grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}:21" /tmp/alert | awk 'gsub(":21","",$4) {print $4}' | uniq -c > /tmp/.ftp awk '/^\[\*\*\].*IRC/{getline; getline; print}' /tmp/alert | awk 'gsub(":","\t",$4) gsub(":","\t",$2) {print $2"\t"$4}' | uniq -c > /tmp/.ircs awk '/Otro puerto/{getline; getline; print}' /tmp/alert | awk 'gsub(":","\t",$4) gsub(":","\t",$2) {print $2"\t"$4}' | uniq -c > /tmp/.otros #Generando reporte echo "Generando Reporte" #echo -ne "Servidores http contactados:\n\n" > /tmp/.report_traffic while read http do serv=`echo $http | awk '{print $2}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "\t$dom($serv)\n" >> /tmp/.https done < /tmp/.http sort /tmp/.https | grep -v "4\.5\.6\." | uniq >> /tmp/.httpss if test -s /tmp/.httpss then echo -ne "Servidores http contactados:\n\n" > /tmp/.report_traffic cat /tmp/.httpss >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi #echo -ne "Servidores ftp contactados:\n\n" >> /tmp/.report_traffic while read ftp do serv=`echo $ftp | awk '{print $2}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "\t$dom($serv)\n" >> /tmp/.ftps
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
81
done < /tmp/.ftp if test -s /tmp/.ftps ; then sort /tmp/.ftps | uniq >> /tmp/.ftpss ; fi if test -s /tmp/.ftpss then echo -ne "Servidores ftp contactados:\n\n" >> /tmp/.report_traffic cat /tmp/.ftpss >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi #echo -ne "Servidores IRC contactados:\n\n" >> /tmp/.report_traffic while read irc do serv=`echo $irc | awk '{print $4}'` data=`echo $irc | awk '{print "puerto origen: "$3"; puerto destino: "$5}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "$dom($serv) con $data\n" >> /tmp/.ircss done < /tmp/.ircs if test -s /tmp/.ircss ; then sort /tmp/.ircss | uniq >> /tmp/.ircsss ; fi if test -s /tmp/.ircsss then echo -ne "Servidores IRC contactados:\n\n" >> /tmp/.report_traffic cat /tmp/.ircss | awk '{print "\t" $0}' >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi echo "Listo. 2" #Proceso para sacar flujos - en gran parte para saber los nombres de archivo... #echo -ne "Informacion de Conexiones IRC\n\n" >> /tmp/.report_traffic ct=1 while read pareja do tcpflow -r $1 "(src host `echo $pareja | awk '{print $2}'` and src port `echo $pareja | awk '{print $3}'` and dst host `echo $pareja | awk '{print $4}'` and dst port `echo $pareja | awk '{print $5}'`) or (src host `echo $pareja | awk '{print $4}'` and src port `echo $pareja | awk '{print $5}'` and dst host `echo $pareja | awk '{print $2}'` and dst port `echo $pareja | awk '{print $3}'`)" tcpflow -c -r $1 "(src host `echo $pareja | awk '{print $2}'` and src port `echo $pareja | awk '{print $3}'` and dst host `echo $pareja | awk '{print $4}'` and dst port `echo $pareja | awk '{print $5}'`) or (src host `echo $pareja | awk '{print $4}'` and src port `echo $pareja | awk '{print $5}'` and dst host `echo $pareja | awk '{print $2}'` and dst port `echo $pareja | awk '{print $3}'`)" > /tmp/.tcpflow echo $pareja | awk '{print $2}' | awk -F . '{print $1"\n"$2"\n"$3"\n"$4}' > /tmp/.ip_clt ip="" while read oct do if [ `echo $oct | wc -c` == 2 ]; then ip="${ip}00${oct}." elif [ `echo $oct | wc -c` == 3 ]; then ip="${ip}0${oct}." else ip="${ip}${oct}." fi done < /tmp/.ip_clt ip=`echo $ip | sed 's/\.$//g'` ls -l $ip* | awk '{print $8}' > /tmp/.flujos while read flujo do srv=`echo $flujo | awk -F "-" '{print $2}'` clt=`echo $flujo | awk -F "-" '{print $1}'` echo -ne "\tConexion $ct: \n\n" >> /tmp/.irc_connections #echo -ne "\t" >> /tmp/.irc_connections cat $clt-$srv >> /tmp/.irc_connections echo -ne "\n" >> /tmp/.irc_connections cat $clt-$srv >> /tmp/.irc_connections echo -ne "\n" >> /tmp/.irc_connections #cat $srv-$clt | awk '{print "\t\t" $0}' >> /tmp/.irc_connections #cat $srv-$clt | awk '{print "\t\t" $0}' >> /tmp/.irc_connections rm $clt-$srv $srv-$clt done < /tmp/.flujos ct=`expr $ct + 1` done < /tmp/.ircs if test -s /tmp/.irc_connections then echo -ne "Informacion de Conexiones IRC\n\n" >> /tmp/.report_traffic cat /tmp/.irc_connections >> /tmp/.report_traffic echo -ne "\n\n" >> /tmp/.report_traffic
Anexos
82
fi echo "Listo. 3" #echo -ne "Otras conexiones:\n\n" >> /tmp/.report_traffic cat /tmp/.otros | awk '{print $2" "$3" "$4" "$5}' > /tmp/.otross cat /tmp/.ircs | awk '{print $2" "$3" "$4" "$5}' > /tmp/.ircss grep -v -f /tmp/.ircss /tmp/.otross > /tmp/.otrosss while read otro do if [[ `echo $otro | awk '{print $3}'` != `echo $ip | sed -r -e 's/^0+//' -e 's/.0+/./g'` && `echo $otro | awk '{print $3}'` != "4.5.6.7" ]]; then echo "A `echo $otro | awk '{print $3}' | nslookup | grep -w name | awk '{print $4}' | sed 's/\.$//'` (IP `echo $otro | awk '{print $3}'`, puerto `echo $otro | awk '{print $2}'`) desde el puerto `echo $otro | awk '{print $4}'`" >> /tmp/.otrossss fi done < /tmp/.otrosss if test -s /tmp/.otrossss then echo -ne "Otras conexiones:\n\n" >> /tmp/.report_traffic cat /tmp/.otrossss >> /tmp/.report_traffic # echo -ne "\n\n" >> /tmp/.report_traffic fi rm /tmp/alert /tmp/.http /tmp/.https /tmp/.httpss /tmp/.ftp /tmp/.ftps /tmp/.ftpss /tmp/.ircs /tmp/.ircss /tmp/.ircsss /tmp/.irc_connections /tmp/.flujos /tmp/.otros /tmp/.otross /tmp/.otrosss /tmp/.otrossss /tmp/.ip_clt /tmp/snort* 2> /dev/null
Anexo 8. Archivos varios
Archivo /etc/init.d/services.sh.
#!/bin/bash while [ 1 ] do state=`cat /fauxservers/start.flag`; if [ "${state}" == "10" ]; then /fauxservers/start.sh > /dev/null 2> /dev/null; echo "00" > /fauxservers/start.flag; # echo "$state"; fi if [ "${state}" == "11" ]; then /fauxservers/stop.sh > /dev/null 2> /dev/null /forensics/forensics.sh > /dev/null 2> /dev/null echo "00" > /fauxservers/start.flag; # echo "$state"; fi done
Archivo /fauxservers/start.sh
#!/bin/sh tcpdump -c 10000 -n -l -i eth1 -s 1514 -w /tmp/sandnet.pcap not port 45612 and not port 45611 & /etc/init.d/nat up
Archivo /fauxservers/stop.sh
#!/bin/sh tcpdump -c 10000 -n -l -i eth1 -s 1514 -w /tmp/sandnet.pcap not port 45612 and not port 45611 & /etc/init.d/nat up
Archivo /usr/local/apache2/cgi-bin/truman.cgi
#!/usr/bin/perl ## truman.cgi
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
83
## ## (c)2006 Joe Stewart <[email protected]> ## ## Handles cycling of the Truman boot parameters and script control use CGI; use strict; $| = 1; my $queue = "/forensics/queue"; my $postqueue = "/forensics/exes/"; my $q = new CGI; my $res = $q->param('res'); my $func = $q->param('func'); if ($func eq "dequeue") { opendir(DIR, $queue) or die "can't opendir $queue : $!\n"; my $file; my $size; while ( defined ($file = readdir(DIR)) ) { next if $file =~ /^\.\.?$/; $size = (stat("$queue/$file"))[7]; if ($size) { print "Content-Length: $size\n"; print "Content-Type: application/x-executable\n\n"; open(IN,"$queue/$file") or die "Can't open $file : $!\n"; my $buf; system("/bin/echo \"10\" > /fauxservers/start.flag"); system("/bin/cp /tftpboot/pxelinux.cfg/truman /tftpboot/pxelinux.cfg/default > /dev/null 2> /dev/null"); while(!eof(IN)) { read(IN,$buf,1024); print $buf; } close IN; system("mv $queue/$file $postqueue"); open(OUT,">/tmp/current.txt"); print OUT $file; close OUT; closedir(DIR); exit; } } # nothing in queue, send a 0-byte response closedir(DIR); print "Content-Length: 0\n"; print "Content-Type: application/x-executable\n\n"; exit; } if ($res eq "restoresuccess") { # make normal boot the default system("/bin/cp /tftpboot/pxelinux.cfg/normalboot /tftpboot/pxelinux.cfg/default"); } elsif ($res eq "savesuccess") { # give forensic scripts the go-ahead system("/bin/mv /tmp/current.txt /tmp/go.txt"); system("/bin/echo \"11\" > /fauxservers/start.flag"); system("/bin/cp /tftpboot/pxelinux.cfg/normalboot /tftpboot/pxelinux.cfg/default"); } elsif ($res eq "booted") { # make truman boot the default system("/bin/cp /tftpboot/pxelinux.cfg/truman /tftpboot/pxelinux.cfg/default"); } print "Content-type: text/html\n\n"; print "Ok\n";
Archivo /etc/init.d/nat
#!/bin/sh IPTABLES="/sbin/iptables"
Anexos
84
case $1 in up ) #para habilitar la repeticion y el cliente pueda realizar consultas a internet /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #para borar todas las reglas previas $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F #Estableciendo politica por defecto $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Habilita el NAT $IPTABLES -t nat -A POSTROUTING -s 4.5.6.0/24 -d 0.0.0.0/0 -j MASQUERADE # Deja pasar los paquetes ICMP $IPTABLES -A INPUT -i eth0 -p ICMP -j ACCEPT # Permite conexiones al puerto 80 (HTTP) $IPTABLES -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT # Permite conexiones al puerto 22 (SSH) $IPTABLES -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT # Acepta comsultas a DSN $IPTABLES -A OUTPUT -o eth0 -p UDP --dport 53 -j ACCEPT # Acepta paquetes de conexiones ya establecidas $IPTABLES -A INPUT -i eth0 -p TCP -m state --state RELATED -j ACCEPT # Rechaza paquetes de conexiones nuevas $IPTABLES -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP # Rechazamos paquetes de forwarding de conexiones no establecidas $IPTABLES -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP #Bloquea trafico de salida hacia IPs privadas o locales $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 172.16.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 172.16.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 192.168.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 192.168.0.0/16 -j DROP ;; down ) #para deshabilitar la repeticion y el cliente pueda realizar consultas a internet /bin/echo 0 > /proc/sys/net/ipv4/ip_forward #para borar todas las reglas previas $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F ;; * ) echo "Opcion no existente" ;; esac
Anexo 9. Archivo /forensics/mailreport.pl
#!/usr/bin/perl open (MAIL,"|/usr/lib/sendmail -t"); print MAIL "To: jduran\@seguridad.unam.mx\n"; print MAIL "From: truman_unam-cert\n"; print MAIL "Subject: Analisis del Malware @ARGV[0], TRUMAN UNAM-CERT\n\n"; $reporte=`cat @ARGV[1]`; print MAIL $reporte; close MAIL;
Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos
85
Anexo 10. Tutorial relaciones de confianza con SSH.
Si se está constantemente administrando servidores de manera remota, le parecerá molesto estar
tecleando las extensas contraseñas que se seleccionan con el fin de lograr una alta seguridad. Sin
embargo, es posible crear confianza entre dos equipos de manera que no se tenga que volver a
teclear nunca más la contraseña y sin perder seguridad.
Para crear confianza entre dos equipos es necesario crear una llave pública y agregarla al archivo
authorized_keys del equipo remoto. Por ejemplo, imaginar que el usuario "manuel" está en una
WorkStation NetBSD cuyo hostname es "andromeda" y desea conectarse al equipo
“mononeurona.org” usando la cuenta de usuario "httpuser". Los pasos serían los siguientes.
Se crea la llave pública con el comando keygen-ssh (cuando le pregunte la frase sólo de enter):
$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/manuel/.ssh/id_dsa):
Created directory '/home/manuel/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/manuel/.ssh/id_dsa.
Your public key has been saved in /home/manuel/.ssh/id_dsa.pub.
The key fingerprint is:
ca:6d:4e:6c:f5:fd:10:3b:59:7b:11:80:59:7d:8b:54 manuel@andromeda
Ahora se copia la llave pública al equipo remoto:
$ scp .ssh/id_dsa.pub
[email protected]:/home/httpuser/.ssh/andromeda_id_dsa.pub
Se ingresa al otro equipo, tecleando la contraseña por última vez.
$ ssh [email protected]
Una vez adentro, se inserta el archivo con nuestra llave pública al archivo “authorized_keys”.
$ cat .ssh/andromeda_id_dsa.pub >> .ssh/authorized_keys
Anexos
86
Se realiza la comprobación de los permisos. El directorio “.ssh” debe tener permisos de ejecución y
lectura pero no de escritura.
$ chmod 555 .ssh && chmod 644 .ssh/authorized_keys
Nos salimos del servidor remoto con exit y volvemos a teclear.
$ ssh [email protected]
Por último se tendrá la capacidad de entrar automáticamente sin teclear nada.
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
87
An
exo
10
. M
ue
stra
de
un
re
po
rte
ge
ne
rad
o p
or
la h
err
am
ien
ta.
====
====
====
====
====
====
===
====
== R
epo
rte
TR
UM
AN
===
====
====
====
====
====
====
====
====
==
Bin
ario
: u
rdvx
c.ex
e
Firm
a M
D5:
10e
0b
cf74
ff73
f50
8c2a
a6e
864
0dff
99
Fi
rma
SHA
1: f
603
b1
930
9ad
c84
8141
f14
82f7
360
0a4
949
5be
24
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
--
Arc
hiv
os
crea
do
s:
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
clb
vvlr
s.ex
e
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
clxl
czxq
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\ej
thw
sbr.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\es
jkb
ccv.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\lb
exz
kbk.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\lz
jvxj
el.e
xe
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
njw
rczc
c.ex
e
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
nse
krlv
z.ex
e
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
ntw
wcb
nq
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\sb
wrk
xcs.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\st
ttkl
te.e
xe
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
ttkk
lzcs
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\xc
lscl
bs.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\xt
xvn
rex.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Syst
em
\ad
o\s
cjej
qze
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\Ne
tMee
tin
g\xk
sjxl
jj.ex
e
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\c
nrs
tqb
b.e
xe
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\h
tvtl
chz.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\ez
nn
thw
j.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\h
jkb
llwk.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\jll
slb
nb
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\jn
kwrx
nr.
exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\kn
hb
wsn
v.ex
e
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
krh
wtj
eh
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\lh
vcln
lt.e
xe
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
rvjb
kxtl
.exe
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\zh
qvn
thb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\b
lvcc
bsx
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\b
rvec
wcs
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\b
tesn
ne
l.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\b
tqkx
en
z.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\cw
bb
net
r.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\hlr
rerk
q.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\kn
kskt
hw
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\l
rlzz
tll.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\nzz
wh
eb
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\rkj
enss
c.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\rrt
hsn
tk.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\tch
ekrq
t.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\vrr
kkh
bn
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\z
vsw
nle
v.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\c
thsn
blj.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
ekt
ltn
ch.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\e
rro
r\e
rett
xjr.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
jkh
eh
njn
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
kbw
nh
lkk.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
lktk
ttrb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
nee
hn
zxl.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\e
rro
r\ss
wzl
ttc.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
xen
jnb
qe.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\d
slm
ain
\ne
vttb
lh.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
dsl
mai
n\q
xztl
lwj.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
dsl
mai
n\s
lhce
zwb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\ic
on
nec
t\js
nsl
jzh
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\ic
on
nec
t\sh
rtrs
bs.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\is
pty
pe
\ln
vln
zbq
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\b
ccxe
jnc.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\b
zrb
bsr
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\cjx
sjlb
r.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\hcv
xrtw
z.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\jjlh
knh
h.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\jlk
shlv
l.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\k
hkv
hh
sb.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\klk
hkr
ts.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\lb
zcxv
er.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\nrl
cnzs
h.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\qe
tvq
lnw
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\r
bn
rnn
xt.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
sco
nn
ect\
jkh
jlhb
b.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
sco
nn
ect\
vzn
ne
be
t.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
cser
ror\
vcej
lxkt
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\h
ken
nts
l.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\jjt
rkb
nj.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
knkb
rnb
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
ktkb
ekn
l.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\rk
eetq
ew
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\sk
qb
vxsq
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\ts
jhsh
cj.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
ztce
skls
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\krc
xzn
cj.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\q
jeej
eej.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\ce
trjw
tt.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\e
hxz
esh
x.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\e
tnw
xxn
v.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\kj
tzrl
bb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rcw
ntt
zv.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\w
lkb
bn
rq.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\w
tkkx
rlr.
exe
An
exo
s
88
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\xc
jnks
ke.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\b
knkj
heh
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\bvq
ncl
er.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\c
rjrh
ltv.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\elr
bjlr
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\e
nb
sjw
re.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\e
sjh
xblq
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\esk
cxkh
r.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\h
lqst
wxz
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\hn
hkk
ene.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\hw
ncr
nh
h.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\h
xckw
nzl
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\hxx
ttsk
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\j
ejrh
nvh
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\jtx
sbxw
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\k
jqkx
tnz.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\kks
kses
r.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\k
nkh
rczb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\lh
khb
jzl.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\l
kjtr
hks
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\ln
estr
nt.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\nkh
lvlz
t.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\n
lee
vxq
j.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\nst
nn
nkk
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\ntw
bjn
xv.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\n
vbb
shss
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\nw
qjk
khn
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\rre
snsc
t.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\r
serk
ten
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\sej
khev
n.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\s
eq
tjb
ee.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\s
hb
qjh
cl.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\t
nq
sbljb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\tq
kbrh
nx.
exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\tth
zxn
tk.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\v
jbss
bh
j.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\vkc
kxh
bn
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\wn
klre
tl.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\w
rbb
njs
s.ex
e
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\w
ten
sln
j.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\ze
bls
xxw
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\zh
hrr
ltb
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\zh
zsn
hje
.exe
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\zn
nh
hh
tk.e
xe
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\t
ttn
wsh
l.exe
C
:\W
IND
OW
S\sy
stem
32
\urd
vxc.
exe
C
:\W
IND
OW
S\H
elp
\bze
hxv
nz.
exe
C
:\W
IND
OW
S\H
elp
\hw
exrt
ne.
exe
C
:\W
IND
OW
S\H
elp
\jb
nsh
hq
j.exe
C
:\W
IND
OW
S\H
elp
\jjle
nkb
t.ex
e
C:\
WIN
DO
WS\
Hel
p\T
ou
rs\h
tmlT
ou
r\kl
bve
jnk.
exe
C:\
WIN
DO
WS\
Hel
p\T
ou
rs\h
tmlT
ou
r\kz
erb
zks.
exe
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
kzkz
kjkb
.exe
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
qej
nh
etj.e
xe
C:\
WIN
DO
WS\
Hel
p\T
ou
rs\h
tmlT
ou
r\rb
nes
qvr
.exe
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
rqkj
qjq
b.e
xe
C:\
WIN
DO
WS\
Hel
p\T
ou
rs\W
ind
ow
sMed
iaP
laye
r\A
ud
io\l
llkn
blj.
exe
C
:\W
IND
OW
S\H
elp
\To
urs
\Win
do
wsM
edia
Pla
yer\
Cn
t\tj
nb
zhb
h.e
xe
C:\
WIN
DO
WS\
Hel
p\t
sbjb
tvn
.exe
C
:\W
IND
OW
S\W
eb
\wcx
njh
hj.e
xe
Arh
ivo
s m
od
ific
ado
s:
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Gla
ciar
.htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\A
taq
ue
rad
ial.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Be
bid
a d
e lim
ón
.htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\D
ulc
es.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Día
lum
ino
so.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
En b
lan
co.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Fies
ta.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Gir
aso
l.htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\G
ráfi
cos
circ
ula
res.
htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\H
ied
ra.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Ho
jas.
htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\M
aíz.
htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Mic
roso
ft S
har
ed
\Sta
tio
ner
y\N
atu
rale
za.h
tm
C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
ne
s\M
icro
soft
Sh
are
d\S
tati
on
ery\
Técn
ico
.htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Arc
hiv
os
com
un
es\
Syst
em
\ad
o\M
DA
CR
ead
me.
htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\Ne
tMee
tin
g\n
etm
eet.
htm
C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\al
lcla
sses
-fra
me.
htm
l C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\al
lcla
sses
-no
fram
e.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\p
acka
ge-f
ram
e.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\p
acka
ge-s
um
mar
y.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\p
acka
ge-t
ree.
htm
l C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\co
m\v
mw
are
\vm
gues
tlib
\VM
Gu
estL
ibEr
rorE
xce
pti
on
.htm
l C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\co
m\v
mw
are
\vm
gues
tlib
\VM
Gu
estL
ibH
and
le.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\V
MG
ues
tLib
Inte
rfac
e.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
con
stan
t-va
lues
.htm
l C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\h
elp
-do
c.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
ind
ex-a
ll.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
ind
ex.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
ove
rvie
w-
sum
mar
y.h
tml
C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
ove
rvie
w-t
ree.
htm
l C
:\A
rch
ivo
s d
e p
rogr
ama
\VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\se
rial
ized
-fo
rm.h
tml
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
con
n.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
do
ne.
htm
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
89
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
iv.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
ive
rr.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
ivsv
c.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\act
lan
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\a
des
kerr
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\a
drd
yre
g.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\ap
olic
y.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\ap
rvcy
ms.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\a
reg1
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\a
regd
ial.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\a
ctse
tup
\are
gdo
ne.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
setu
p\a
usr
info
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\act
shel
l.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\dts
gnu
p.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\e
rro
r\cn
nct
err.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
dia
lto
ne.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
hn
dsh
ake.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
isp
2bu
sy.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\e
rro
r\n
oan
swer
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
pb
err.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
pu
lse
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\err
or\
too
bu
sy.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
dsl
mai
n\d
slm
ain
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\d
slm
ain
\dsl
_a.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
dsl
mai
n\d
sl_
b.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
ico
nn
ect\
icn
tlas
t.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
ico
nn
ect\
ico
nn
ect.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\is
pty
pe
\isp
typ
e.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\h
tml\
mo
use
\mo
use
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_a
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_b
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_c
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_d
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_e
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_f
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_g
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_h
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_i
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_j
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\m
ou
se\m
ou
se_k
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\sc
on
nec
t\sc
ntl
ast.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\htm
l\sc
on
nec
t\sc
on
nec
t.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
cser
ror\
icsd
c.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
isp
cner
r.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
isp
dto
ne.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\is
ph
dsh
k.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
isp
ins.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\is
pn
oan
w.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
isp
pb
err
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\isp
erro
r\is
pp
hb
sy.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\i
sper
ror\
isp
sbu
sy.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\m
sob
she
l.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rcn
terr
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rdto
ne.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rhn
dsh
k.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\rn
oan
sw.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\r
ege
rro
r\rn
om
dm
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rpb
err.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rpu
lse.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\re
gerr
or\
rto
ob
usy
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\id
en
t1.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\o
emp
riv.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\act
err
or.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\act
ivat
e.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\a
ct_
plc
y.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\a
uto
up
dt.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\au
_plc
y.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\b
ade
ula
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\bad
pke
y.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\c
om
pn
ame.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\dia
lup
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\drd
yisp
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\drd
ymig
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\drd
yoem
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\drd
yref
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\dti
wai
t.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\f
ini.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\h
nw
prm
pt.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\ico
nn
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\ics
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\id
en
t2.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\i
sp.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\i
spw
ait.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\jn
do
mai
n.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\j
nd
om
_a.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\k
eyb
d.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\k
eyb
dcm
t.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\m
igd
ial.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\m
iglis
t.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\m
igp
age.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\new
eula
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\new
eula
2.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\O
ob
edis
c.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\p
rod
key.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\prv
cym
s.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\r
efd
ial.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\r
eg1
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\re
g3.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\r
egd
ial.h
tm
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\s
ecu
rity
.htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\tim
ezo
ne.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\set
up
\use
rnam
e.h
tm
An
exo
s
90
C:\
WIN
DO
WS\
syst
em3
2\o
ob
e\s
etu
p\w
elco
me.
htm
C
:\W
IND
OW
S\sy
stem
32
\oo
be
\up
dsh
ell.
htm
C
:\W
IND
OW
S\H
elp
\cia
dm
in.h
tm
C:\
WIN
DO
WS\
Hel
p\c
iqu
ery.
htm
C
:\W
IND
OW
S\H
elp
\ixq
lan
g.h
tm
C:\
WIN
DO
WS\
Hel
p\m
igw
iz.h
tm
C:\
WIN
DO
WS\
Hel
p\m
igw
iz2.
htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
bes
t_fr
.htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
foo
ter.
htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
safe
_fr.
htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
star
t_fr
.htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
con
nec
ted
_fr.
htm
C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
un
lock
_fr.
htm
C
:\W
IND
OW
S\H
elp
\To
urs
\Win
do
wsM
edia
Pla
yer\
Au
dio
\sn
d.h
tm
C:\
WIN
DO
WS\
Hel
p\T
ou
rs\W
ind
ow
sMed
iaP
laye
r\C
nt\
con
ten
ts.h
tm
C:\
WIN
DO
WS\
We
b\t
ip.h
tm
Arc
hiv
os
bo
rrad
os:
--
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
P
roce
sos
leva
nta
do
s:
urd
vxc.
exe
--
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
C
on
exio
nes
act
ivas
: P
roto
Dir
ecci
on
Lo
cal
Dir
ecci
on
Rem
ota
Est
ado
TC
P
4.5
.6.7
:140
4
61.
1.46
.14:
139
SY
N_S
ENT
TC
P
4.5
.6.7
:140
5
61.
1.12
1.9:
139
SY
N_S
ENT
TC
P
4.5
.6.7
:140
7
61.
1.23
5.6
9:13
9
S
YN_S
ENT
TC
P
4.5
.6.7
:140
8
61.
1.16
6.6:
139
SY
N_S
ENT
--
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
---
Info
rme
de
Reg
istr
os
en
\H
KEY
_LO
CA
L_M
AC
HIN
E\D
EFA
ULT
:
No
se
de
tect
aro
n d
ifer
en
cias
--
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
---
Info
rme
de
Reg
istr
os
en
\H
KEY
_LO
CA
L_M
AC
HIN
E\S
OFT
WA
RE
: Ll
aves
cre
adas
y r
egis
tro
s:
[so
ftw
are
\Cla
sses
\CLS
ID\{
002
6A5
48-2
A1
9-E
8A0-
B03
E-B
8692
A75
086
E}]
@
="b
klzw
tkh
bsr
crxj
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
002
6A5
48-2
A1
9-E
8A0-
B03
E-B
8692
A75
086
E}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\W
eb\w
cxn
jhh
j.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{0
071
96C
5-0
DD
4-0
764
-F61
E-2
00F7
4EE
E57C
}]
@
="z
keb
jblz
bh
nzr
rhj"
[s
oft
war
e\C
lass
es\C
LSID
\{0
071
96C
5-0
DD
4-0
764
-F61
E-2
00F7
4EE
E57C
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\nrl
cnzs
h.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
00A
77F
45
-682
B-8
DE9
-9E1
9-E
2C
9F51
D83
88}]
@=
"re
ntx
zen
jkb
elb
hr"
[s
oft
war
e\C
lass
es\C
LSID
\{0
0A7
7F4
5-6
82B
-8D
E9-9
E19
-E2
C9F
51D
8388
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\k
ksks
esr.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{0
3F7
EF8A
-104
D-1
443
-9F1
B-0
698
9974
5744
}]
@
="t
bvh
hzt
rhke
krtn
w"
[so
ftw
are
\Cla
sses
\CLS
ID\{
03F
7EF
8A-1
04D
-14
43-9
F1B
-069
899
7457
44}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\qje
ejee
j.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{0
48B
F78C
-E6
18-0
789
-65
EC-7
B42
EEB
AB
DD
C}]
@=
"zkv
rzh
rvljz
qzx
jl"
[so
ftw
are
\Cla
sses
\CLS
ID\{
048
BF7
8C-E
618
-07
89-6
5EC
-7B
42EE
BA
BD
DC
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\sys
info
\jrt
qcs
sx.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
06F
575
57-A
B6
C-8
A55
-49
22
-735
4751
1B8D
2}]
@
="k
eh
lzct
bec
zstj
nl"
[s
oft
war
e\C
lass
es\C
LSID
\{0
6F5
7557
-AB
6C
-8A
55-4
92
2-7
3547
511B
8D2}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
ico
nn
ect\
jsn
sljz
h.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
073
7E8
42-2
BB
E-EE
74-7
8D8-
D84
8BD
F721
C1}
]
@=
"bw
bb
trcb
nrr
bkb
kk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
073
7E8
42-2
BB
E-EE
74-7
8D8-
D84
8BD
F721
C1}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\btq
kxen
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0A0F
148
6-3
5D6
-89D
7-D
882
-CA
1A59
862B
6E}
]
@=
"re
nw
knh
tkkr
ecb
js"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0A0F
148
6-3
5D6
-89D
7-D
882
-CA
1A59
862B
6E}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Co
mp
atC
tr\j
bn
xjtk
n.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0A82
E0C
D-C
707
-C66
F-5
6D8
-BFE
EEC
72B
3FF}
]
@=
"rlh
qn
vnes
snh
kbvt
"
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
91
[so
ftw
are
\Cla
sses
\CLS
ID\{
0A82
E0C
D-C
707
-C66
F-5
6D8
-BFE
EEC
72B
3FF}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\z
hzs
nh
je.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0B44
EB36
-CB
81-9
FE3-
EB6F
-ED
253B
C8
24C
5}]
@
="t
nn
lte
nw
tnlx
zjn
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0B44
EB36
-CB
81-9
FE3-
EB6F
-ED
253B
C8
24C
5}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\V
end
ors
\CN
=Mic
roso
ft
Co
rpo
rati
on
,L=R
ed
mo
nd
,S=W
ash
ingt
on
,C=
US\
kkrt
rbn
s.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
0CB
9093
C-C
0DA
-0F8
E-EE
4A-9
32
0FEE
E77D
5}]
@=
"skl
nzs
ljwb
hkt
tnh
" [s
oft
war
e\C
lass
es\C
LSID
\{0C
B90
93C
-C0D
A-0
F8E-
EE4A
-93
20F
EEE7
7D5
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
knh
bw
snv.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{1
01E4
C4F
-A3
01-A
D71
-148
E-5
84F7
618
A0A
C}]
@=
"bsw
bsq
qtb
zwn
steh
" [s
oft
war
e\C
lass
es\C
LSID
\{1
01E4
C4F
-A3
01-A
D71
-148
E-5
84F7
618
A0A
C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\m
ou
se\r
bn
rnn
xt.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
110
F97
74-F
AA
C-0
A3E
-8A
58
-182
D5A
948
013}
]
@=
"rrh
knb
kzh
nb
skjjk
" [s
oft
war
e\C
lass
es\C
LSID
\{1
10F9
774
-FA
AC
-0A
3E-8
A5
8-1
82D
5A9
4801
3}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\b
jlkjr
ls.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
118
AD
934
-651
2-C
F10-
DF5
0-2
B2
755
D07
C2F
}]
@
="l
ksln
ejjle
khlw
nt"
[s
oft
war
e\C
lass
es\C
LSID
\{1
18A
D93
4-6
512
-CF1
0-D
F50
-2B
27
55D
07C
2F}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\c
ntb
rbzr
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{1
226C
FC0
-5D
F7-E
1AE-
525D
-DD
C9F
4EE
73C
7}]
@=
"vrb
ltw
jtb
lbh
ljeb
" [s
oft
war
e\C
lass
es\C
LSID
\{1
226C
FC0
-5D
F7-E
1AE-
525D
-DD
C9F
4EE
73C
7}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\lh
vcln
lt.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
12A
1AE1
9-7
750
-B91
F-6F
8E-
96
8150
CD
EFB
7}]
@
="b
hvs
lsq
kkks
swrw
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
12A
1AE1
9-7
750
-B91
F-6F
8E-
96
8150
CD
EFB
7}\L
oca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\co
m\v
mw
are
\vm
gues
tlib
\htv
tlch
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
132
936
6B-3
CA
3-C
056
-483
2-F
DA
8BA
C1
351F
}]
@
="e
ehb
jnb
ksrh
bzj
bb
"
[so
ftw
are
\Cla
sses
\CLS
ID\{
132
936
6B-3
CA
3-C
056
-483
2-F
DA
8BA
C1
351F
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Up
dat
eCtr
\rrb
vcsb
b.e
xe"
[so
ftw
are\
Cla
sses
\CLS
ID\{
143
02F
B3
-F2A
5-D
B6E
-751
9-B
FCD
38B
9AFF
D}]
@=
"tsl
tzrz
bjq
hsn
elv"
[s
oft
war
e\C
lass
es\C
LSID
\{1
430
2FB
3-F
2A5
-DB
6E-7
519
-BFC
D38
B9A
FFD
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
rvjb
kxtl
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{1
8A5
8AED
-373
0-3
09F
-887
9-6
65F0
274
DEA
3}]
@
="w
tcss
rwxt
bn
ctvj
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
18A
58A
ED-3
730
-30
9F-8
879
-665
F02
74D
EA3}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\e
sjh
xblq
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{1C
64F
2C7
-C0
16-2
C0
6-7A
72-A
ED04
31ED
CD
1}]
@=
"ejq
nh
hzr
xbev
hjk
t"
[so
ftw
are
\Cla
sses
\CLS
ID\{
1C6
4F2C
7-C
016
-2C
06-
7A72
-AED
0431
EDC
D1
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
spe
rro
r\rk
eetq
ew
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{1C
F02
4E4
-90B
E-89
22-5
971
-A43
B3A
64F1
8C}]
@=
xjkj
xvn
sqjjv
jj"
[so
ftw
are
\Cla
sses
\CLS
ID\{
1CF0
24E
4-9
0BE-
8922
-59
71-A
43B
3A64
F18C
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\N
etM
eeti
ng\
xksj
xljj.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{1F
CB
90
23-A
1D4
-18
8C-5
AE1
-F3
4B8
E878
32B
}]
@
="n
etr
rhjc
xnke
ljjn
" [s
oft
war
e\C
lass
es\C
LSID
\{1F
CB
90
23-A
1D4
-18
8C-5
AE1
-F3
4B8
E878
32B
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\w
tkkx
rlr.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{2
0D1
0BF1
-31
13-E
7B7-
0A4
7-A
5B4
6903
4DB
2}]
@=
"ckx
tklb
vtw
zttt
tb"
[so
ftw
are
\Cla
sses
\CLS
ID\{
20D
10B
F1-3
113
-E7B
7-0A
47
-A5B
469
034D
B2
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\t
nq
sbljb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{2
360D
C15
-1EE
F-8D
F9-7
DB
2-18
C9
E52F
DB
C3}
]
@=
"eje
nrk
zwn
htv
sbsl
" [s
oft
war
e\C
lass
es\C
LSID
\{2
360D
C15
-1EE
F-8D
F9-7
DB
2-18
C9
E52F
DB
C3}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\z
nn
hh
htk
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{2
52D
536
2-7
DB
0-49
E3-7
A1
6-3
B8C
FC85
1C4F
}]
@
="x
blls
tve
hw
ntc
jhn
" [s
oft
war
e\C
lass
es\C
LSID
\{2
52D
536
2-7
DB
0-49
E3-7
A1
6-3
B8C
FC85
1C4F
}\Lo
calS
erve
r32]
An
exo
s
92
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
ttkk
lzcs
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{2
6A2
097D
-FE7
E-31
E3-E
B0D
-B47
6CC
974D
A8}
]
@=
"stq
zzlr
lbjn
lclb
n"
[so
ftw
are
\Cla
sses
\CLS
ID\{
26A
209
7D-F
E7E-
31E3
-EB
0D-B
476C
C97
4DA
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m3
2\o
ob
e\e
rro
r\e
ktlt
nch
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{2
92B
16F1
-5F5
D-C
6FE-
83F
B-7
BD
902
DB
1DB
8}]
@
="v
nb
nxj
lwjh
ejw
vrt"
[s
oft
war
e\C
lass
es\C
LSID
\{2
92B
16F1
-5F5
D-C
6FE-
83F
B-7
BD
902
DB
1DB
8}\L
oca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
esjk
bcc
v.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
2B74
AF4
8-6
A85
-72
22-6
651
-EB
BA
E148
C5B
3}]
@
="x
tlb
hb
tkee
tsb
ltj"
[s
oft
war
e\C
lass
es\C
LSID
\{2B
74A
F48
-6A
85-7
222
-66
51-E
BB
AE1
48C
5B3}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\e
nb
sjw
re.e
xe"
[so
ftw
are
\Cla
sse
s\C
LSID
\{2B
BB
B93
E-C
8E8
-C1E
E-0
93F-
EA21
1A6
2B2
7B}]
@=
"rkb
nh
jnsv
jqb
jvjh
" [s
oft
war
e\C
lass
es\C
LSID
\{2B
BB
B93
E-C
8E8
-C1E
E-0
93F-
EA21
1A6
2B2
7B}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\wrb
bn
jss.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{2C
7A5
774
-05
75-3
C1C
-17
89-B
8C3
E1C
D9D
DE}
]
@=
"ljr
xbn
zzjle
krljv
" [s
oft
war
e\C
lass
es\C
LSID
\{2C
7A5
774
-05
75-3
C1C
-17
89-B
8C3
E1C
D9D
DE}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
spe
rro
r\ts
jhsh
cj.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
2EF
892
62-6
92C
-51D
0-C
D8
4-C
415
D73
F84
EB}]
@=
"rq
bq
cln
chth
zrck
t"
[so
ftw
are
\Cla
sses
\CLS
ID\{
2EF
892
62-6
92C
-51D
0-C
D8
4-C
415
D73
F84
EB}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\jtx
sbxw
n.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
308
E81
ED-7
21
8-8
209
-0B
65
-409
E8A
5275
03}]
@=
"le
bkh
bn
hq
qls
eeb
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
308
E81
ED-7
21
8-8
209
-0B
65
-409
E8A
5275
03}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\jej
rhn
vh.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
324
6BB
5C-F
56C
-50C
E-9D
C1-
456
8A4
44B
F1F}
]
@=
"vb
hb
bb
zvts
erjb
tj"
[so
ftw
are
\Cla
sses
\CLS
ID\{
324
6BB
5C-F
56C
-50C
E-9D
C1-
456
8A4
44B
F1F}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\v
jbss
bh
j.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{3
26C
E86B
-F4
68-E
A85
-56
28
-FD
4D0F
FDB
B85
}]
@
="t
elv
vbjh
be
bke
he
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
326
CE8
6B-F
468
-EA
85-5
62
8-F
D4D
0FFD
BB
85}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\r
bcj
jwq
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
353
49B
95-8
2D3-
1178
-19
ED-0
E5D
2312
F5C
0}]
@=
"nn
jbee
qrs
srjc
bjh
" [s
oft
war
e\C
lass
es\C
LSID
\{3
534
9B95
-82D
3-11
78-1
9ED
-0E5
D23
12F5
C0
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\u
rdvx
c.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
354
00E
D6
-5C
B6-
5FB
6-F0
B9-
AF1
84FD
6376
3}]
@
="z
nje
ssek
lsct
njb
q"
[so
ftw
are
\Cla
sses
\CLS
ID\{
354
00E
D6
-5C
B6-
5FB
6-F0
B9-
AF1
84FD
6376
3}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\h
lrre
rkq
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{3
633
04E6
-AD
DF-
9355
-8F4
C-D
71
3157
51C
40}
]
@=
"cvh
ljnlll
tcxs
ksj"
[s
oft
war
e\C
lass
es\C
LSID
\{3
633
04E6
-AD
DF-
9355
-8F4
C-D
71
3157
51C
40}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Ven
do
rs\C
N=
Mic
roso
ft
Co
rpo
rati
on
,L=R
ed
mo
nd
,S=W
ash
ingt
on
,C=
US\
Rem
ote
Ass
ista
nce
\vxw
qh
wzs
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{3
676C
97E-
85F
8-4
FE1-
4FF3
-57
61EB
CB
649D
}]
@
="x
vqkk
trh
rqje
vz"
[so
ftw
are
\Cla
sses
\CLS
ID\{
367
6C97
E-8
5F8
-4FE
1-4F
F3-5
761
EBC
B64
9D}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\lh
khb
jzl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
371
28C
75
-4B
63-7
1FC
-DD
33
-D9
492F
BB
2EFB
}]
@
="b
lkb
lsq
essb
qev
et"
[s
oft
war
e\C
lass
es\C
LSID
\{3
712
8C7
5-4
B63
-71F
C-D
D3
3-D
949
2FB
B2E
FB}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
lien
t\w
bjb
jelb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{3
720
1920
-C14
9-2
EC6-
4F1B
-17C
A78
F01B
82}
]
@=
"zsx
wkz
rrkr
ckrw
tb"
[so
ftw
are
\Cla
sses
\CLS
ID\{
372
019
20-C
149
-2EC
6-4F
1B-1
7CA
78F0
1B8
2}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\ln
estr
nt.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{3
7FA
274
4-0
3C3
-5EA
A-9
0C6
-D68
5E58
78D
B2}
]
@=
"rb
trh
bh
hw
ktsx
swk"
[s
oft
war
e\C
lass
es\C
LSID
\{3
7FA
274
4-0
3C3
-5EA
A-9
0C6
-D68
5E58
78D
B2}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\n
vbb
shss
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{3
8A7
613E
-68D
B-4
B91
-C1
68-6
B5F
071
086C
B}]
@=
"lsv
ew
rslt
rrrl
rth
"
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
93
[so
ftw
are
\Cla
sses
\CLS
ID\{
38A
761
3E-6
8DB
-4B
91-C
168
-6B
5F0
7108
6CB
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
hjk
bllw
k.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3A4B
53A
C-4
23A
-E7C
A-C
4DA
-B7
8A9
59F8
C0
3}]
@
="b
rcjr
enq
elb
txec
z"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3A4B
53A
C-4
23A
-E7C
A-C
4DA
-B7
8A9
59F8
C0
3}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\S
erve
r\cc
thw
jlr.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3AE1
D8C
D-A
6F7
-40F
E-B
88
8-5
6FC
BA
8BC
A46
}]
@
="s
wks
vsh
jjvzx
hw
rl"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3AE1
D8C
D-A
6F7
-40F
E-B
88
8-5
6FC
BA
8BC
A46
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Co
mp
atC
tr\t
nsl
rrh
k.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3C0
749D
E-9D
0D-1
B9A
-52
E6-2
C34
7FD
D15
A9}
]
@=
"hvq
en
cttz
rjzr
lct"
[s
oft
war
e\C
lass
es\C
LSID
\{3C
074
9DE-
9D0D
-1B
9A-5
2E6
-2C
347F
DD
15A
9}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\ttt
nw
shl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3C1D
70
9C-0
F4D
-5D
A4
-223
2-7
AFD
13C
0C2
3F}]
@=
"wxx
erve
vljs
zkzt
r"
[so
ftw
are
\Cla
sses
\CLS
ID\{
3C1D
70
9C-0
F4D
-5D
A4
-223
2-7
AFD
13C
0C2
3F}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
lien
t\tt
zvrb
zr.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
401
4C36
2-2
DA
7-4
0F3-
1C21
-53
E884
4CD
08
7}]
@
="r
bsx
skh
teke
tbn
es"
[so
ftw
are
\Cla
sses
\CLS
ID\{
401
4C36
2-2
DA
7-4
0F3-
1C21
-53
E884
4CD
08
7}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\nw
qjk
khn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4
90C
DD
A9
-7D
56-3
D09
-CC
3C-5
136
306C
C8A
0}]
@
="k
ejh
zqjr
sqe
rkllr
" [s
oft
war
e\C
lass
es\C
LSID
\{4
90C
DD
A9
-7D
56-3
D09
-CC
3C-5
136
306C
C8A
0}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\C
om
pat
Ctr
\hrt
be
bze
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4
94FE
B7F
-662
6-1
241
-41D
8-5
9E22
DB
24FC
2}]
@
="s
jnvk
revs
xwth
tvv"
[s
oft
war
e\C
lass
es\C
LSID
\{4
94F
EB7F
-662
6-1
241
-41D
8-5
9E22
DB
24FC
2}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\isp
err
or\
ktkb
ekn
l.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4
9BC
4B7D
-A77
B-D
CF4
-C29
B-8
F50
40D
7C9A
5}]
@
="r
jtrn
lzh
bsz
ceh
kk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
49B
C4B
7D-A
77B
-DC
F4-C
29B
-8F5
04
0D7C
9A5}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
dsl
mai
n\q
xztl
lwj.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
4A16
7404
-9A
8F-6
684
-EF4
7-1
9FB
5BD
943E
F}]
@
="w
leljt
hn
tbkz
hks
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
4A16
7404
-9A
8F-6
684
-EF4
7-1
9FB
5BD
943E
F}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\reg
err
or\
rcw
ntt
zv.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
4AA
4DEB
6-F
141
-B72
4-8B
CF-
499
5A8
2419
F6}]
@=
"ntr
etw
elk
tbsv
vhs"
[s
oft
war
e\C
lass
es\C
LSID
\{4A
A4D
EB6
-F1
41-B
724-
8BC
F-4
995A
824
19F6
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\l
kjtr
hks
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4D
9B3A
D6
-F9
C1
-07
39-3
A6E
-3D
55D
45A
69E
3}]
@
="s
wjh
htj
hjh
wtb
qn
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
4D9B
3AD
6-F
9C
1-0
739
-3A
6E-3
D5
5D4
5A6
9E3}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
He
lp\j
jlen
kbt.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4F
2D6
30B
-CD
4C
-12
06-E
DF4
-4ED
390
0B
139
8}]
@
="w
nsh
lsrk
htw
hb
skl"
[s
oft
war
e\C
lass
es\C
LSID
\{4F
2D6
30B
-CD
4C
-12
06-E
DF4
-4ED
390
0B1
398}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\eh
xzes
hx.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{4F
82FD
E5-2
426
-89
1D-5
E88
-22E
0672
5D2A
6}]
@
="x
bn
kkkr
ew
ltrn
kkt"
[s
oft
war
e\C
lass
es\C
LSID
\{4F
82FD
E5-2
426
-89
1D-5
E88
-22E
0672
5D2A
6}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\U
pd
ateC
tr\t
rkh
kjxz
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{5
064A
943
-EF5
3-7
AC
A-9
C6F
-78
9E59
41E3
45}
]
@=
"en
kkvh
tbzj
vlsr
qt"
[s
oft
war
e\C
lass
es\C
LSID
\{5
064A
943
-EF5
3-7
AC
A-9
C6F
-78
9E59
41E3
45}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\jlk
shlv
l.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{5
228
7B95
-32
57
-CC
F7-3
B8
6-B
739
78B
045A
2}]
@
="r
nxh
xjek
xnzh
vhvc
" [s
oft
war
e\C
lass
es\C
LSID
\{5
228
7B95
-32
57
-CC
F7-3
B8
6-B
739
78B
045A
2}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\seq
tjb
ee.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
537
3C2B
2-5
04D
-1A
46-0
8FD
-6B
797
98FD
4D0}
]
@=
"wct
jele
blb
ene
wh
j"
[so
ftw
are
\Cla
sses
\CLS
ID\{
537
3C2B
2-5
04D
-1A
46-0
8FD
-6B
797
98FD
4D0}
\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\lz
jvxj
el.e
xe"
An
exo
s
94
[so
ftw
are
\Cla
sses
\CLS
ID\{
54E
27ED
A-9
B9
9-0
E27-
7246
-DB
3CD
D57
716
5}]
@
="c
eeb
znje
lxlw
tseq
" [s
oft
war
e\C
lass
es\C
LSID
\{5
4E27
EDA
-9B
99
-0E2
7-72
46-D
B3C
DD
577
165}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\h
nh
kke
ne.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{5
55B
79E9
-DA
80
-97
6E-4
918
-FE9
C20
D88
A6F
}]
@
="s
hxe
ttcb
bb
evn
vke"
[s
oft
war
e\C
lass
es\C
LSID
\{5
55B
79E9
-DA
80
-97
6E-4
918
-FE9
C20
D88
A6F
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\h
xckw
nzl
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{5
6F8
EF1A
-30C
4-7
7DB
-B4A
1-F
7FB
92D
8343
8}]
@
="j
ksh
nxn
ckh
xncs
nr"
[s
oft
war
e\C
lass
es\C
LSID
\{5
6F8
EF1A
-30C
4-7
7DB
-B4A
1-F
7FB
92D
8343
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\E
rrM
sg\v
lvxq
rek.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{5
75E0
2AB
-D63
8-2
559
-43A
B-6
0DF9
7B0D
256
}]
@
="n
tsb
vlxx
rnls
qb
lt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
575
E02A
B-D
638
-25
59-4
3AB
-60D
F97B
0D2
56}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\hlq
stw
xz.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
582
0F4
47-E
F2B
-74
E0-E
561
-3A
3CA
71
075C
B}]
@=
"esr
ech
lnh
ztkx
rzt"
[s
oft
war
e\C
lass
es\C
LSID
\{5
820F
447
-EF2
B-7
4E0
-E5
61-3
A3C
A7
107
5CB
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\klk
hkr
ts.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5B22
8E8B
-E3
61-
D45
F-8
0A9
-90
E145
C6C
2D7}
]
@=
"he
bn
jwh
keej
qrq
he"
[s
oft
war
e\C
lass
es\C
LSID
\{5B
228E
8B-E
36
1-D
45F-
80A
9-9
0E1
45C
6C2D
7}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\err
or\
kbw
nh
lkk.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{5B
974B
BE-
61B
D-D
89A
-783
C-6
F06B
BE1
8E4
0}]
@
="e
lkex
jtxk
rtw
be
lk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5B97
4BB
E-6
1BD
-D89
A-7
83C
-6F0
6BB
E18E
40}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Up
dat
eCtr
\lw
klb
vze.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{5B
E00A
73
-5A
3E-
77A
2-C
459
-92
89E7
FFB
B1
5}]
@
="r
tnrj
hkw
jhee
ztte
" [s
oft
war
e\C
lass
es\C
LSID
\{5B
E00A
73
-5A
3E-
77A
2-C
459
-92
89E7
FFB
B1
5}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\isp
err
or\
hke
nn
tsl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5D09
B84
E-B
9C6
-50
14-7
08E
-C73
B55
55D
548}
]
@=
"sh
twzj
jlecj
rns"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5D09
B84
E-B
9C6
-50
14-7
08E
-C73
B55
55D
548}
\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Sys
tem
\ad
o\s
cjej
qze
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{5D
F14F
9D-6
ED4-
DA
4A-4
9A4-
40F0
85A
9BB
86}
]
@=
"bn
kezn
ntl
qxe
wlt
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5DF1
4F9D
-6ED
4-D
A4A
-49A
4-40
F08
5A9B
B8
6}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\d
slm
ain
\slh
cezw
b.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
5E0
376
85-2
221
-5D
8C-A
3FF-
E6E3
9E9
DC
AA
1}]
@
="x
cnve
wljs
rnxc
jee"
[s
oft
war
e\C
lass
es\C
LSID
\{5
E037
685
-22
21-5
D8C
-A3F
F-E6
E39
E9D
CA
A1}
\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\xc
lscl
bs.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{6
0F0
7540
-55B
C-A
C34
-16
6A-6
7B6F
A4D
D1
97}]
@=
"ntr
heh
rsce
lxjb
lk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
60F
075
40-5
5BC
-AC
34-1
66A
-67B
6FA
4DD
197
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
sco
nn
ect\
jkh
jlhb
b.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
616
F81
60-B
381
-7FE
A-D
13A
-58
E0EF
4C12
E8}]
@=
"wb
jssq
eh
shn
qvh
js"
[so
ftw
are
\Cla
sses
\CLS
ID\{
616
F81
60-B
381
-7FE
A-D
13A
-58
E0EF
4C12
E8}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te A
ssis
tan
ce\w
esn
hze
c.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
62E
182
EE-0
72E
-85D
F-5
52C
-31
9B9
8B6
4E6C
}]
@
="r
kzn
esch
tcsh
hlb
r"
[so
ftw
are
\Cla
sses
\CLS
ID\{
62E
182
EE-0
72E
-85D
F-5
52C
-31
9B9
8B6
4E6C
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\ce
trjw
tt.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
675
6A7
2C-5
FD9-
3E32
-69
51-6
704
AEF
8DD
60}
]
@=
"kjx
xbtl
xcsh
jtn
rt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
675
6A7
2C-5
FD9-
3E32
-69
51-6
704
AEF
8DD
60}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\cw
bb
net
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
683
428
26-C
702
-23
5F-D
F6B
-ED
BD
2648
85A
B}]
@=
"xb
wh
txw
rbjn
khlk
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
683
428
26-C
702
-23
5F-D
F6B
-ED
BD
2648
85A
B}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
qej
nh
etj
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{6
89
059
09-F
47
5-D
D43
-8FE
8-91
4E34
1AEF
D6
}]
@
="s
klle
kkjh
njb
qkn
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
689
059
09-F
47
5-D
D43
-8FE
8-91
4E34
1AEF
D6
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
He
lp\T
ou
rs\h
tmlT
ou
r\kz
kzkj
kb.e
xe"
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
95
[so
ftw
are
\Cla
sses
\CLS
ID\{
68B
4E7
F8-6
512
-EF0
0-D
F46-
2E62
C2F
0A63
F}]
@
="q
bw
jbe
rbjt
nls
eke
" [s
oft
war
e\C
lass
es\C
LSID
\{6
8B4
E7F8
-651
2-E
F00-
DF4
6-2E
62C
2F0A
63F}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\pan
els
\nn
tlsk
wn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{6
8BC
C4
40-B
815
-D68
2-4
315
-91A
7B7
819B
77}
]
@=
"bjjr
esek
rrxn
lrn
n"
[so
ftw
are\
Cla
sses
\CLS
ID\{
68B
CC
440
-B81
5-D
682
-431
5-9
1A7B
781
9B7
7}\L
oca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
sbw
rkxc
s.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
691
C2
7E5
-1C
9A-A
9C4
-98F
D-9
CD
1018
A95
57}]
@=
"ljx
bcj
bq
rbln
zbth
" [s
oft
war
e\C
lass
es\C
LSID
\{6
91C
27E
5-1
C9A
-A9C
4-9
8FD
-9C
D10
18A
9557
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
com
\vm
war
e\v
mgu
estl
ib\c
nrs
tqb
b.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6B4F
B95
4-5
8B2
-E0
21-8
CE4
-02B
616
6FF4
36}]
@=
"sq
tlln
nq
erz
hlh
ce"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6B4F
B95
4-5
8B2
-E0
21-8
CE4
-02B
616
6FF4
36}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\d
slm
ain
\nev
ttb
lh.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6C3E
C2
76-E
5AB
-B2F
5-9F
F2-D
C2E
A97
8027
1}]
@
="l
lvtr
zkks
zxh
htj
c"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6C3E
C2
76-E
5AB
-B2F
5-9F
F2-D
C2E
A97
8027
1}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\k
nks
kth
w.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6CC
6DD
D2
-22
0B-8
F89-
077A
-058
CE7
A62
9E7}
]
@=
"jq
lbkh
jlrjb
lbjr
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6CC
6DD
D2
-22
0B-8
F89-
077A
-058
CE7
A62
9E7}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
cser
ror\
vcej
lxkt
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{6
EAF3
58
0-B
150
-6D
5F-D
7BB
-CC
0EC
95
1A6C
F}]
@
="h
tvjs
nvv
ckts
rbh
v"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6EA
F35
80
-B15
0-6
D5F
-D7B
B-C
C0
EC9
51A
6CF}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\n
leev
xqj.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
6F03
B46
B-1
AE1
-2D
B9-
BC
4A-1
3EEB
848
AB
0F}]
@=
"esb
rejs
lcjb
rwn
bn
" [s
oft
war
e\C
lass
es\C
LSID
\{6F
03B
46B
-1A
E1-2
DB
9-B
C4A
-13E
EB8
48A
B0F
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\n
jwrc
zcc.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{7
17B
6B2
2-F
136
-7A
EB-2
A9C
-C75
BEA
AEA
F04
}]
@
="l
bljc
we
hjz
hsn
ekk
" [s
oft
war
e\C
lass
es\C
LSID
\{7
17B
6B2
2-F
136
-7A
EB-2
A9C
-C75
BEA
AEA
F04
}\Lo
calS
erve
r32
]
@="
C:\
WIN
DO
WS\
He
lp\T
ou
rs\W
ind
ow
sMed
iaP
laye
r\C
nt\
tjn
bzh
bh
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{7
1AD
80F
1-0
996
-B6A
C-8
140
-3E7
EE8B
8E5D
D}]
@=
"eb
zzrj
jlbkx
wq
rnt"
[s
oft
war
e\C
lass
es\C
LSID
\{7
1AD
80F
1-0
996
-B6A
C-8
140
-3E7
EE8B
8E5D
D}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\wn
klre
tl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
751
75D
F7-E
F56-
52A
0-87
66
-554
65E7
173
E2}]
@=
"ksn
tjzr
kwct
rekb
l"
[so
ftw
are
\Cla
sses
\CLS
ID\{
751
75D
F7-E
F56-
52A
0-87
66
-554
65E7
173
E2}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\To
urs
\Win
do
wsM
edia
Pla
yer\
Au
dio
\lllk
nb
lj.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
75E
2B2
29-5
66A
-02B
3-17
98
-BB
27E8
D05
AD
D}]
@=
"xlh
qkk
bjjw
shvs
kn"
[so
ftw
are
\Cla
sses
\CLS
ID\{
75E
2B2
29-5
66A
-02B
3-17
98
-BB
27E8
D05
AD
D}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
xtxv
nre
x.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
781
385
71-F
4A5
-19
48-2
DF6
-7E7
EB4
7A2
658}
]
@=
"lzk
jqtk
bkn
jsh
hlt
" [s
oft
war
e\C
lass
es\C
LSID
\{7
813
8571
-F4A
5-1
948
-2D
F6-7
E7EB
47A
265
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\hw
ncr
nh
h.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
796
977
ED-D
431
-7FF
4-F3
CB
-2A
BEB
C68
7630
}]
@
="b
tsn
zejjt
skjn
thj"
[s
oft
war
e\C
lass
es\C
LSID
\{7
969
77ED
-D43
1-7
FF4-
F3C
B-2
AB
EBC
6876
30}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\sh
bq
jhcl
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{7
991
0627
-6A
00
-CD
CE-
579
B-2
C3D
5BA
84B
34}
]
@=
"lw
kqh
sntb
jljvv
jj"
[so
ftw
are
\Cla
sses
\CLS
ID\{
799
106
27-6
A0
0-C
DC
E-5
79B
-2C
3D5B
A84
B3
4}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te A
ssis
tan
ce\C
om
mo
n\s
esh
htt
h.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
7A35
3246
-74D
A-B
2BB
-F2F
B-0
6498
428
684C
}]
@
="n
zcez
tecq
snje
tqx"
[s
oft
war
e\C
lass
es\C
LSID
\{7A
3532
46-7
4DA
-B2B
B-F
2FB
-064
9842
868
4C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\v
rrkk
hb
n.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
7D2F
AF5
3-4
AD
D-C
43A
-4E6
1-1
B61
075F
C9
24}
]
@=
"brb
bw
lwq
rbks
qw
lt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
7D2F
AF5
3-4
AD
D-C
43A
-4E6
1-1
B61
075F
C9
24}
\Lo
calS
erve
r32]
An
exo
s
96
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\v
kch
bb
xh.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
7D4B
8C8E
-CD
51-F
9C0
-4E7
6-6
9F5F
A0
CE5
99}
]
@=
"qxc
xljt
qsr
nb
hb
hl"
[s
oft
war
e\C
lass
es\C
LSID
\{7D
4B8C
8E-C
D51
-F9C
0-4
E76
-69F
5FA
0C
E59
9}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te A
ssis
tan
ce\r
qxj
hb
sl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
7D70
8FB
B-F
DA
D-D
4ED
-7B
5A-F
E8D
0FFA
749
3}]
@
="r
hvs
bjz
hh
scn
vkkn
" [s
oft
war
e\C
lass
es\C
LSID
\{7D
708F
BB
-FD
AD
-D4E
D-7
B5A
-FE8
D0F
FA7
493}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\k
nkh
rczb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
031
4AC
A-0
4E4
-B2F
8-6B
B3-
7D4A
764
F3C
5F}]
@=
"csb
hsk
jhh
xcn
ervk
" [s
oft
war
e\C
lass
es\C
LSID
\{8
031
4AC
A-0
4E4
-B2F
8-6B
B3-
7D4A
764
F3C
5F}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\b
tesn
nel
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
2FC
74D
E-C
CA
4-17
F1-F
A1E
-76
0DC
404
A31
7}]
@
="l
rww
xklv
req
nxs
jk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
82F
C7
4DE-
CC
A4-
17F1
-FA
1E-7
60D
C4
04A
317}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\e
rro
r\xe
njn
bq
e.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
83E
685
55-B
BFE
-A21
5-01
74
-977
FF8F
D73
2A}]
@=
"cljj
zwvn
ejb
jnq
en
" [s
oft
war
e\C
lass
es\C
LSID
\{8
3E68
555
-BB
FE-A
215-
017
4-9
77FF
8FD
732A
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Co
mm
on
\sh
nkj
jbh
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
3EA
0F2
6-E
3A8
-F64
4-2
E66
-1B
EC81
8FD
94B
}]
@
="x
hek
jnkz
jxve
jhzn
" [s
oft
war
e\C
lass
es\C
LSID
\{8
3EA
0F2
6-E
3A8
-F64
4-2
E66
-1B
EC81
8FD
94B
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\n
twb
jnxv
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
3F0
33B
6-3
E4F-
B85
8-06
9E-1
DEA
757A
732
D}]
@=
"zw
eb
xjh
czlt
nq
bq
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
83F
033
B6
-3E4
F-B
858-
069E
-1D
EA75
7A7
32D
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\z
ebls
xxw
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
448
5E16
-B0
EE-B
618-
6D5
6-1
57A
7AFC
754
C}]
@=
"hn
qb
rxh
nrw
sle
klt"
[s
oft
war
e\C
lass
es\C
LSID
\{8
448
5E16
-B0
EE-B
618-
6D5
6-1
57A
7AFC
754
C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\wte
nsl
nj.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
847
2F7A
B-E
15F-
6E7A
-D99
B-1
1C50
742
533C
}]
@
="v
srh
xtrw
kvzn
cjlx
" [s
oft
war
e\C
lass
es\C
LSID
\{8
472F
7AB
-E15
F-6E
7A-D
99B
-11C
5074
253
3C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
rbn
esq
vr.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
86E
8AB
09
-0C
84-E
4C6-
F1D
E-EA
22E
E4A
39
34}]
@=
"css
jsrn
lsh
kxvj
zn"
[so
ftw
are
\Cla
sses
\CLS
ID\{
86E
8AB
09
-0C
84-E
4C6-
F1D
E-EA
22E
E4A
39
34}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\zh
qvn
thb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8
827
62E8
-7B
C2
-49
99-5
905
-79
73D
F8F5
974}
]
@=
"zer
lbrw
vlre
chls
q"
[so
ftw
are
\Cla
sses
\CLS
ID\{
882
762
E8-7
BC
2-4
999
-59
05-7
97
3DF8
F597
4}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
lien
t\jje
nn
etl.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8A96
C13
8-F
A3
3-D
993
-868
8-9
7EC
8A6
0755
7}]
@
="x
bb
bh
ejjk
eke
wlq
r"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8A96
C13
8-F
A3
3-D
993
-868
8-9
7EC
8A6
0755
7}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\C
om
pat
Ctr
\zlh
qrl
bx.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{8B
661C
54
-18
76-6
47A
-AFA
9-23
2DA
309
CC
C1}
]
@=
"cch
rhlr
srq
xhre
jb"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8B66
1C5
4-1
876
-64
7A-A
FA9-
232D
A3
09C
CC
1}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\V
end
ors
\CN
=Mic
roso
ft
Co
rpo
rati
on
,L=R
ed
mo
nd
,S=W
ash
ingt
on
,C=
US\
vsek
keh
e.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8B6B
6AF7
-46
7C-3
2F0-
1C1F
-CF0
AB
649D
65E
}]
@
="h
sjrb
rnex
jntz
bsr
" [s
oft
war
e\C
lass
es\C
LSID
\{8B
6B6A
F7-4
67C
-32F
0-1C
1F-C
F0A
B64
9D6
5E}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\rre
snsc
t.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8BF6
F24D
-2C
3C-D
83A
-E9A
E-EC
1C4F
01D
AEE
}]
@
="z
ne
rre
hzc
serq
ktr"
[s
oft
war
e\C
lass
es\C
LSID
\{8B
F6F2
4D-2
C3C
-D83
A-E
9AE-
EC1C
4F0
1DA
EE}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\jb
nsh
hq
j.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{8C
E16
525
-B64
6-E
EE9-
96
81-3
9D46
032B
080
}]
@
="z
sttb
clch
knq
zskv
" [s
oft
war
e\C
lass
es\C
LSID
\{8C
E16
525
-B64
6-E
EE9-
96
81-3
9D46
032B
080
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\blv
ccb
sx.e
xe"
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
97
[so
ftw
are
\Cla
sses
\CLS
ID\{
8D58
E095
-95F
5-75
C9-
1EC
D-A
1B1
0581
233
2}]
@
="c
jeljx
sejt
bn
xjtb
" [s
oft
war
e\C
lass
es\C
LSID
\{8D
58E0
95-9
5F5-
75C
9-1
ECD
-A1B
105
812
332}
\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\n
tww
cbn
q.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
8FB
E68
33
-4B
81
-D3D
0-B
D9
8-7
B1
92C
046
CC
5}]
@
="t
rqts
lxe
hh
kkn
leb
" [s
oft
war
e\C
lass
es\C
LSID
\{8F
BE6
83
3-4
B8
1-D
3D0-
BD
98
-7B
192
C0
46C
C5}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
spe
rro
r\jjt
rkb
nj.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
917
C9D
B7
-A2
8B-C
B00
-AD
AF-
690
8C65
B70
AD
}]
@
="t
xkek
nh
nlc
btv
rnv"
[s
oft
war
e\C
lass
es\C
LSID
\{9
17C
9DB
7-A
28B
-CB
00-A
DA
F-69
08C
65B
70A
D}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\tth
zxn
tk.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
91F
B4
23F-
509
9-7
870
-A1
7C-A
310
06B
708
63}]
@=
"ssv
xbkk
xrn
jltw
qj"
[s
oft
war
e\C
lass
es\C
LSID
\{9
1FB
423
F-5
099
-78
70-A
17C
-A3
100
6B70
863
}\Lo
calS
erve
r32
]
@="
C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\n
khlv
lzt.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{9
20D
60B
8-B
B03
-71F
7-3E
DF-
E341
0301
F4E0
}]
@
="e
lkrw
tcse
htk
zekh
" [s
oft
war
e\C
lass
es\C
LSID
\{9
20D
60B
8-B
B03
-71F
7-3E
DF-
E341
0301
F4E0
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\w
lkb
bn
rq.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
923
8D6
0C-A
78B
-06
39-7
E0D
-921
AA
510
009
0}]
@
="b
jrtt
eels
wh
ere
bq
" [s
oft
war
e\C
lass
es\C
LSID
\{9
238D
60C
-A7
8B-0
639
-7E0
D-9
21A
A5
100
090}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\k
rcxz
ncj
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
24E3
D0D
-267
9-E
F9B
-71B
4-1
13A
38F4
B7
86}]
@=
"lrs
xtvh
rsjb
sksz
b"
[so
ftw
are
\Cla
sses
\CLS
ID\{
924
E3D
0D-2
679
-EF9
B-7
1B4
-113
A38
F4B
786
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\lrl
zztl
l.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
2C75
6DF-
E46F
-0C
E9-9
FC2-
B05
BC
AC
48D
54}]
@=
"nlq
ktvx
llhrv
ezw
t"
[so
ftw
are
\Cla
sses
\CLS
ID\{
92C
756D
F-E4
6F-0
CE9
-9FC
2-B
05B
CA
C48
D54
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\brv
ecw
cs.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
961
5EF7
1-0
14F
-89
73-B
23
5-6
BB
870
093E
0E}]
@=
"xxj
bsr
hek
qrt
nzb
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
961
5EF7
1-0
14F
-89
73-B
23
5-6
BB
870
093E
0E}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\is
pty
pe
\ln
vln
zbq
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
618
6C8
5-0
E8A
-D7D
6-B
8CE-
589
25A
368A
34}
]
@=
"qkr
nxh
klkt
eexn
rt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
961
86C
85
-0E8
A-D
7D6-
B8C
E-5
8925
A36
8A3
4}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\m
ou
se\l
bzc
xver
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
639A
854
-6A
08
-A92
9-EA
74
-665
855
9553
E1}]
@=
"lkw
qe
bn
rkb
ern
kbt"
[s
oft
war
e\C
lass
es\C
LSID
\{9
639A
854
-6A
08-
A92
9-EA
74
-665
855
9553
E1}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\m
ou
se\q
etv
qln
w.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
96B
5C05
D-0
A6
4-9
2D1-
38D
C-4
6A95
C6A
77B
6}]
@=
"brk
hh
wtk
bzl
wq
bn
j"
[so
ftw
are
\Cla
sses
\CLS
ID\{
96B
5C05
D-0
A6
4-9
2D1-
38D
C-4
6A95
C6A
77B
6}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\nst
nn
nkk
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
9E96
E31
-81
3C-4
16A
-B50
1-3
7DC
D1
4C1
253
}]
@
="q
tnh
tkrh
lhb
nh
lxh
" [s
oft
war
e\C
lass
es\C
LSID
\{9
9E96
E31
-81
3C-4
16A
-B50
1-3
7DC
D1
4C1
253
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\cjx
sjlb
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9A3A
E45
2-1
0C1
-86
E3-E
D6
0-2
306F
C7C
0BA
D}]
@=
"hjs
nec
jntb
jkss
ev"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9A3A
E45
2-1
0C1
-86
E3-E
D6
0-2
306F
C7C
0BA
D}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te A
ssis
tan
ce\r
zqst
bq
q.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9C8C
2A5
8-0
FAD
-AF7
C-C
DB
7-4
CD
C5
9E8
E5A
3}]
@=
"ljn
sjjr
wsh
tslz
eb"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9C8C
2A5
8-0
FAD
-AF7
C-C
DB
7-4
CD
C5
9E8
E5A
3}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\tsb
jbtv
n.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9D1D
618
E-EF
C0-
EC7
3-4
721
-1F0
A6B
CD
4F10
}]
@
="l
tczk
llstb
thw
ljl"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9D1D
618
E-EF
C0-
EC7
3-4
721
-1F0
A6B
CD
4F10
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
Ass
ista
nce
\Co
mm
on
\rw
cjrq
hw
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{9
E929
E0C
-FD
56-3
22E
-BE5
E-49
024F
C9
54A
7}]
@
="vh
hb
she
ntr
jkks
ec"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9E9
29E0
C-F
D56
-32
2E-B
E5E-
4902
4FC
95
4A7}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
He
lp\b
zeh
xvn
z.e
xe"
An
exo
s
98
[so
ftw
are
\Cla
sses
\CLS
ID\{
9EE
BB
EDB
-D9B
2-5
CEA
-1B
37-C
835E
E0C
A7F
2}]
@
="k
kzh
qtq
kwkh
cjh
xk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
9EE
BB
EDB
-D9B
2-5
CEA
-1B
37-C
835E
E0C
A7F
2}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\bvq
ncl
er.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{A
1C15
5BC
-81B
7-7
E44-
B5
17-2
35D
34B
D1
1E6}
]
@=
"skh
hth
qjlt
jhtb
kt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A1C
155B
C-8
1B7
-7E4
4-B
517
-23
5D34
BD
11E
6}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\r
rth
sntk
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
1EB
21B
0-9
3CB
-6A
56-C
7F3-
D8B
AC
1C6D
9E4}
]
@=
"nsr
ljqw
kbllk
nkx
n"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A1
EB21
B0
-93C
B-6
A56
-C7F
3-D
8BA
C1C
6D9E
4}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\vkc
kxh
bn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
290
0343
-2D
AD
-D1A
A-7
0C2-
563
448A
32C
69}
]
@=
"bh
jhjll
nkr
jnh
hje
" [s
oft
war
e\C
lass
es\C
LSID
\{A
290
0343
-2D
AD
-D1A
A-7
0C2-
563
448A
32C
69}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Clie
nt\
knen
vxlj.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
2F6
940
D-2
E6A
-C73
B-0
77D
-01A
6FD
D1A
521
}]
@
="j
cllt
bls
btv
snb
rl"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A2F
69
40D
-2E6
A-C
73B
-07
7D-0
1A6F
DD
1A5
21}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\err
or\
ssw
zltt
c.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A4
44D
A5
E-8
020
-74A
6-F8
3A-E
1D4
431
F9C
12}
]
@=
"een
qh
lwkn
bxw
blw
j"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A4
44D
A5
E-8
020
-74A
6-F8
3A-E
1D4
431
F9C
12}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\nzz
wh
eb
n.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A5
6129
F2-2
2A9
-26D
E-9D
0F-9
FFE9
585F
22B
}]
@
="j
shq
ctb
nlq
zsrk
vl"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A5
6129
F2-2
2A9
-26D
E-9D
0F-9
FFE9
585F
22B
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\b
knkj
he
h.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A6
1DB
195
-195
8-C
95E-
495
E-D
B6B
6F03
37A
C}]
@=
"wzl
xhw
sje
lkzr
qvl
" [s
oft
war
e\C
lass
es\C
LSID
\{A
61D
B19
5-1
958
-C95
E-4
95E-
DB
6B6F
0337
AC
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\n
sekr
lvz.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{A
783
A3
3D-3
0B6
-C96
D-1
15C
-30B
FA0B
79C
BC
}]
@
="s
enes
thkk
hb
nzk
rw"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A7
83A
33D
-30B
6-C
96D
-11
5C-3
0BFA
0B79
CB
C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\tq
kbrh
nx.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{A
84B
4FB
5-E
327
-04
3D-C
252
-04
084
4411
FAB
}]
@
="j
bn
elcl
lhn
njk
brs
" [s
oft
war
e\C
lass
es\C
LSID
\{A
84B
4FB
5-E
327
-04
3D-C
252
-04
084
4411
FAB
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Ven
do
rs\C
N=M
icro
soft
C
orp
ora
tio
n,L
=Re
dm
on
d,S
=Was
hin
gto
n,C
=U
S\er
wsk
eq
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A9
31E2
74-C
4C7-
A4A
A-5
AF9
-30
71C
AD
A27
75}]
@=
"svw
tbtb
wvj
vwxr
rs"
[so
ftw
are
\Cla
sses
\CLS
ID\{
A9
31E2
74-C
4C7-
A4A
A-5
AF9
-30
71C
AD
A27
75}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\N
etD
iag\
hsj
qsc
hn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
C7
53B
34-2
C8
8-B
44A
-21A
8-E
D22
C9A
D0
9AC
}]
@
="e
jeb
nrn
tkh
jbn
rsn
" [s
oft
war
e\C
lass
es\C
LSID
\{A
C7
53B
34-2
C8
8-B
44A
-21A
8-E
D22
C9A
D0
9AC
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\sys
info
\rer
crn
hh
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
DD
F57D
7-6
C02
-B77
D-9
604
-A8
5000
6B4
601}
]
@=
"hh
bel
btt
hw
cbvt
ck"
[so
ftw
are
\Cla
sses
\CLS
ID\{
AD
DF5
7D7-
6C02
-B77
D-9
604
-A8
5000
6B4
601}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\s
ejkh
evn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
EBD
7F25
-63
06-F
72A
-2D
9A-E
5B8A
D43
99F1
}]
@
="s
rltr
stw
nzq
bvs
ck"
[so
ftw
are
\Cla
sses
\CLS
ID\{
AEB
D7F
25-6
306
-F72
A-2
D9A
-E5B
8AD
4399
F1}\
Loca
lSe
rver
32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Up
dat
eCtr
\qxs
hkk
qn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{A
F01
81C
B-B
933
-41B
7-A
229
-96A
CFD
F80B
12}]
@=
"zq
jktl
vrh
tkrl
swn
" [s
oft
war
e\C
lass
es\C
LSID
\{A
F01
81C
B-B
933
-41B
7-A
229
-96A
CFD
F80B
12}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
lbe
xzkb
k.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
AFA
58B
0D-4
C3D
-E90
B-C
F64-
00C
E780
BA
5BA
}]
@
="s
nq
vkb
rrkt
klllh
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
AFA
58B
0D-4
C3D
-E90
B-C
F64-
00C
E780
BA
5BA
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\tch
ekr
qt.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{B
237
4239
-6B
E1-C
CC
A-7
76C
-E5B
C5C
03EA
2C}]
@=
"xez
hlv
rch
zrse
vbw
" [s
oft
war
e\C
lass
es\C
LSID
\{B
237
4239
-6B
E1-C
CC
A-7
76C
-E5B
C5C
03EA
2C}\
Loca
lSer
ver3
2]
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
99
@
="C
:\sa
nd
net
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{B
2C11
550
-35
2D-2
588
-2B
00
-55B
92A
5AE1
A2}
]
@=
"eh
rtlh
qh
cevl
ree
t"
[so
ftw
are
\Cla
sses
\CLS
ID\{
B2C
1155
0-3
52D
-25
88-2
B0
0-5
5B92
A5A
E1A
2}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\err
or\
lktk
ttrb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{B
467
C6C
B-1
F46
-99
88-C
CD
E-8
3FD
25D
E84
39}]
@=
"eks
xtte
knxv
sjzv
b"
[so
ftw
are
\Cla
sses
\CLS
ID\{
B4
67C
6CB
-1F4
6-9
988
-CC
DE-
83F
D2
5DE8
439
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
spe
rro
r\kn
kbrn
bn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{B
4E8
7BD
A-9
197
-7A
4A-3
DC
C-9
D8
20B
2648
B1}
]
@=
"ssh
she
klh
nlv
ne
th"
[so
ftw
are
\Cla
sses
\CLS
ID\{
B4E
87B
DA
-91
97-7
A4A
-3D
CC
-9D
820
B26
48B
1}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\r
nb
rkrl
v.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
B9
350F
7D-7
FC0-
A2A
B-9
AFE
-9A
61A
376
8F1F
}]
@
="e
ejjln
zjzj
vrq
qtt
" [s
oft
war
e\C
lass
es\C
LSID
\{B
935
0F7D
-7FC
0-A
2AB
-9A
FE-9
A6
1A37
68F
1F}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
clb
vvlr
s.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
BB
AE1
B4C
-96
50
-85
03-F
248
-B97
834
34FF
E9}]
@=
"ssk
nsx
krw
rrzl
klb
" [s
oft
war
e\C
lass
es\C
LSID
\{B
BA
E1B
4C-9
65
0-8
503
-F24
8-B
978
3434
FFE9
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Ser
ver\
ezsl
qrb
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C0
39A
8AE-
771A
-26
09-A
BE9
-6FF
57A
8E3
9B3}
]
@=
"ktr
sbxw
vnvt
txkj
z"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C0
39A
8AE-
771A
-26
09-A
BE9
-6FF
57A
8E3
9B3}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\bcc
xejn
c.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C1C
975
95-B
99
8-B
9A8
-EEB
A-A
15A
7B7
846
0F}]
@=
"eze
nrc
ehe
tbkk
ltw
" [s
oft
war
e\C
lass
es\C
LSID
\{C
1C9
7595
-B9
98
-B9A
8-E
EBA
-A1
5A7B
784
60F
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\i
spe
rro
r\zt
cesk
ls.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C4C
08C
4B-A
D9B
-37B
1-8F
3F-A
D3
8323
512C
3}]
@
="t
eb
lqln
rleh
qze
tr"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C4C
08C
4B-A
D9B
-37B
1-8F
3F-A
D3
8323
512C
3}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\err
or\
ere
ttxj
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C5
7C74
A9
-AB
B0-
E9F3
-8C
85-D
DD
33C
AD
0CC
8}]
@
="n
cvlt
xnh
rkb
hrb
rt"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C5
7C74
A9
-AB
B0-
E9F3
-8C
85-D
DD
33C
AD
0CC
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\m
ou
se\k
hkv
hh
sb.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C7
E60
805
-E53
9-0
9E9
-CB
93
-CD
66
115C
A6
97}]
@=
"cks
hb
tbjs
qn
sbn
jj"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C7
E60
805
-E53
9-0
9E9
-CB
93
-CD
66
115C
A6
97}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
lien
t\e
kjvh
bcn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{C
94D
73
79-F
270
-70B
2-16
35
-CEF
70
473F
7AC
}]
@
="h
qjt
ckn
hh
ble
jwn
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C9
4D7
379
-F2
70-7
0B2-
163
5-C
EF7
047
3F7A
C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
lien
t\zq
wkj
bb
t.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
C9
51E
857
-742
D-B
CE1
-675
8-8
E4B
765
63B
B9}
]
@=
"bb
zheh
tnb
eb
bb
nee
" [s
oft
war
e\C
lass
es\C
LSID
\{C
95
1E85
7-7
42D
-BC
E1-6
758
-8E4
B76
563
BB
9}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te A
ssis
tan
ce\C
om
mo
n\h
xrsh
qsj
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{C
A7
7631
7-1
7BB
-78
77-0
1FA
-D1
5CFE
E0C
200}
]
@=
"bke
vtn
bkb
ecq
cecr
" [s
oft
war
e\C
lass
es\C
LSID
\{C
A7
7631
7-1
7BB
-78
77-0
1FA
-D1
5CFE
E0C
200}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\r
serk
ten
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{C
C6
4B4
5D-D
6FC
-76B
2-D
06F-
CEF
1AD
314
B4D
}]
@
="b
scn
kbrc
bq
ezsv
bb
" [s
oft
war
e\C
lass
es\C
LSID
\{C
C6
4B4
5D-D
6FC
-76B
2-D
06F-
CEF
1AD
314
B4D
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\bzr
bb
srn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{C
D2
018
55-6
C5
4-FC
C8
-84E
8-F
1B6
57D
49D
38}]
@=
"kkr
vse
wtk
njlh
xqn
" [s
oft
war
e\C
lass
es\C
LSID
\{C
D2
018
55-6
C5
4-FC
C8
-84E
8-F
1B6
57D
49D
38}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\To
urs
\htm
lTo
ur\
kzer
bzk
s.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
CE0
EF9D
B-3
F2A
-68
1E-D
781
-EB
9E9
24C
D2C
A}]
@=
"qe
nh
jjncr
ew
rwxs
r"
[so
ftw
are
\Cla
sses
\CLS
ID\{
CE0
EF9D
B-3
F2A
-68
1E-D
781
-EB
9E9
24C
D2C
A}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
Arc
hiv
os
com
un
es\M
icro
soft
Sh
are
d\S
tati
on
ery\
sttt
klte
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{D
0EC
C3
40
-FF6
3-8E
A0-
929
8-C
BB
529B
6A2
95}]
An
exo
s
100
@=
"lvv
cjzs
rhh
ntk
bkq
" [s
oft
war
e\C
lass
es\C
LSID
\{D
0EC
C3
40
-FF6
3-8E
A0-
929
8-C
BB
529B
6A2
95}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\jll
slb
nb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{D
618
989
6-A
D1C
-E3B
2-A
FE6
-4B
69
2E91
B2
0F}]
@=
"tw
eh
enjt
etvw
bjs
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
D6
1898
96
-AD
1C-E
3B2-
AFE
6-4
B6
92E
91B
20F
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\z
hh
rrlt
b.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
D6
6AA
CB
8-8
641
-54
07-E
008
-85
900D
01C
ED3}
]
@=
"xjs
vwrs
sbsw
chzl
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
D6
6AA
CB
8-8
641
-54
07-E
008
-85
900D
01C
ED3}
\Lo
calS
erve
r32]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\ej
thw
sbr.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{D
723
66D
6-C
A6
9-6
1DD
-540
C-A
CA
7B20
FA0
9A}]
@=
"bb
nle
revt
jbq
thlz
" [s
oft
war
e\C
lass
es\C
LSID
\{D
723
66D
6-C
A6
9-6
1DD
-540
C-A
CA
7B20
FA0
9A}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\reg
err
or\
xcjn
kske
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{D
858
345
7-F
929
-F1B
1-F4
66
-B0
4B4D
E7B
055
}]
@
="s
tln
rnb
szke
jrjn
w"
[so
ftw
are
\Cla
sses
\CLS
ID\{
D8
5834
57
-F92
9-F
1B1-
F46
6-B
04B
4DE7
B0
55
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\et
nw
xxn
v.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DD
6D70
9D-2
0CF-
A59
8-26
9A-4
0458
7CC
94A
9}]
@
="c
leb
chkl
slkv
jeb
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DD
6D70
9D-2
0CF-
A59
8-26
9A-4
0458
7CC
94A
9}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\U
pd
ateC
tr\s
nq
esjr
k.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DED
A8
4E9
-967
E-0E
2E-A
DE2
-FD
BFB
D31
4AA
B}]
@=
"jvt
vsn
kbn
rrb
lsrt
" [s
oft
war
e\C
lass
es\C
LSID
\{D
EDA
84E
9-9
67E-
0E2E
-AD
E2-F
DB
FBD
314A
AB
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\h
tml\
mo
use
\hcv
xrtw
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DF0
3105
A-3
0A9
-31
97-3
6B8-
BD
0941
DFE
414
}]
@
="b
kwsx
qh
jjjq
sklq
n"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DF0
3105
A-3
0A9
-31
97-3
6B8-
BD
0941
DFE
414
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\pan
els
\sn
cncw
eb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{D
FE5
78B
A-0
D6B
-E1F
5-C
FAA
-CB
AE2
CEE
FA6
2}]
@
="j
rkw
cve
bn
ltzr
rlb
"
[so
ftw
are
\Cla
sses
\CLS
ID\{
DFE
57
8BA
-0D
6B-E
1F5-
CFA
A-C
BA
E2C
EEFA
62}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Ser
ver\
neq
vzke
h.e
xe"
[so
ftw
are\
Cla
sses
\CLS
ID\{
E07D
D40
3-A
919
-FB
D0-
EF84
-73
4B2
5740
7BB
}]
@
="l
zqkn
jhkk
rxje
vlh
" [s
oft
war
e\C
lass
es\C
LSID
\{E0
7DD
403
-A9
19-F
BD
0-EF
84-7
34B
257
407B
B}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\D
VD
Up
grd
\sh
rrtj
et.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E3F9
0F3D
-DE2
6-1
94B
-80
C0
-21
6D5D
35B
84
8}]
@
="h
rvlb
kslt
klst
rrj"
[s
oft
war
e\C
lass
es\C
LSID
\{E3
F90F
3D-D
E26
-19
4B-8
0C
0-2
16D
5D35
B8
48}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\err
ors
\jcj
jlqn
q.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E3FB
3D9B
-A9
58-3
3C1-
23B
9-C
8414
EC3D
98D
}]
@
="h
wst
njb
vkzk
khvw
j"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E3FB
3D9B
-A9
58-3
3C1-
23B
9-C
8414
EC3D
98D
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\a
ctse
tup
\zvs
wn
lev.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{E5
2FA
19
5-5
A6F
-21
77-F
3BD
-B37
D3
644A
CC
2}]
@
="b
xhkn
cjss
htl
nxe
l"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E52F
A1
95
-5A
6F-2
177
-F3B
D-B
37D
364
4AC
C2}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
He
lp\T
ou
rs\h
tmlT
ou
r\rq
kjq
jqb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{E6
C4D
142
-AD
FB-1
690
-E3B
7-1
799
9EB
DA
1FA
}]
@
="s
tqet
lvn
nzt
nw
jst"
[s
oft
war
e\C
lass
es\C
LSID
\{E6
C4D
142
-AD
FB-1
690
-E3B
7-1
799
9EB
DA
1FA
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
He
lp\T
ou
rs\h
tmlT
ou
r\kl
bve
jnk.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{E6
DFE
252
-C7
9A-1
A39
-A41
E-5
6906
D3E
84A
A}]
@=
"ljq
nq
xnw
lhb
czq
rk"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E6D
FE25
2-C
79A
-1A
39-A
41E-
569
06D
3E84
AA
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Net
Dia
g\xr
vxsz
vs.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
E81
E33
09-B
DD
5-B
C2F
-85
2A-7
15D
B4
279
7F9}
]
@=
"qxe
ctn
wxn
txxe
jkq
" [s
oft
war
e\C
lass
es\C
LSID
\{E8
1E3
309
-BD
D5
-BC
2F-8
52A
-715
DB
427
97F
9}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\m
ou
se\j
jlhkn
hh
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{E9
95A
142
-79
14-3
FE8-
D60
B-A
D0
5B1E
E5EF
C}]
@=
"hee
shh
skvk
ssn
reb
" [s
oft
war
e\C
lass
es\C
LSID
\{E9
95A
142
-79
14-3
FE8-
D60
B-A
D0
5B1E
E5EF
C}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\H
elp
\hw
exrt
ne.
exe"
D
esar
rollo
de
un
lab
ora
tori
o p
ara
el a
nál
isis
au
tom
atiz
ado
de
cód
igo
s m
alic
ioso
s
101
[s
oft
war
e\C
lass
es\C
LSID
\{EA
8718
65-0
8D6-
D09
D-4
6FD
-1F3
53E
B4
79FC
}]
@
="x
bsn
hb
nre
wrl
ksjn
" [s
oft
war
e\C
lass
es\C
LSID
\{EA
8718
65-0
8D6-
D09
D-4
6FD
-1F3
53E
B4
79FC
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\r
ege
rro
r\kj
tzrl
bb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{EB
14F
04F
-488
B-8
1F4-
920
3-A
1A7C
1EA
E661
}]
@
="s
vkts
rlzr
xxn
cbn
s"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EB1
4F0
4F-4
88B
-81F
4-9
203
-A1A
7C1E
AE6
61}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\isp
err
or\
skq
bvx
sq.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EB7
935
A8
-CB
BC
-2C
C9
-1FF
E-7
165
3469
363
7}]
@
="z
jjwtq
hlh
vvev
bvb
" [s
oft
war
e\C
lass
es\C
LSID
\{EB
79
35A
8-C
BB
C-2
CC
9-1
FFE-
716
534
6936
37}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Ser
ver\
ctjx
ljxh
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{EC
40C
1E2
-EE9
2-6F
30
-D05
F-D
15B
16D
BC
97D
}]
@
="t
zrjc
ecvx
ewn
xve
k"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EC40
C1
E2-E
E92-
6F3
0-D
05F-
D15
B1
6DB
C9
7D}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\jn
kwrx
nr.
exe
" [s
oft
war
e\C
lass
es\C
LSID
\{EC
7E59
12
-D5
64-0
AA
C-2
1C5-
A1
2A9C
B2
88C
8}]
@
="k
tjez
ksh
wjb
kjen
x"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EC7E
591
2-D
564
-0A
AC
-21C
5-A
12A
9CB
288
C8}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\rc\
qb
rblt
hb
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{EE
289
F35-
7DEB
-B0A
F-20
F2-6
902
32F4
46
15}]
@=
"lrt
bsl
ntv
eeq
brt
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EE2
89F3
5-7
DEB
-B0A
F-20
F2-6
902
32F4
46
15}\
Loca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\R
emo
te
Ass
ista
nce
\In
tera
ctio
n\C
om
mo
n\b
bsb
rlee
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{EF
92C
14A
-BD
41
-69
2A-E
27C
-36
7A8F
DC
52A
5}]
@=
"rjq
thh
jzvs
he
rvh
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
EF92
C14
A-B
D4
1-6
92A
-E2
7C-3
67A
8FD
C5
2A5
}\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\c
thsn
blj.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{EF
FB8
4CB
-281
8-0
0BA
-CEF
5-91
484
8B9
20A
E}]
@
="r
bes
nw
hkk
cheh
ejl"
[s
oft
war
e\C
lass
es\C
LSID
\{EF
FB8
4CB
-281
8-0
0BA
-CEF
5-91
484
8B9
20A
E}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\crj
rhlt
v.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F059
511F
-ED
8F-4
E6D
-1C
A0-
71D
619A
FB17
4}]
@
="h
hlt
tzh
len
qvq
tec"
[s
oft
war
e\C
lass
es\C
LSID
\{F0
5951
1F-E
D8F
-4E6
D-1
CA
0-71
D61
9AFB
174}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\e
rro
r\n
eeh
nzx
l.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{F0
6E22
2D-8
26A
-DEB
B-D
B42
-EA
FB09
082
34E}
]
@=
"wjb
hb
hq
ltkt
ltn
we"
[s
oft
war
e\C
lass
es\C
LSID
\{F0
6E22
2D-8
26A
-DEB
B-D
B42
-EA
FB09
082
34E}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Co
mm
on
\kb
zzlw
lr.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F148
A71
7-4
004
-F18
A-3
9BF-
3242
36EA
456
6}]
@
="l
bjs
krsx
kjh
sxsx
h"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F148
A71
7-4
004
-F18
A-3
9BF-
3242
36EA
456
6}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\act
setu
p\r
kje
nss
c.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F33C
733
4-A
AD
E-9E
F5-6
DA
C-7
026E
F6C
CC
05}
]
@=
"wvn
jqjjn
en
rjtq
kw"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F33C
733
4-A
AD
E-9E
F5-6
DA
C-7
026E
F6C
CC
05}
\Lo
calS
erve
r32
]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Ser
ver\
shrn
xsh
q.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F47C
F54F
-84
5E-
6CA
5-3
C6B
-EE1
0C1
7D4A
D5}
]
@=
"xek
ctn
jtve
hjjs
ek"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F47C
F54F
-84
5E-
6CA
5-3
C6B
-EE1
0C1
7D4A
D5}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\e
rro
r\jk
he
hn
jn.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F59B
900
1-7
B6
2-F
C18
-C39
A-9
599
85D
05ED
7}]
@
="l
nh
kwq
ksle
qlk
bn
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F59B
900
1-7
B6
2-F
C18
-C39
A-9
599
85D
05ED
7}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\kjq
kxtn
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F699
592F
-1B
83
-75D
A-A
FEF-
3F2
E360
FBE2
8}]
@
="j
xslk
chw
evkw
ltq
q"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F699
592F
-1B
83
-75D
A-A
FEF-
3F2
E360
FBE2
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\se
tup
\esk
cxkh
r.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F6B
FA9D
F-2
8C3
-08
87-B
82C
-D2
7B0
183A
FF1}
]
@=
"tzc
rtje
khh
lnth
ve"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F6B
FA9D
F-2
8C3
-08
87-B
82C
-D2
7B0
183A
FF1}
\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\V
Mw
are
\VM
war
e To
ols
\Gu
est
SDK
\vm
Gu
estL
ibJa
va\d
oc\
ezn
nth
wj.e
xe"
An
exo
s
102
[s
oft
war
e\C
lass
es\C
LSID
\{F6
E2C
BA
6-B
EB3-
0707
-40
82-D
BD
CD
6B25
DC
E}]
@
="e
vssq
cbb
strb
tnjt
" [s
oft
war
e\C
lass
es\C
LSID
\{F6
E2C
BA
6-B
EB3-
0707
-40
82-D
BD
CD
6B25
DC
E}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\p
chea
lth
\hel
pct
r\Sy
ste
m\s
ysin
fo\j
brh
bzt
z.ex
e"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F6FB
7DD
A-6
804
-18
EB-F
F7D
-98A
6670
DE1
3C}]
@=
"eh
brh
qvt
rrjb
rhck
" [s
oft
war
e\C
lass
es\C
LSID
\{F6
FB7D
DA
-680
4-1
8EB
-FF7
D-9
8A66
70D
E13C
}\Lo
calS
erve
r32
]
@=
"C:\
Arc
hiv
os
de
pro
gram
a\A
rch
ivo
s co
mu
nes
\Mic
roso
ft S
har
ed
\Sta
tio
ner
y\cl
xlcz
xq.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F78F
D0B
0-9
278
-DA
C5
-18A
8-A
BC
D9B
80B
615}
]
@=
"jb
nb
tskk
kkrs
vxb
q"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F78F
D0B
0-9
278
-DA
C5
-18A
8-A
BC
D9B
80B
615}
\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\h
xxtt
skn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{F8
3557
ED-5
FD1-
739A
-99
EC-1
1BA
129
BF0
CE}
]
@=
"krk
rhvn
ctw
ezrb
lx"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F835
57ED
-5FD
1-73
9A-9
9EC
-11B
A1
29B
F0C
E}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\sc
on
nec
t\vz
nn
eb
et.e
xe"
[so
ftw
are
\Cla
sses
\CLS
ID\{
F9C
5784
C-C
3B6-
DD
55-1
C3F
-F4A
E48
481
FE8}
]
@=
"htr
tbq
hq
ktn
nn
sss"
[s
oft
war
e\C
lass
es\C
LSID
\{F9
C57
84C
-C3B
6-D
D55
-1C
3F-F
4AE4
84
81FE
8}\L
oca
lSer
ver3
2]
@
="C
:\W
IND
OW
S\sy
ste
m32
\oo
be
\htm
l\ic
on
nec
t\sh
rtrs
bs.
exe"
[s
oft
war
e\C
lass
es\C
LSID
\{FA
0A6
9DC
-4FD
1-4
9D3-
0E3
3-6
4A2A
116
FC63
}]
@
="q
zrsh
klzj
sezn
bjr
" [s
oft
war
e\C
lass
es\C
LSID
\{FA
0A6
9DC
-4FD
1-4
9D3-
0E3
3-6
4A2A
116
FC63
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
syst
em
32\o
ob
e\s
etu
p\e
lrb
jlrn
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{FB
1C0
137
-43
E6-D
54E-
816
F-E7
A4
16D
FAC
DB
}]
@
="l
tetb
lsjs
vkvb
qlt
" [s
oft
war
e\C
lass
es\C
LSID
\{FB
1C0
137
-43
E6-D
54E-
816
F-E7
A4
16D
FAC
DB
}\Lo
calS
erve
r32]
@=
"C:\
WIN
DO
WS\
pch
ealt
h\h
elp
ctr\
Syst
em
\Rem
ote
A
ssis
tan
ce\I
nte
ract
ion
\Co
mm
on
\rb
ntk
evt
.exe
" [s
oft
war
e\C
lass
es\C
LSID
\{FE
CE8
1BA
-36
16-7
952
-F36
C-1
B8A
9FA
ED60
C}]
@=
"wzv
vqb
esh
stle
tsh
" [s
oft
war
e\C
lass
es\C
LSID
\{FE
CE8
1BA
-36
16-7
952
-F36
C-1
B8A
9FA
ED60
C}\
Loca
lSer
ver3
2]
@
="C
:\A
rch
ivo
s d
e p
rogr
ama\
VM
war
e\V
Mw
are
Too
ls\G
ues
t SD
K\v
mG
ues
tLib
Java
\do
c\kr
hw
tjeh
.exe
"
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
- In
form
e d
e R
egis
tro
s e
n \
HK
EY_
LOC
AL_
MA
CH
INE\
SYST
EM :
N
o s
e d
ete
ctar
on
dif
ere
nci
as
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
--
An
alis
is d
e tr
afic
o
El a
nal
isis
de
traf
ico
no
arr
ojo
res
ult
ado
s