Las técnicas de análisis dinámico y de coincidencia de patrones son ampliamente utilizadas en la industria y proporcionan un método directo para la identificación de muestras de malware. Yara es una técnica de coincidencia de patrones que puede utilizar volcados de memoria de sandbox para la identificación de familias de malware. Sin embargo, las técnicas de coincidencia de patrones fallan silenciosamente debido a variaciones de código menores, lo que lleva a muestras de malware no identificadas. Este documento presenta un proceso de Identificación de Variantes de Malware de dos capas utilizando el Clustering Incremental (MVIIC) y propone el agrupamiento de muestras de malware no identificadas para permitir la identificación de variantes de malware y nuevas familias de malware. El novedoso algoritmo de clustering incremental se utiliza en la identificación de nuevas variantes de malware a partir de las muestras de malware no identificadas. Esta investigación muestra que el clustering puede proporcionar un nivel de rendimiento más alto que las reglas de Yara y que el clustering es resistente a los pequeños cambios introducidos por las variantes de malware. Este documento propone un enfoque híbrido, utilizando el escaneo de Yara para eliminar el malware conocido, seguido por el clustering, actuando en conjunto, para permitir la identificación de nuevas variantes de malware. Se utilizan las métricas de clustering de puntuación y V-Measure para evaluar nuestros resultados.