分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2019-01-21 22:34:59 2019-01-21 22:37:29 150 秒

魔盾分数

10.0

Hawkeye病毒

文件详细信息

文件名 g.exe
文件大小 1876480 字节
文件类型 PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
MD5 3885e775a0f3f5f1c6cd871680e22818
SHA1 baeaac1151445b6342609849e86b1d92c3fac7dc
SHA256 ad68b67c5020fecab60c077c5b5cf0dfce3d09312a34147c82c8f662703edab2
SHA512 040a1625acf09cd83088b39004d832d104d13ab3a318ccac9d084fe4072f53e3690422a11230427f1c0b8a7f4a00100374c4608dd59335a7aa3f41061934e764
CRC32 6644F3AD
Ssdeep 24576:NA38MYrp0llRNq/XPxBRrBHCHg6I0tLbxjR4GUMVl1cM+7UqjLIF710LhmxXKRyG:Vnak0qmNXgP
Yara 登录查看Yara规则
样本下载 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.16.19.96 美国
74.208.5.15 美国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
whatismyipaddress.com A 104.16.19.96
A 104.16.18.96
A 104.16.17.96
A 104.16.20.96
A 104.16.16.96
smtp.mail.com A 74.208.5.15

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x005cb0de
声明校验值 0x00000000
实际校验值 0x001d5c2c
最低操作系统版本要求 4.0
编译时间 2019-01-07 01:21:35
载入哈希 f34d5f2d4577ed6d9ceec516c1f5a744

版本信息

LegalCopyright
Assembly Version
InternalName
FileVersion
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00002000 0x001c90e4 0x001c9200 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 4.11
.sdata 0x001cc000 0x000001e8 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.64
.rsrc 0x001ce000 0x00000650 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.59
.reloc 0x001d0000 0x0000000c 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.10

导入

库: mscoree.dll:
0x402000 _CorExeMain

装载信息

名称 FKaTkwAoTdVhmQEmm
版本 0.0.0.0

装载参考

名称 版本
mscorlib 4.0.0.0
mscorlib 65535.65535.65535.65535
System.Core 4.0.0.0

类型参考

装载 类型名称
System.Core System.Security.Cryptography.AesCryptoServiceProvider
mscorlib System.Activator
mscorlib System.AppDomain
mscorlib System.Array
mscorlib System.AsyncCallback
mscorlib System.Attribute
mscorlib System.BitConverter
mscorlib System.Boolean
mscorlib System.Boolean
mscorlib System.Byte
mscorlib System.Byte
mscorlib System.Char
mscorlib System.Collections.Generic.IEnumerable`1
mscorlib System.Collections.Generic.List`1
mscorlib System.Collections.Hashtable
mscorlib System.Collections.SortedList
mscorlib System.Convert
mscorlib System.Delegate
mscorlib System.Diagnostics.DebuggableAttribute
mscorlib System.Diagnostics.DebuggableAttribute/DebuggingModes
mscorlib System.Enum
mscorlib System.IAsyncResult
mscorlib System.IDisposable
mscorlib System.IO.BinaryReader
mscorlib System.IO.File
mscorlib System.IO.FileAccess
mscorlib System.IO.FileMode
mscorlib System.IO.FileShare
mscorlib System.IO.FileStream
mscorlib System.IO.MemoryStream
mscorlib System.IO.Stream
mscorlib System.Int32
mscorlib System.Int32
mscorlib System.Int64
mscorlib System.IntPtr
mscorlib System.MulticastDelegate
mscorlib System.Object
mscorlib System.Object
mscorlib System.Reflection.Assembly
mscorlib System.Reflection.AssemblyCompanyAttribute
mscorlib System.Reflection.AssemblyConfigurationAttribute
mscorlib System.Reflection.AssemblyCopyrightAttribute
mscorlib System.Reflection.AssemblyDelaySignAttribute
mscorlib System.Reflection.AssemblyDescriptionAttribute
mscorlib System.Reflection.AssemblyKeyNameAttribute
mscorlib System.Reflection.AssemblyName
mscorlib System.Reflection.AssemblyProductAttribute
mscorlib System.Reflection.AssemblyTitleAttribute
mscorlib System.Reflection.AssemblyTrademarkAttribute
mscorlib System.Reflection.Binder
mscorlib System.Reflection.BindingFlags
mscorlib System.Reflection.FieldInfo
mscorlib System.Reflection.MemberInfo
mscorlib System.Reflection.MethodBase
mscorlib System.Reflection.MethodInfo
mscorlib System.Reflection.Module
mscorlib System.Reflection.PropertyInfo
mscorlib System.ResolveEventArgs
mscorlib System.ResolveEventHandler
mscorlib System.Runtime.CompilerServices.CompilationRelaxationsAttribute
mscorlib System.Runtime.CompilerServices.RuntimeCompatibilityAttribute
mscorlib System.Runtime.CompilerServices.RuntimeHelpers
mscorlib System.Runtime.CompilerServices.SuppressIldasmAttribute
mscorlib System.Runtime.InteropServices.CallingConvention
mscorlib System.Runtime.InteropServices.ComVisibleAttribute
mscorlib System.Runtime.InteropServices.Marshal
mscorlib System.Runtime.InteropServices.UnmanagedFunctionPointerAttribute
mscorlib System.Runtime.Remoting.ObjectHandle
mscorlib System.Runtime.Versioning.TargetFrameworkAttribute
mscorlib System.RuntimeFieldHandle
mscorlib System.RuntimeTypeHandle
mscorlib System.Security.Cryptography.CryptoConfig
mscorlib System.Security.Cryptography.CryptoStream
mscorlib System.Security.Cryptography.CryptoStreamMode
mscorlib System.Security.Cryptography.HashAlgorithm
mscorlib System.Security.Cryptography.ICryptoTransform
mscorlib System.Security.Cryptography.MD5CryptoServiceProvider
mscorlib System.Security.Cryptography.RSACryptoServiceProvider
mscorlib System.Security.Cryptography.RijndaelManaged
mscorlib System.Security.Cryptography.SymmetricAlgorithm
mscorlib System.String
mscorlib System.Text.Encoding
mscorlib System.Type
mscorlib System.UInt16
mscorlib System.UInt32
mscorlib System.UInt64
mscorlib System.ValueType
mscorlib System.Void
mscorlib System.Void

.text
`.sdata
.rsrc
@.reloc
v4.0.30319
#Strings
#GUlD
#Blop
#GUID
#Blob
FKaTkwAoTdVhmQEmm
DebuggableAttribute
System.Diagnostics
mscorlib
.ctor
System
DebuggingModes
CompilationRelaxationsAttribute
System.Runtime.CompilerServices
Int32
Boolean
RuntimeCompatibilityAttribute
AssemblyTrademarkAttribute
System.Reflection
String
AssemblyCopyrightAttribute
AssemblyTitleAttribute
SuppressIldasmAttribute
AssemblyProductAttribute
TargetFrameworkAttribute
System.Runtime.Versioning
AssemblyKeyNameAttribute
AssemblyDescriptionAttribute
ComVisibleAttribute
System.Runtime.InteropServices
AssemblyCompanyAttribute
AssemblyConfigurationAttribute
AssemblyDelaySignAttribute
eaab76fb-eb6f-4c23-b1cb-50b8bcf983cb
FKaTkwAoTdVhmQEmm.exe
Object
<Module>
SFU4mbT3GMret7THonf
MulticastDelegate
Attribute
ValueType
<PrivateImplementationDetails>{34316F0E-5E01-4D92-9241-65581752F218}
__StaticArrayInitTypeSize=256
__StaticArrayInitTypeSize=40
__StaticArrayInitTypeSize=30
__StaticArrayInitTypeSize=32
__StaticArrayInitTypeSize=16
__StaticArrayInitTypeSize=64
__StaticArrayInitTypeSize=18
Int64
Stream
System.IO
BinaryReader
Assembly
InvokeMember
BindingFlags
Binder
GetType
GetManifestResourceStream
get_Length
ReadBytes
IDisposable
Dispose
GetExecutingAssembly
GetExportedTypes
Activator
CreateInstance
get_DefaultBinder
.cctor
typemdt
FieldInfo
MethodInfo
GetFields
get_Assembly
Module
ResolveType
MemberInfo
get_MetadataToken
ResolveMethod
MethodBase
Delegate
CreateDelegate
SetValue
RuntimeTypeHandle
GetTypeFromHandle
get_ManifestModule
object
IntPtr
method
Invoke
BeginInvoke
IAsyncResult
AsyncCallback
callback
EndInvoke
result
UInt32
SortedList
System.Collections
Hashtable
UInt64
UInt16
SymmetricAlgorithm
System.Security.Cryptography
AesCryptoServiceProvider
System.Core
RijndaelManaged
MD5CryptoServiceProvider
Marshal
GetMethod
ToString
GetProperty
PropertyInfo
FileStream
FileMode
FileAccess
FileShare
MemoryStream
CryptoStream
ICryptoTransform
CryptoStreamMode
RuntimeFieldHandle
RuntimeHelpers
InitializeArray
Array
RSACryptoServiceProvider
set_UseMachineKeyStore
BitConverter
GetBytes
ObjectHandle
System.Runtime.Remoting
Unwrap
CryptoConfig
get_AllowOnlyFipsAlgorithms
HashAlgorithm
ComputeHash
Convert
FromBase64String
Encoding
System.Text
get_Unicode
GetString
get_Location
Exists
GetName
AssemblyName
get_CodeBase
Replace
GetValue
set_Key
set_IV
CreateDecryptor
Write
Close
ToArray
ce4DmfsmSrOT856tDgfrkMb
GetPublicKeyToken
ToBase64String
op_Inequality
CreateEncryptor
classthis
flags
nativeEntry
nativeSizeOfCode
value__
List`1
System.Collections.Generic
op_Equality
GetManifestResourceNames
AddRange
IEnumerable`1
ResolveEventArgs
get_Name
AppDomain
get_CurrentDomain
ResolveEventHandler
add_ResourceResolve
kLjw4iIsCLsZtxc4lksN0j
get_BaseStream
set_Position
IsLittleEndian
get_ASCII
ToUInt32
$$method0x6000007-1
$$method0x6000020-1
$$method0x6000020-2
$$method0x600002a-1
$$method0x600002a-2
$$method0x6000039-1
$$method0x600005f-1
$$method0x600027b-1
UnmanagedFunctionPointerAttribute
CallingConvention
FlagsAttribute
CompilerGeneratedAttribute
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
Bkav 未发现病毒 20190104
K7AntiVirus Trojan ( 00544f9b1 ) 20190107
MicroWorld-eScan 未发现病毒 20190107
CMC 未发现病毒 20190106
CAT-QuickHeal 未发现病毒 20190107
ALYac 未发现病毒 20190107
Cylance Unsafe 20190107
Zillya 未发现病毒 20190105
AegisLab 未发现病毒 20190107
TheHacker 未发现病毒 20190106
BitDefender 未发现病毒 20190107
K7GW Trojan ( 00544f9b1 ) 20190107
Trustlook 未发现病毒 20190107
Arcabit 未发现病毒 20190107
TrendMicro TROJ_GEN.F0C2C00A719 20190107
Baidu 未发现病毒 20190107
NANO-Antivirus 未发现病毒 20190107
F-Prot 未发现病毒 20190107
Symantec ML.Attribute.HighConfidence 20190107
TotalDefense 未发现病毒 20190107
TrendMicro-HouseCall TROJ_GEN.F0C2C00A719 20190107
Avast Win32:RATX-gen [Trj] 20190107
ClamAV 未发现病毒 20190107
Kaspersky HEUR:Trojan-PSW.MSIL.Coins.gen 20190107
Alibaba 未发现病毒 20180921
Babable 未发现病毒 20180918
ViRobot 未发现病毒 20190107
Tencent Msil.Trojan-qqpass.Qqrob.Lkxp 20190107
Ad-Aware Trojan.GenericKD.40918166 20190107
Emsisoft 未发现病毒 20190107
Comodo 未发现病毒 20190107
F-Secure 未发现病毒 20190107
DrWeb 未发现病毒 20190107
VIPRE 未发现病毒 20190106
Invincea heuristic 20181128
McAfee-GW-Edition Artemis!Trojan 20190107
Trapmine malicious.moderate.ml.score 20190103
Sophos Mal/Generic-S 20190107
Ikarus Win32.Outbreak 20190106
Cyren W32/Trojan.QYZL-5289 20190107
Jiangmin 未发现病毒 20190107
Webroot 未发现病毒 20190107
Avira TR/Dropper.Gen7 20190107
MAX malware (ai score=100) 20190107
Antiy-AVL 未发现病毒 20190107
Kingsoft 未发现病毒 20190107
Endgame malicious (high confidence) 20181108
Microsoft Trojan:Win32/Tiggre!plock 20190107
SUPERAntiSpyware 未发现病毒 20190102
ZoneAlarm HEUR:Trojan-PSW.MSIL.Coins.gen 20190107
Avast-Mobile 未发现病毒 20190106
GData MSIL.Trojan-Stealer.Brogcy.TGKH23 20190107
AhnLab-V3 Malware/Gen.Generic.C2915964 20190107
Acronis 未发现病毒 20181227
McAfee GenericRXGT-OI!3885E775A0F3 20190107
AVware 未发现病毒 20180925
TACHYON 未发现病毒 20190107
VBA32 未发现病毒 20190104
Malwarebytes 未发现病毒 20190107
Panda 未发现病毒 20190106
Zoner 未发现病毒 20190107
ESET-NOD32 a variant of MSIL/Kryptik.QLX 20190107
Rising 未发现病毒 20190107
Yandex 未发现病毒 20181229
SentinelOne static engine - malicious 20181223
eGambit 未发现病毒 20190107
Fortinet MSIL/Kryptik.QLX!tr 20190107
AVG Win32:RATX-gen [Trj] 20190107
Cybereason malicious.151445 20180225
Paloalto generic.ml 20190107
CrowdStrike malicious_confidence_100% (W) 20181022
Qihoo-360 Win32/Trojan.Dropper.fae 20190107

进程树


g.exe, PID: 2440, 上一级进程 PID: 2296
RegAsm.exe, PID: 2588, 上一级进程 PID: 2440
vbc.exe, PID: 2460, 上一级进程 PID: 2588
vbc.exe, PID: 1188, 上一级进程 PID: 2588
services.exe, PID: 428, 上一级进程 PID: 332
mscorsvw.exe, PID: 612, 上一级进程 PID: 428
mscorsvw.exe, PID: 704, 上一级进程 PID: 428

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.16.19.96 美国
74.208.5.15 美国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49169 104.16.19.96 whatismyipaddress.com 80
74.208.5.15 587 192.168.122.201 49191

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 61698 192.168.122.1 53
192.168.122.201 62233 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
whatismyipaddress.com A 104.16.19.96
A 104.16.18.96
A 104.16.17.96
A 104.16.20.96
A 104.16.16.96
smtp.mail.com A 74.208.5.15

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49169 104.16.19.96 whatismyipaddress.com 80
74.208.5.15 587 192.168.122.201 49191

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 61698 192.168.122.1 53
192.168.122.201 62233 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://whatismyipaddress.com/
GET / HTTP/1.1
Host: whatismyipaddress.com
Connection: Keep-Alive

SMTP 流量

目标地址 SMTP数据
74.208.5.15
EHLO test-PC
STARTTLS
\x16\x03\x01\x00p\x01\x00\x00l\x03\x01[\xa7\xa4\xff\x98T)'\xec\xb1\xa9e\xa9q\xf1\x08\x12]+:\x89x
\x1c\x11\xa4MSt\x86F\x08\x00\x00\x18\x00/\x005\x00\x05\x00
\xc0\x13\xc0\x14\xc0	\xc0
\x002\x008\x00\x13\x00\x04\x01\x00\x00+\xff\x01\x00\x01\x00\x00\x00\x00\x12\x00\x10\x00\x00
smtp.mail.com\x00
\x00\x06\x00\x04\x00\x17\x00\x18\x00\x0b\x00\x02\x01\x00\x16\x03\x01\x01\x06\x10\x00\x01\x02\x01\x00a\xb4\xce\xfb.T\x92eW\xb7\x10\x8f\xb6f \xa9\x97\xe5\xa5\xbe0\x1dj1\xd6a\xcc\x8a\xa1+\xa1\x87]\xee\xe3\xd7.\x19\xa8j\xd6\xb6k\xf5\xc2\xa9\x18\x12\xc9\x10\x9c\x0ew\xfc3\xb0\xd9 \xe1G)9\xa4 \x9f~\xd0\xc5\x06\x82ln\xa5\x1bFd\xb0\x91\x99p\xd9\xf9\x9a\x0cA\xde\x1c\x93\xadS\x87\xa84\xd6\xf8\x06\xa4\xc5\xc4A\xe1\xc7\x80\x84\x91:\xa5\x0b9f\xbd\xd4\xcd\xef\xab>\xc0O\x8a\xc5\xc8\xe4\xaf\xe6\xde\xbe\x1b\x86Y\x90	\x96\x04\x8b\xca\x05\xdcql\x8eMBS\xd9\x11\xdb\xf0\x7f\xbdq:\x0b\xc7"\xccG[\x11\xe2\x13\xf3\xea\x83\xea\xce\xe8\xccy\xb3\x8c$\xcd\xbd\x92\xde\xea\xca\xafC\xe9\x0e\x9d;\xf2\xaf\xf0O>\xa5E\xa21\xca}-/\x01\xa98\x01\x07\xf08\xea\xaf\x01,\xa6\x87\xb3\x0c[v\Z\x03La\x8a<\xc2\xe0\xf9D8\x91\xc9\xabh]"\xff{?\x94\x9e\x0e5\x03\x80k\xa7F\xdfW\xdf\x9fan\xe8(\x80\xe25O\xa3\x14\x03\x01\x00\x01\x01\x16\x03\x01\x000I\xd2\xdc\xd2!\xfd\xc9x\xb3\xfbNb\x1f\xd7\x0e1\xa4u)\xe9\xb8:7\xfc\xd8\xf5\xa6\x9e\xe5m\x10\xa3\xe5Y\xe5\xb4tM\x1aQ\x00"d\x7f\xd4<r\x8c\x17\x03\x01\x000\xa4\x0b\x84;1\xf0\x8d\xd5\xee\xf4\xffWo\x8f\x06\xde\xaa'\x0c\xa5\xb5\x19\xcbz@\x0cTL\xe4\xb9\xd0\xda\x05\xed\x8f\x83;\xb1}\xc4q"\xb4CC\x8b\x80G\x17\x03\x01\x00@~\xcd\xe5n%U\xd1\x05p\xa0\xf60\x04\xd2\xcb\xde\xdc\xec[\xa9\xb5g\x84\x1c\x80\x00,\xd7.A\xdc\xae\xe62\x88\xcdY4;V"	P\xdb\xf0U\xb9\xb0\xda\xc3\xd8\xac\xaf\x9b!P\x85l\xe2|\xd83\xa5\xd4\x17\x03\x01\x000c\xc4\x0e^ye\xdclK+2\x9e\x9e\x1c4\xd1\x8b\xb7\xc6-\x1b\x86
\xf3!\x03\x1aF\xf9W\xe2\xceb\x87\x01\x82D5U\xe6\xf4\x9f\xee\xb20\xa5hb\x17\x03\x01\x00@\xae\xc3HS\x91B\xd6\xa3B\x96\x0eHl\x1f\xd57\xce\xf1\xaao\x1d\xee\xe7\xa2\xaf\xb3\xf1\xa2\xea%X\x90*\x83,\xd6\x9b\xd2vky\xfb\xc3\xe0Y7\x94~\xc2s\xd5t\xb5\x02\xef,\xf6\x1b8\xc3Yc\xa6\xd6\x17\x03\x01\x00@\xfaF\xb5\x9dY\x94\xe7\x8b\xb9\xc7\xe0\xf35P1*\x1fw\xf5%\x1fV\x80\xb1q\xf0\xf1\xfe\xb3\x86\xfal\xe8!\x89\x8ef\x0f\x8a\xd2\xfc@\x17\xc11\xe0P\xa4\x80\xfb\x1c:\xe9\xab\xe8l_\xe4\xea\x9b\xc6<\xeb\x8c\x17\x03\x01\x00 \x80X_g\xd4\x8f\x132\xd3\\xfb\xd29,d\x0bo\x9fl\xf2\xee\xa4<%>\xb4\x16\xe4"\x86`\x9a\x17\x03\x01\x01 \x82P\xe0\xd8\xef\xd6\xa6O\xe2\x1fb\xad@\xebv\xd9\x97,\x80]V\x0b\xb6\xce\xadoxk\xb9D\xc6\x8f\xf9(\x07\xed?\x06@H\xd9~~\xec\xa2\x99\x9e;\x1e
\xca	@l\x84\x1a\xa6\xbe\xc1O\x99\x90\xab\xe7\x04nX\xe8`\xee\xb6\xc3\xa4\xd8hV!(\x9d@\xc4S,mPS(v\xfa\xfb\xcb3\x90\x83>\xbea\x0e\xe7t\xc9]\xab\x91ET\xd4\x87\xe7\xa4?\xb0\x96x\xc4\x03\x0b	C\xd3
\xbaH\x98j\xc1\xf1\x83	\xdb\x0c\xe3\x86\x7f\xb6n\x84`\xd3\xa2Oe\x0f\xc1*o\xdc#\xa4{M\xda\x184.\xbc\xd1\xe9\x8diO*\xad\xa1\xea`\xba.\xc3|\xc8\x02B\x8c\xff\x81|\x16\xd5\x9e\xc1\xa4|C\xe0\xad\xa9=\x9b\xa5\x1a\xe87\xa5\x95\xbdx\xd6\xee@%\xec\x19|\xa4[O\x13\xe3\xa6\x8a~\xd2\xa5\xdc\xe1\xd0\xeb\x10Kg& \x9c\xc7O``-\x12\xc8Bb\xb2	\xc9\xbd\xc8"\xc8I\xd8
3\x17\xf3\x9e\x13\xb4%1!	\xe5?\x8d\x1b\x9c\x886\xc8\xb3\xb3%g\xaa\xe35\xb7X\xee\xea\xc8VI*R\xe2\x06\xac\x15\xff\xc8\xc6b\x95\xad\xf3\x17\x03\x01
\xe0A\xa1r\x9a_\xf4\xcab.!\x0c:>\x8eZu\x90
\xf3\xb3\x0f\xdd\xb5q	\x83e3\x05\xf7\xa1\xf4Lg\x14W\x8f\xcdm\x9d\xcc\x06\x17\xda
\xd1rH\x1a+\x1azj3\xa4\xc8\xbc\xf5w\xea\xe6\xd8pD\xdf\x17ayc\x98\xfe\x11X\xe6G\x94!\x03\x04(\xe7u\xf0\x88\xb18\xa8\x9d\xe3\xbd\xddH\x88y\xe8\xb1|\xb26\x98\xdb\xff\x7f\x13\x04\xa1\xbe\xd1\xd1\xb6\x9f6\xc8\xfc\xb2\x89\xcd\x99\x03\x8b\x15\xb1\xf3\xe2}\x92=+\xc518\xda\xb5(K\xeefS\x8a\x06\xf4)\xa9`)\x1d\xef{\x17"\xaf\xb3\xdd0\xba\x98\xc0
\xb5\xcbo\xf8\x0c\xb1Tb\xef\x8e\xd8\x8f\xe0\xba&!\xf0)\xc9\x0b\xb6\x02j\xc8#\xeb\xc9\x93>\xc0\xf7_\x1c&a\x04\xffpk\xd1\xac\x15\xae\x18O\xa2N\xc5\xcbD#d\x85\xad3%$\x91\xca\x81N\x8bn\xa7\xbbw\x0c\x7f\x9a\x01\xfe\xa4\xfan\xd3G\x87\xbf\xd5}~g8^\x06\x9b6F\xf2TA\\x1d\x1c\xcc\xf68\xfa\xdf\xb6\x99\x1d\x85\xb2\xe9\xf1\xb0\xca~8		\xa1\xaeW\x99\x90~\xbf\x8a\x1f\xa2\xb2~\x87\xf5G\xeb\&\xf3M\xe4\xaa\x0e"n\xae\xc0\x02\xf4\xda\xa0D\xc8q\xdc\xc4\x84\xdc7I{\xbbs\xb2L\x8a\xf9\x14o\x99B\x08\xac\xf56y\xcf\x03\x97\xc1\x05\x01H\xac6^]\x9eG!\x1f\xa4HI\x8a\xdf5\xe19\xf3\xa6u\xcf\x84\x1a%\xd9\xcb-\xe1\x03\x9e\xdc:\x1a\x8d'\x01-\x15n\xa2\xe1-\xd5\x0c=\xce\x17\x08\x83\xdd;l:\xca\xea\x01\x9fG\xf6\x87\xe7\xbfE!\x9eJ\xc6\xae.\xe2	_\x00\x870\xeb\xb8\xbdvx\xd1\x8e\xfc\x8fw\xf2H\xc0\xbb\x16\x1aR\xd3\xc9B\xbdM\xef\xcd\xa2a\x13\x9d\x06\xbaSW(b\xf4\xcd\xbb\x16!\xccF\x1d\x15#2^l&\xbe\xc4w'
\xbd\x82B\xe7\xaa\xbd\xb7\x9b\x05\xad\xdb#\x12|C\x82\xee\x0f\x15\xc6\xb4Q%\xe1\x82u\xc7\x96',S\x17\xc574[\xc6EPJD\xd6\x15\x03\xe1\xd5g\xc3de\xe3\x99\x05P>\)\x8f\xa3J\x19@\xc6
\xcc\xd1\xd1\xb3\xc8y\x04Z\xc9^
\xda\x9co\x8f\x1c\x11\xad\xaa8\xa3\xb1\xd5N\xa4\xaei\xba\x17\xab\xf9\xa2Ks\xaf\x15N\xe5!\x8d\xf2\xef@\x83\x03\xa9g\x1e`\x92\\xdd\xdf_[\xff\x01\xf8B \xca\xa7@\xea{\xa1\x9d\xe6\xec\xe7\x99\xcfX\xc2<c\x8c\xb8\xa7\xaa\x08Y\xe6\xee\x91\x1b\x061\x8b\xcd\xb0;r
G\xef'\xd1H\x80\x9e\xd5\x83\xca\xdf0 \xb8u
\xadbx\xa1[\xc2Df\xf1\x05\xba\xd2H\xb0\x8a\x81\xef\xc4\xc0\xd0\xdb/\xcaYT\x05)\xccX\xf0\x0e\xf8q\xd4\xdd\x90Jy`\xa6X;\xdau\xb4\x1e\x92\x81\xcb\xb4M\xfbY
\x19\x9d\x9bkC\xcf\xbf\x0e\x01\x00w<\xd1\xa4h\xaa-{\xecn%9\xb8\x88O\xf9\x11
w\x9a\x8aqQ>\x8e\xc6\xce1\x9e?\xaf\xd3\xd0JO\x15\xf3\x96%\xf2]\xb3\xc6\xb8A\xba\xaa/\xe3\x87K\xd0\xde
\xbea\x9e\x1d\x94w\xe7\x9e\xf7\xe3\xc7\xd6\xc3+\x99\xa2_\xc4\x08\x8b\x06>\xf1\x9b
\x1c\x9c\x8d\xe9\xbd"\xa3\x05X\xb7\x1c\x0c\xda\x92]F\x8c\xa4\x86j6\xc8K\x07\x83\xc6\xdd\xdc\\xa1\xc6\x9b\xa2#\xea\xd4^\x128\xde\xa1\x0b\xe3Q\xa8/"\xa4.\x1739\x8f\xabe\x18B\x91\x87L\xff\x91\xea\xe0q\xd6\xcb\x1e\xc1I\xa3\x84D\xa2;\xcd\xe1\xa8/=r#\xdf\x1a|\xae\xba\xafv\xc9Iuq\xa3(\xec\x13\xd3\xd5\xf2\xae`b:\xcf.hV@\xdb\x92\x02\xa3\x15\x86\x07\xe5\x7f\xcemt\xe5\x17\xf5\xea\xbf\xbb\xaf\xe5\xe7fs\xb3\xb3e\x85\x19\xe7\xe0Sk\xe0\xdaJ\xfaa\xa8\x90\x7f\xe9n5`\x9c%\x98\xb1\xbc\xaf\xf3\xf7{W]\x0c:\xfb@\x81\x85\xf7\xe7\xfe\xc2HK\x83\xc4\xb8\xe1M\x9e\xa2\xe7\xee\x9d\xbd\x1c)\x0e,~\x9b\xf5\x15\xcc
TU\xf8x\x14_	6sk\xda\xbc\x0e
\xb9\xba\xf7\x16\xa0\xb8\xe4\x96\xbe\x1bz\xe4<\x83uUr\xce\x03\xb0:\x9d\xe1)\x9c\xf9(\x89t\x86b\xe0\xaak3\x81\xaeV%\xa3Q#0\xdf50RijY1\xe1\xf7n\xc6T\x8c\xda\xa4v\xc6\xee*\xc33\xe9\x95\xda\x06H\x1f\xf0J^}\x9e\x19\xa5\x1f-\x9e\x0ch?\xe4\xb3\x14\xa2\xfd\xbd\x1c\xa5\xcc2\x9ff\xdb%\xb2%\xb7\x94\xdcU\x17\xd1\x13\xb8\xa7\x96\xb7\xdeZh5g)D\xe7\x0e\xc8K\xb2\x07*\x14K\x10#\x8d\xe2\x14icl\xbf`\xdb\x18T\xcc\xa7L\xd9|\xa1\xf3Hr\x04|\xf6\x838H\xbaA=f\x8d\x1a\x1es`\xe4+\x9f\xe7\x9e\x89U\xcc!WA\xd6\xe4\xb3\xb2\x81D\x1aY\xd2\xc9\xe3;\xe5\x18\x11
\xed\xbe i\xd1\xaac\x9e\xa2Cv\xf5\xf2c\x1dSx\xe9\x82\xe3\xa8$\x0b\xb6\xd9\xf4Nig\x0e\xf9\x0c\xc8	\xd1P\xe28\x85Rm]\x8b\xe1\x12\xbfU\x7f\x8bQr\x13>\x7fdT\x17!\x110\xc1g\x9eSG\xef\xbc?\xe1!\xb2\xe4\w.\xe7\x85\x1d1\xca\xda\x0b\x97I\x8d\xbe 
\xf4!|\xf5\xe5\x84\x81\xfa\xad\xaa\xff\x08\x14'\x0cn4I\x0e#\xf8\x03\xa0\x82v\x83\xca\xad\x82s\xef\\xdb\xc1f[x\xde1\xfe\x17B\x8eB\x1a\xf0\xcc\xa7>\xc7%\xdb,\xe0\x0e?\x9b\x0eZdmKq\xe8\xcc\x1brS\x1d~\xb7\xadF\xde\x1d\x04Z\x1e\x94\xcd\xa5\x96o\xbc\x99eB\xa9\x8b\xf4\xac=,Q\x8d\xa37Cx\x13<x\w\x03P\xb6v\x08\xe5\xcdM\xfb6iZ\xe5\xa3\xc1\(\xfc4\x1a\x06\x8b\x90\xe5\xa7\xf7\xd6OVw\x82\x1e{\xe6.`\xa8MS)\xe2\xd3\x0b`\x91\x0b.-\xd2F\xd5\xc1x\xbd\xd8\xa5\xdf\x7fs\x06\xf0\xe5'e\x18\x08+\xe1\xeb\xb2Y\x8e,\xe8R\xba\xfc\xe4\xb7\xfe\x8b \xbd\xf7\xf4\xdep{\xfd\x81\x04\x97Ns\xa3\xeb\xc1\xa18\xa0\xe7\x04\x15\x92\xd7\x7f\xc5V\xf4U\xa4\xb3\xa9i\x1eu
Ac/\x15@(\xe7a\x991-X\xb6\x00\x11\xcf\x02\xc5*!r\xdda\xb9\xb6\x14\xa5\xd0(\x1d\xeeZy\xec!7\x1e\x9e\x1a\xb2!\xd7\xad\xb6LpT?,.\x0e`\x131s\x91\x92\x88\xc2\x1f\x17fXoF\x97\xcb\xe5Vg\x8b\xda;M\xdd\xfbR\x0c\xfe~\x99\xed\xdb\xbdWM\x10\xda\xa6\xec/\xafO|\x92J\xb4\x1awi\x9cZ\xa5\xc0\xb6\xdd\xa5\xa2\x0c\xc9[\x10f\xd1\xf0sp\xb6\x08pE\x16\xa2\x88\x97\x86t \xe9\x96iuYJ\x91^\x041\xf6\x84\x10\xf0N\xb6\\xd0\xc9\x1d>te\xb0WX/\x88\xcct\xd6\xb7\x9b\xbc\x01\x8b=7+\xa7rJ1q	v(\x8a\x8f<\x0c\x17T\xa6<\x12jAw\x8aa\x0ex\x9d+\x9f=-\x96{T\xf1\xb7
_\xba{n\xd8\x0c\xac\x81`jvf\x1a\xd7E\xcd\xfd9\xe4\x15E\xabN\xbc\xd9v\xba\xcb\x95_\xdc-\xcc\xb7H\xf5D<\xea\xd7\xbe\xb4Z,\xacb\xce\x91\x8c\xa8\xd8_\xe33u
\x99S\x10'\xc5\x94O\xdea\x1b]\xc8\xb5f/\xb7\xe3\xb6f\xe7M\xe1\xcdP\x94\xb6$\x8c\x8f\xed\x0e\xc3\x1bE\xe4\xba\xba\x80\xe28\x00\xf5pc\xf6\xea\x9eC\x10R)+\xc7A8\xebI\xe8\x8c\x98V\xa6\xc6\xcd\x89?!\xfb.\x08l`\xd3\xf4\xc6\x90F\xbb\xa5\xd7\x8a\x8f\x9c\xe2g\xba<*\xa2\xe2;N\x95Y1\x148\xa2I\xa1YL\xdcZL\xcf\xc6\xa6\x0e\xaf?
\xea@K\xd0\xaf\xdb"\x14u.N\x00\xf8sk\xba\xa8i\xde\x0c\x0f\xe5EHv%\x91\xccN\x9a\x18\xcf\x0b\x11\xbc\xa6\xa3w6\x15\xee\x16\xc3\xd9\x01\x13\x12\x9a'vh\xa6\xc1S
\x89^}\xc6\x843\x13\xadr\x90\x01\xdc\xb7
Z\x1c\xb8
$\x18\xc0\x96w\x152\x11\xfb\x89=8B\xdd\xd9\x9c\xdb\xdd\x97D\x89s\xad-\xed\xac\xbac\xfe\xc4\x9d\xa9\xe8\xe0\x8d\xb8\xe3\xae\x97'\xe0:\xa2_m\x19\xb9\xa7 \x00\xdcE>sm\xf1%\xee\xe2\xf5\xae=\x85\xba\x1bM\x17\xad`\xe0\xed\xca\xe4\xdb>\xac\xcb#\xef\xeb\xb0@\xb0\xf2\x05\x93\x9b\xd2\xc4\xd4b\xe9\x86\xf3\x97'a\xfe\xb1\xe1.K~\xf3\xe8\xab\xad\xbc\xce\xb3\x12;%r\xece\x85Cv\x9c
\xf8\xfb\xf2\x9fi\xf8bv\xe5\x8d\x02*\xd8\x18\x87\xe2\xce\xadi\xc8\xfa@\x16=\x1aw\x9d\x1e\xbbD@\x95t\x1d\xa8{yM\x0f]\xcfi\x91\xfa_4\xcbtN\xc9<cm\x7f\x12\x84t#(\xc8\xb7/\xf0\xd7\xe9mv\xb67\xbfT\x96\xe7!\xac66\xc7(\x87\xb4\x13\x87\x94$\xbc\x95\xd9c\xbf\x16\xf7\xfe\xd0|\x9e'\xd2Cd|\xe9rQ\xd7-<\xda\x00X6r\xd5\x00\xa4\x1f
\x11\xaf*\xbe\xcd\xe9+\x06"\x9cb\xe8q\x8d\x08\xed4F\xd7\xdc\x8e#\xa7W2y\xbe\x8eJ\xd2>\x01\x8fb\xd0\xc8|\xa4e\xbf\xcd\xd7\xd1x\xc6\x96\x19\xc6\x9bL\x18d|O\xe0\x1f\xf4\x1bF:Q\xea^\xea\x9e\xc2\x8c\xa2Z:\x16P\xd9\xfe\xfdD~b\xe0P\xff\x0c\x1d?\xc353Q\x96h\x16\x83m\xfe>\xc5qj\xbb\xb8\x07\x00\xd7\x90q\xc1%O\x8a\xe4\x86\xdd\xd4\xff\x82\x1f\x03\xb5\xdf>\xfd\x0c)\x95\x96\xd2\x01\xf1\x96\x8a\x89\xda\xc3x\x04\x86\x81\x91\xe0\x99\xde\xb9\xd3:,^<t\x90\xd7\xc6\x1c\xfd\xe5\x05\xb8\xafR\xc5a\x99[\x1e\x15\xfe\xf5\xe8W\x0f\x83\x0f\xdc\xc9Y\x06(\xda_\x1a\xad\x04H\x08\xe4\xc3\xdbWi\xda\xc2\x8d\xe7UX\x872\xde\xbb
\xd3D\xe6\x1d8\x89j\xf6\xc1=V\x0b\x0b\xad\xd7\x8a*d'\x05\x03B\x9d\xc6\xb0\x91k2\xb6\x1a\xc7\xbf\xe4\xa6%\x1c{\xe6\xa0\x1e\xdaUBS\x8f\xc3\x864\xb7\xcf\xd7~;\x11\xc9\x10A\x8f\xdds\xaf<\x85\xeaY4\xdb\xd2&\xf0k\xe4\xbe\x87)\xf3\xea\xaaJ\x94\x9fm\x88\x9f[n@3\xcb?\xeb\x85\xe0\xc4P!N\x1d\x01\xcf!,\x0e\x7f:\xbe\x1et\x9d\x80\xb7R\x81\xfb"%\x17\xa2`\xe7ud\xd8i\x8aCR\x07-jGa\x80\xa9\x91vSk\x9f\xe2,\xef\xe2B\x94O\xab~\xe0\xd83\xbb\x89\x88S\xd9\xb2\xe9V\x19\xd7\xac\xd8\x7f\x19\xea\xfb&\x05\x93S\xc9\xb2O@\xac\xab\x00\xddG8\xea\xef6\x8cvF{PC\xc9\xa8\xed\xad\x9a+\xd0\x83\xba\xf1\xc5'\xce\x0cb\x1c2t\xcb\x16gE\xb0-\x1f\xdb\xe91\xa8\xd47\xce)\x80\xfcT4\xee\xc5\xf05-\x13\x19o\xb1f\xebq\x01\xd6\x9d+\xe5\x89\xa8\xf6\xd9\xb2\xab\x9b\x96>\x7f\x12J\xd8 \xe7\x7f?\x82\xfea/X\xc2Ce_j\xd3\x9c\xc9\xd9V\xa9\xb1\xde\xa0\xa4\xe6\x15@\xad\xee\x8ah\xa5\xe6K\x95\x9cVQ-bDP{o\xf3\xf8\x8b\x8a\x0b\xe0\xcd\xd45\xe0\xcc)\xa1\xbd\xa5\xc5\xd2\xbb\xb1\xa3FW\x08g7\xf8\x9f(i\xfe\xb1\xb8\xf3\x19\xff\x08\xf3>\x83~\xd5\xdf\x10p%\xfd\xcb\xb1\x9b\xe9\xc9UI	\xc8\x86\x8bP\xb0\xd9^\xb5\xb0\xad@\x12\x98'\x0c.\xd6\xc5\xddw`+\xcfs}\xde\xab\x13\xc4}t\x1c\xd6\xe6H\xda\xb6x 	NY\xb6\A\xa6;\xc3X#\xc54\xff\x8a\xd9$\xca\x930e5\x17\x03\x01\x00 \x96N\x97t#\xd8\xcb\x00\xd4|~O'y\xfa}\xbc\x9c`x\xe0\x9f\xe0\xbe*tiA\xba$\xec\xf0\x17\x03\x01
\xe0A\xa1r\x9a_\xf4\xcab.!\x0c:>\x8eZu\x90
\xf3\xb3\x0f\xdd\xb5q	\x83e3\x05\xf7\xa1\xf4Lg\x14W\x8f\xcdm\x9d\xcc\x06\x17\xda
\xd1rH\x1a+\x1azj3\xa4\xc8\xbc\xf5w\xea\xe6\xd8pD\xdf\x17ayc\x98\xfe\x11X\xe6G\x94!\x03\x04(\xe7u\xf0\x88\xb18\xa8\x9d\xe3\xbd\xddH\x88y\xe8\xb1|\xb26\x98\xdb\xff\x7f\x13\x04\xa1\xbe\xd1\xd1\xb6\x9f6\xc8\xfc\xb2\x89\xcd\x99\x03\x8b\x15\xb1\xf3\xe2}\x92=+\xc518\xda\xb5(K\xeefS\x8a\x06\xf4)\xa9`)\x1d\xef{\x17"\xaf\xb3\xdd0\xba\x98\xc0
\xb5\xcbo\xf8\x0c\xb1Tb\xef\x8e\xd8\x8f\xe0\xba&!\xf0)\xc9\x0b\xb6\x02j\xc8#\xeb\xc9\x93>\xc0\xf7_\x1c&a\x04\xffpk\xd1\xac\x15\xae\x18O\xa2N\xc5\xcbD#d\x85\xad3%$\x91\xca\x81N\x8bn\xa7\xbbw\x0c\x7f\x9a\x01\xfe\xa4\xfan\xd3G\x87\xbf\xd5}~g8^\x06\x9b6F\xf2TA\\x1d\x1c\xcc\xf68\xfa\xdf\xb6\x99\x1d\x85\xb2\xe9\xf1\xb0\xca~8		\xa1\xaeW\x99\x90~\xbf\x8a\x1f\xa2\xb2~\x87\xf5G\xeb\&\xf3M\xe4\xaa\x0e"n\xae\xc0\x02\xf4\xda\xa0D\xc8q\xdc\xc4\x84\xdc7I{\xbbs\xb2L\x8a\xf9\x14o\x99B\x08\xac\xf56y\xcf\x03\x97\xc1\x05\x01H\xac6^]\x9eG!\x1f\xa4HI\x8a\xdf5\xe19\xf3\xa6u\xcf\x84\x1a%\xd9\xcb-\xe1\x03\x9e\xdc:\x1a\x8d'\x01-\x15n\xa2\xe1-\xd5\x0c=\xce\x17\x08\x83\xdd;l:\xca\xea\x01\x9fG\xf6\x87\xe7\xbfE!\x9eJ\xc6\xae.\xe2	_\x00\x870\xeb\xb8\xbdvx\xd1\x8e\xfc\x8fw\xf2H\xc0\xbb\x16\x1aR\xd3\xc9B\xbdM\xef\xcd\xa2a\x13\x9d\x06\xbaSW(b\xf4\xcd\xbb\x16!\xccF\x1d\x15#2^l&\xbe\xc4w'
\xbd\x82B\xe7\xaa\xbd\xb7\x9b\x05\xad\xdb#\x12|C\x82\xee\x0f\x15\xc6\xb4Q%\xe1\x82u\xc7\x96',S\x17\xc574[\xc6EPJD\xd6\x15\x03\xe1\xd5g\xc3de\xe3\x99\x05P>\)\x8f\xa3J\x19@\xc6
\xcc\xd1\xd1\xb3\xc8y\x04Z\xc9^
\xda\x9co\x8f\x1c\x11\xad\xaa8\xa3\xb1\xd5N\xa4\xaei\xba\x17\xab\xf9\xa2Ks\xaf\x15N\xe5!\x8d\xf2\xef@\x83\x03\xa9g\x1e`\x92\\xdd\xdf_[\xff\x01\xf8B \xca\xa7@\xea{\xa1\x9d\xe6\xec\xe7\x99\xcfX\xc2<c\x8c\xb8\xa7\xaa\x08Y\xe6\xee\x91\x1b\x061\x8b\xcd\xb0;r
G\xef'\xd1H\x80\x9e\xd5\x83\xca\xdf0 \xb8u
\xadbx\xa1[\xc2Df\xf1\x05\xba\xd2H\xb0\x8a\x81\xef\xc4\xc0\xd0\xdb/\xcaYT\x05)\xccX\xf0\x0e\xf8q\xd4\xdd\x90Jy`\xa6X;\xdau\xb4\x1e\x92\x81\xcb\xb4M\xfbY
\x19\x9d\x9bkC\xcf\xbf\x0e\x01\x00w<\xd1\xa4h\xaa-{\xecn%9\xb8\x88O\xf9\x11
w\x9a\x8aqQ>\x8e\xc6\xce1\x9e?\xaf\xd3\xd0JO\x15\xf3\x96%\xf2]\xb3\xc6\xb8A\xba\xaa/\xe3\x87K\xd0\xde
\xbea\x9e\x1d\x94w\xe7\x9e\xf7\xe3\xc7\xd6\xc3+\x99\xa2_\xc4\x08\x8b\x06>\xf1\x9b
\x1c\x9c\x8d\xe9\xbd"\xa3\x05X\xb7\x1c\x0c\xda\x92]F\x8c\xa4\x86j6\xc8K\x07\x83\xc6\xdd\xdc\\xa1\xc6\x9b\xa2#\xea\xd4^\x128\xde\xa1\x0b\xe3Q\xa8/"\xa4.\x1739\x8f\xabe\x18B\x91\x87L\xff\x91\xea\xe0q\xd6\xcb\x1e\xc1I\xa3\x84D\xa2;\xcd\xe1\xa8/=r#\xdf\x1a|\xae\xba\xafv\xc9Iuq\xa3(\xec\x13\xd3\xd5\xf2\xae`b:\xcf.hV@\xdb\x92\x02\xa3\x15\x86\x07\xe5\x7f\xcemt\xe5\x17\xf5\xea\xbf\xbb\xaf\xe5\xe7fs\xb3\xb3e\x85\x19\xe7\xe0Sk\xe0\xdaJ\xfaa\xa8\x90\x7f\xe9n5`\x9c%\x98\xb1\xbc\xaf\xf3\xf7{W]\x0c:\xfb@\x81\x85\xf7\xe7\xfe\xc2HK\x83\xc4\xb8\xe1M\x9e\xa2\xe7\xee\x9d\xbd\x1c)\x0e,~\x9b\xf5\x15\xcc
TU\xf8x\x14_	6sk\xda\xbc\x0e
\xb9\xba\xf7\x16\xa0\xb8\xe4\x96\xbe\x1bz\xe4<\x83uUr\xce\x03\xb0:\x9d\xe1)\x9c\xf9(\x89t\x86b\xe0\xaak3\x81\xaeV%\xa3Q#0\xdf50RijY1\xe1\xf7n\xc6T\x8c\xda\xa4v\xc6\xee*\xc33\xe9\x95\xda\x06H\x1f\xf0J^}\x9e\x19\xa5\x1f-\x9e\x0ch?\xe4\xb3\x14\xa2\xfd\xbd\x1c\xa5\xcc2\x9ff\xdb%\xb2%\xb7\x94\xdcU\x17\xd1\x13\xb8\xa7\x96\xb7\xdeZh5g)D\xe7\x0e\xc8K\xb2\x07*\x14K\x10#\x8d\xe2\x14icl\xbf`\xdb\x18T\xcc\xa7L\xd9|\xa1\xf3Hr\x04|\xf6\x838H\xbaA=f\x8d\x1a\x1es`\xe4+\x9f\xe7\x9e\x89U\xcc!WA\xd6\xe4\xb3\xb2\x81D\x1aY\xd2\xc9\xe3;\xe5\x18\x11
\xed\xbe i\xd1\xaac\x9e\xa2Cv\xf5\xf2c\x1dSx\xe9\x82\xe3\xa8$\x0b\xb6\xd9\xf4Nig\x0e\xf9\x0c\xc8	\xd1P\xe28\x85Rm]\x8b\xe1\x12\xbfU\x7f\x8bQr\x13>\x7fdT\x17!\x110\xc1g\x9eSG\xef\xbc?\xe1!\xb2\xe4\w.\xe7\x85\x1d1\xca\xda\x0b\x97I\x8d\xbe 
\xf4!|\xf5\xe5\x84\x81\xfa\xad\xaa\xff\x08\x14'\x0cn4I\x0e#\xf8\x03\xa0\x82v\x83\xca\xad\x82s\xef\\xdb\xc1f[x\xde1\xfe\x17B\x8eB\x1a\xf0\xcc\xa7>\xc7%\xdb,\xe0\x0e?\x9b\x0eZdmKq\xe8\xcc\x1brS\x1d~\xb7\xadF\xde\x1d\x04Z\x1e\x94\xcd\xa5\x96o\xbc\x99eB\xa9\x8b\xf4\xac=,Q\x8d\xa37Cx\x13<x\w\x03P\xb6v\x08\xe5\xcdM\xfb6iZ\xe5\xa3\xc1\(\xfc4\x1a\x06\x8b\x90\xe5\xa7\xf7\xd6OVw\x82\x1e{\xe6.`\xa8MS)\xe2\xd3\x0b`\x91\x0b.-\xd2F\xd5\xc1x\xbd\xd8\xa5\xdf\x7fs\x06\xf0\xe5'e\x18\x08+\xe1\xeb\xb2Y\x8e,\xe8R\xba\xfc\xe4\xb7\xfe\x8b \xbd\xf7\xf4\xdep{\xfd\x81\x04\x97Ns\xa3\xeb\xc1\xa18\xa0\xe7\x04\x15\x92\xd7\x7f\xc5V\xf4U\xa4\xb3\xa9i\x1eu
Ac/\x15@(\xe7a\x991-X\xb6\x00\x11\xcf\x02\xc5*!r\xdda\xb9\xb6\x14\xa5\xd0(\x1d\xeeZy\xec!7\x1e\x9e\x1a\xb2!\xd7\xad\xb6LpT?,.\x0e`\x131s\x91\x92\x88\xc2\x1f\x17fXoF\x97\xcb\xe5Vg\x8b\xda;M\xdd\xfbR\x0c\xfe~\x99\xed\xdb\xbdWM\x10\xda\xa6\xec/\xafO|\x92J\xb4\x1awi\x9cZ\xa5\xc0\xb6\xdd\xa5\xa2\x0c\xc9[\x10f\xd1\xf0sp\xb6\x08pE\x16\xa2\x88\x97\x86t \xe9\x96iuYJ\x91^\x041\xf6\x84\x10\xf0N\xb6\\xd0\xc9\x1d>te\xb0WX/\x88\xcct\xd6\xb7\x9b\xbc\x01\x8b=7+\xa7rJ1q	v(\x8a\x8f<\x0c\x17T\xa6<\x12jAw\x8aa\x0ex\x9d+\x9f=-\x96{T\xf1\xb7
_\xba{n\xd8\x0c\xac\x81`jvf\x1a\xd7E\xcd\xfd9\xe4\x15E\xabN\xbc\xd9v\xba\xcb\x95_\xdc-\xcc\xb7H\xf5D<\xea\xd7\xbe\xb4Z,\xacb\xce\x91\x8c\xa8\xd8_\xe33u
\x99S\x10'\xc5\x94O\xdea\x1b]\xc8\xb5f/\xb7\xe3\xb6f\xe7M\xe1\xcdP\x94\xb6$\x8c\x8f\xed\x0e\xc3\x1bE\xe4\xba\xba\x80\xe28\x00\xf5pc\xf6\xea\x9eC\x10R)+\xc7A8\xebI\xe8\x8c\x98V\xa6\xc6\xcd\x89?!\xfb.\x08l`\xd3\xf4\xc6\x90F\xbb\xa5\xd7\x8a\x8f\x9c\xe2g\xba<*\xa2\xe2;N\x95Y1\x148\xa2I\xa1YL\xdcZL\xcf\xc6\xa6\x0e\xaf?
\xea@K\xd0\xaf\xdb"\x14u.N\x00\xf8sk\xba\xa8i\xde\x0c\x0f\xe5EHv%\x91\xccN\x9a\x18\xcf\x0b\x11\xbc\xa6\xa3w6\x15\xee\x16\xc3\xd9\x01\x13\x12\x9a'vh\xa6\xc1S
\x89^}\xc6\x843\x13\xadr\x90\x01\xdc\xb7
Z\x1c\xb8
$\x18\xc0\x96w\x152\x11\xfb\x89=8B\xdd\xd9\x9c\xdb\xdd\x97D\x89s\xad-\xed\xac\xbac\xfe\xc4\x9d\xa9\xe8\xe0\x8d\xb8\xe3\xae\x97'\xe0:\xa2_m\x19\xb9\xa7 \x00\xdcE>sm\xf1%\xee\xe2\xf5\xae=\x85\xba\x1bM\x17\xad`\xe0\xed\xca\xe4\xdb>\xac\xcb#\xef\xeb\xb0@\xb0\xf2\x05\x93\x9b\xd2\xc4\xd4b\xe9\x86\xf3\x97'a\xfe\xb1\xe1.K~\xf3\xe8\xab\xad\xbc\xce\xb3\x12;%r\xece\x85Cv\x9c
\xf8\xfb\xf2\x9fi\xf8bv\xe5\x8d\x02*\xd8\x18\x87\xe2\xce\xadi\xc8\xfa@\x16=\x1aw\x9d\x1e\xbbD@\x95t\x1d\xa8{yM\x0f]\xcfi\x91\xfa_4\xcbtN\xc9<cm\x7f\x12\x84t#(\xc8\xb7/\xf0\xd7\xe9mv\xb67\xbfT\x96\xe7!\xac66\xc7(\x87\xb4\x13\x87\x94$\xbc\x95\xd9c\xbf\x16\xf7\xfe\xd0|\x9e'\xd2Cd|\xe9rQ\xd7-<\xda\x00X6r\xd5\x00\xa4\x1f
\x11\xaf*\xbe\xcd\xe9+\x06"\x9cb\xe8q\x8d\x08\xed4F\xd7\xdc\x8e#\xa7W2y\xbe\x8eJ\xd2>\x01\x8fb\xd0\xc8|\xa4e\xbf\xcd\xd7\xd1x\xc6\x96\x19\xc6\x9bL\x18d|O\xe0\x1f\xf4\x1bF:Q\xea^\xea\x9e\xc2\x8c\xa2Z:\x16P\xd9\xfe\xfdD~b\xe0P\xff\x0c\x1d?\xc353Q\x96h\x16\x83m\xfe>\xc5qj\xbb\xb8\x07\x00\xd7\x90q\xc1%O\x8a\xe4\x86\xdd\xd4\xff\x82\x1f\x03\xb5\xdf>\xfd\x0c)\x95\x96\xd2\x01\xf1\x96\x8a\x89\xda\xc3x\x04\x86\x81\x91\xe0\x99\xde\xb9\xd3:,^<t\x90\xd7\xc6\x1c\xfd\xe5\x05\xb8\xafR\xc5a\x99[\x1e\x15\xfe\xf5\xe8W\x0f\x83\x0f\xdc\xc9Y\x06(\xda_\x1a\xad\x04H\x08\xe4\xc3\xdbWi\xda\xc2\x8d\xe7UX\x872\xde\xbb
\xd3D\xe6\x1d8\x89j\xf6\xc1=V\x0b\x0b\xad\xd7\x8a*d'\x05\x03B\x9d\xc6\xb0\x91k2\xb6\x1a\xc7\xbf\xe4\xa6%\x1c{\xe6\xa0\x1e\xdaUBS\x8f\xc3\x864\xb7\xcf\xd7~;\x11\xc9\x10A\x8f\xdds\xaf<\x85\xeaY4\xdb\xd2&\xf0k\xe4\xbe\x87)\xf3\xea\xaaJ\x94\x9fm\x88\x9f[n@3\xcb?\xeb\x85\xe0\xc4P!N\x1d\x01\xcf!,\x0e\x7f:\xbe\x1et\x9d\x80\xb7R\x81\xfb"%\x17\xa2`\xe7ud\xd8i\x8aCR\x07-jGa\x80\xa9\x91vSk\x9f\xe2,\xef\xe2B\x94O\xab~\xe0\xd83\xbb\x89\x88S\xd9\xb2\xe9V\x19\xd7\xac\xd8\x7f\x19\xea\xfb&\x05\x93S\xc9\xb2O@\xac\xab\x00\xddG8\xea\xef6\x8cvF{PC\xc9\xa8\xed\xad\x9a+\xd0\x83\xba\xf1\xc5'\xce\x0cb\x1c2t\xcb\x16gE\xb0-\x1f\xdb\xe91\xa8\xd47\xce)\x80\xfcT4\xee\xc5\xf05-\x13\x19o\xb1f\xebq\x01\xd6\x9d+\xe5\x89\xa8\xf6\xd9\xb2\xab\x9b\x96>\x7f\x12J\xd8 \xe7\x7f?\x82\xfea/X\xc2Ce_j\xd3\x9c\xc9\xd9V\xa9\xb1\xde\xa0\xa4\xe6\x15@\xad\xee\x8ah\xa5\xe6K\x95\x9cVQ-bDP{o\xf3\xf8\x8b\x8a\x0b\xe0\xcd\xd45\xe0\xcc)\xa1\xbd\xa5\xc5\xd2\xbb\xb1\xa3FW\x08g7\xf8\x9f(i\xfe\xb1\xb8\xf3\x19\xff\x08\xf3>\x83~\xd5\xdf\x10p%\xfd\xcb\xb1\x9b\xe9\xc9UI	\xc8\x86\x8bP\xb0\xd9^\xb5\xb0\xad@\x12\x98'\x0c.\xd6\xc5\xddw`+\xcfs}\xde\xab\x13\xc4}t\x1c\xd6\xe6H\xda\xb6x 	NY\xb6\A\xa6;\xc3X#\xc54\xff\x8a\xd9$\xca\x930e5\x17\x03\x01\x00 \x96N\x97t#\xd8\xcb\x00\xd4|~O'y\xfa}\xbc\x9c`x\xe0\x9f\xe0\xbe*tiA\xba$\xec\xf0\x17\x03\x01\x00 \xc2\x87\xc3\x08\x97M\x15$\xce\xd3xv\xa6++\x0e\xa2\x04\x9d\xa6#\x15bc\x8e\xc1\x8b\xea];\xf3\x1a

IRC 流量

无IRC请求.

ICMP 流量

源地址 目标地址 ICMP类型 数据
192.168.20.254 192.168.122.201 3

CIF 报告

无 CIF 结果

网络警报

Timestamp Source IP Source Port Destination IP Destination Port Protocol SID Signature Category
2019-01-21 22:37:12.352517+0800 74.208.5.15 587 192.168.122.201 49191 TCP 2260002 SURICATA Applayer Detect protocol only one direction Generic Protocol Command Decode

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 holdermail.txt
相关文件
C:\Users\test\AppData\Local\Temp\holdermail.txt
文件大小 476 字节
文件类型 ASCII text, with CRLF line terminators
MD5 9d901d0fcc82e05c2e39487e82c31466
SHA1 48285fde3e207e92569e3b93a2d01968352eee23
SHA256 771b121950a68aff6c8484681c7b0d52e89c23e854d3f2a31c87258638d9673b
CRC32 7B91AE34
Ssdeep 6:QAXvqq9UMe75leSpyADAwzRIjWSAmYezRSJcnDW4SvnDWAwb:QK9UX5leSMADzRIZGe9SJgy4SPyAwb
下载提交魔盾安全分析显示文本
==================================================
Name              : test
Application       : MS Outlook 2002/2003/2007/2010
Email             : test@maldun.com
Server            : 127.0.0.1
Server Port       : 
Secured           : No
Type              : POP3
User              : test
Password          : 
Profile           : Outlook
Password Strength : 
SMTP Server       : 127.0.0.1
SMTP Server Port  : 
==================================================

文件名 holderwb.txt
相关文件
C:\Users\test\AppData\Local\Temp\holderwb.txt
文件大小 2 字节
文件类型 Little-endian UTF-16 Unicode text, with no line terminators
MD5 f3b25701fe362ec84616a93a45ce9998
SHA1 d62636d8caec13f04e28442a0a6fa1afeb024bbb
SHA256 b3d510ef04275ca8e698e5b3cbb0ece3949ef9252f0cdc839e9ee347409a2209
CRC32 88F83096
Ssdeep 3:Qn:Qn
下载提交魔盾安全分析显示文本
\xff\xfe
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 93.578 seconds )

  • 50.694 BehaviorAnalysis
  • 15.597 Suricata
  • 14.464 NetworkAnalysis
  • 5.759 Static
  • 4.106 TargetInfo
  • 2.044 VirusTotal
  • 0.438 peid
  • 0.286 static_dotnet
  • 0.151 AnalysisInfo
  • 0.017 Strings
  • 0.016 Dropped
  • 0.003 Memory
  • 0.003 config_decoder

Signatures ( 28.16 seconds )

  • 3.046 encrypted_ioc
  • 2.781 api_spamming
  • 2.612 dyre_behavior
  • 2.242 stealth_timeout
  • 1.94 md_url_bl
  • 1.925 rat_luminosity
  • 1.841 cryptowall_behavior
  • 1.839 stealth_decoy_document
  • 1.617 rat_nanocore
  • 1.587 dridex_behavior
  • 1.409 ispy_behavior
  • 1.076 Locky_behavior
  • 1.064 shifu_behavior
  • 0.33 mimics_filetime
  • 0.323 reads_self
  • 0.323 virus
  • 0.319 antivm_generic_disk
  • 0.306 stealth_file
  • 0.292 bootkit
  • 0.25 antiav_detectreg
  • 0.194 md_bad_drop
  • 0.101 infostealer_ftp
  • 0.082 antivm_generic_scsi
  • 0.059 infostealer_im
  • 0.044 antiav_detectfile
  • 0.035 infostealer_mail
  • 0.03 infostealer_bitcoin
  • 0.028 hancitor_behavior
  • 0.026 md_domain_bl
  • 0.024 antivm_generic_services
  • 0.02 infostealer_browser
  • 0.02 anormaly_invoke_kills
  • 0.019 infostealer_browser_password
  • 0.018 antivm_vbox_files
  • 0.017 kovter_behavior
  • 0.015 antiemu_wine_func
  • 0.015 geodo_banking_trojan
  • 0.014 antivm_xen_keys
  • 0.013 betabot_behavior
  • 0.013 darkcomet_regkeys
  • 0.012 kibex_behavior
  • 0.01 antivm_vbox_libs
  • 0.01 antivm_generic_diskreg
  • 0.01 antivm_parallels_keys
  • 0.009 injection_createremotethread
  • 0.009 antisandbox_sleep
  • 0.009 anomaly_persistence_autorun
  • 0.009 recon_fingerprint
  • 0.007 antiav_avast_libs
  • 0.007 antisandbox_sunbelt_libs
  • 0.007 ransomware_extensions
  • 0.007 ransomware_files
  • 0.006 antisandbox_productid
  • 0.006 rat_pcclient
  • 0.005 network_tor
  • 0.005 antisandbox_sboxie_libs
  • 0.005 antiav_bitdefender_libs
  • 0.005 exec_crash
  • 0.005 antivm_hyperv_keys
  • 0.005 antivm_vpc_keys
  • 0.005 network_http
  • 0.004 ransomware_message
  • 0.004 kazybot_behavior
  • 0.004 bypass_firewall
  • 0.004 antivm_xen_keys
  • 0.004 antivm_vbox_acpi
  • 0.004 antivm_vbox_keys
  • 0.004 antivm_vmware_keys
  • 0.004 disables_browser_warn
  • 0.004 packer_armadillo_regkey
  • 0.003 tinba_behavior
  • 0.003 hawkeye_behavior
  • 0.003 ipc_namedpipe
  • 0.003 antivm_generic_bios
  • 0.003 antivm_generic_cpu
  • 0.003 antivm_generic_system
  • 0.003 antivm_vmware_files
  • 0.003 codelux_behavior
  • 0.003 network_torgateway
  • 0.003 recon_programs
  • 0.002 antivm_vmware_libs
  • 0.002 cerber_behavior
  • 0.002 sniffer_winpcap
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 targeted_flame
  • 0.002 network_cnc_http
  • 0.001 injection_explorer
  • 0.001 sets_autoconfig_url
  • 0.001 ursnif_behavior
  • 0.001 injection_runpe
  • 0.001 h1n1_behavior
  • 0.001 antisandbox_sunbelt_files
  • 0.001 antivm_vpc_files
  • 0.001 banker_cridex
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 maldun_blacklist
  • 0.001 network_tor_service
  • 0.001 rat_spynet
  • 0.001 stealth_modify_uac_prompt

Reporting ( 1.172 seconds )

  • 0.862 ReportHTMLSummary
  • 0.31 Malheur
Task ID 234101
Mongo ID 5c45daa32f8f2e05c65a3be4
Cuckoo release 1.4-Maldun