Docs_5bc5704b6e1a3aa07074e748d540d7d7_php.json

1.  
2. [*] MalFamily: "Malicious"
3.  
4. [*] MalScore: 10.0
5.  
6. [*] File Name: "Docs_5bc5704b6e1a3aa07074e748d540d7d7.php"
7. [*] File Size: 338016
8. [*] File Type: "Microsoft Word 2007+"
9. [*] SHA256: "44e45babc5026bc5aae3d7b1843d2f1d85b4cf0b876c6d45af3e4cec60afa226"
10. [*] MD5: "5bc5704b6e1a3aa07074e748d540d7d7"
11. [*] SHA1: "312d489221cd2b8548984e1526011f38e771a2b1"
12. [*] SHA512: "e6f09d53a119adf0f60d1c91f1f965772b1b56222b3236724d6d7bd828882f73fea109c0e1b227b690b1d2800346b02c5eb110486e7944ea71a82ca6850897bb"
13. [*] CRC32: "7D82CFC5"
14. [*] SSDEEP: "6144:4mnzfSEp+bGREjd0VAYy8AA416TWCe5qhJuSfkJ5NXQWif3:46SEzE50yiCCekhgS8J5NX/+"
15.  
16. [*] Process Execution: [
17. "WINWORD.EXE",
18. "jaUvUUB.exe",
19. "svchost.exe",
20. "WmiPrvSE.exe",
21. "iexplore.exe",
22. "iexplore.exe",
23. "iexplore.exe",
24. "iexplore.exe",
25. "iexplore.exe",
26. "iexplore.exe",
27. "iexplore.exe",
28. "iexplore.exe",
29. "iexplore.exe",
30. "iexplore.exe",
31. "iexplore.exe",
32. "iexplore.exe",
33. "iexplore.exe",
34. "iexplore.exe",
35. "iexplore.exe",
36. "iexplore.exe",
37. "iexplore.exe",
38. "iexplore.exe",
39. "iexplore.exe",
40. "iexplore.exe",
41. "iexplore.exe",
42. "svchost.exe"
43. ]
44.  
45. [*] Signatures Detected: [
46. {
47. "Description": "A process attempted to delay the analysis task.",
48. "Details": [
49. {
50. "Process": "jaUvUUB.exe tried to sleep 1464 seconds, actually delayed analysis time by 0 seconds"
51. },
52. {
53. "Process": "WmiPrvSE.exe tried to sleep 300 seconds, actually delayed analysis time by 0 seconds"
54. }
55. ]
56. },
57. {
58. "Description": "Attempts to connect to a dead IP:Port (14 unique times)",
59. "Details": [
60. {
61. "IP": "52.109.20.1:443"
62. },
63. {
64. "IP": "52.109.20.4:443"
65. },
66. {
67. "IP": "205.185.216.10:80"
68. },
69. {
70. "IP": "23.36.176.37:443"
71. },
72. {
73. "IP": "104.18.24.243:80"
74. },
75. {
76. "IP": "204.79.197.200:80"
77. },
78. {
79. "IP": "23.101.123.81:80"
80. },
81. {
82. "IP": "23.96.39.148:443"
83. },
84. {
85. "IP": "47.254.82.18:80"
86. },
87. {
88. "IP": "72.21.91.29:80"
89. },
90. {
91. "IP": "13.107.21.200:80"
92. },
93. {
94. "IP": "23.59.154.33:80"
95. },
96. {
97. "IP": "184.86.204.7:443"
98. },
99. {
100. "IP": "192.35.177.64:80"
101. }
102. ]
103. },
104. {
105. "Description": "At least one IP Address, Domain, or File Name was found in a crypto call",
106. "Details": [
107. {
108. "ioc": "iso690nmerical.xsl"
109. },
110. {
111. "ioc": "ontent.inf"
112. },
113. {
114. "ioc": "mlaseventheditionofficeonline.xsl"
115. },
116. {
117. "ioc": "iso690.xsl"
118. },
119. {
120. "ioc": "adial.glox"
121. },
122. {
123. "ioc": "ist.glox"
124. },
125. {
126. "ioc": "chicago.xsl"
127. },
128. {
129. "ioc": "sist02.xsl"
130. },
131. {
132. "ioc": "rame.glox"
133. },
134. {
135. "ioc": "rocess.glox"
136. },
137. {
138. "ioc": "chevronaccent.glox"
139. },
140. {
141. "ioc": "rings.glox"
142. },
143. {
144. "ioc": "pictureorgchart.glox"
145. },
146. {
147. "ioc": "nline.xsl"
148. },
149. {
150. "ioc": "turabian.xsl"
151. },
152. {
153. "ioc": "rid.glox"
154. },
155. {
156. "ioc": "..3b"
157. },
158. {
159. "ioc": "ccent.glox"
160. },
161. {
162. "ioc": "rc.glox"
163. },
164. {
165. "ioc": "anded.thmx"
166. },
167. {
168. "ioc": "content.inf"
169. },
170. {
171. "ioc": "gostname.xsl"
172. },
173. {
174. "ioc": "harvardanglia2008officeonline.xsl"
175. },
176. {
177. "ioc": "set.dotx"
178. },
179. {
180. "ioc": "gb.xsl"
181. },
182. {
183. "ioc": "ieee2006officeonline.xsl"
184. },
185. {
186. "ioc": "e.gu"
187. },
188. {
189. "ioc": "architecture.glox"
190. },
191. {
192. "ioc": "gosttitle.xsl"
193. },
194. {
195. "ioc": "ividend.thmx"
196. },
197. {
198. "ioc": "quations.dotx"
199. },
200. {
201. "ioc": "ext.glox"
202. },
203. {
204. "ioc": "asis.thmx"
205. },
206. {
207. "ioc": "ype.thmx"
208. },
209. {
210. "ioc": "etropolitan.thmx"
211. },
212. {
213. "ioc": "rop.thmx"
214. },
215. {
216. "ioc": "iew.thmx"
217. },
218. {
219. "ioc": "arallax.thmx"
220. },
221. {
222. "ioc": "rame.thmx"
223. },
224. {
225. "ioc": "roplet.thmx"
226. },
227. {
228. "ioc": "eadlines.thmx"
229. },
230. {
231. "ioc": "ircuit.thmx"
232. },
233. {
234. "ioc": "g.n9"
235. },
236. {
237. "ioc": "erlin.thmx"
238. },
239. {
240. "ioc": "avon.thmx"
241. },
242. {
243. "ioc": "adge.thmx"
244. },
245. {
246. "ioc": "uotable.thmx"
247. },
248. {
249. "ioc": "eathered.thmx"
250. },
251. {
252. "ioc": "late.thmx"
253. },
254. {
255. "ioc": "esh.thmx"
256. },
257. {
258. "ioc": "rail.thmx"
259. }
260. ]
261. },
262. {
263. "Description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
264. "Details": [
265. {
266. "post_no_referer": "HTTP traffic contains a POST request with no referer header"
267. },
268. {
269. "ip_hostname": "HTTP connection was made to an IP address rather than domain name"
270. },
271. {
272. "suspicious_request": "http://api.frame303.at/index.htm"
273. },
274. {
275. "suspicious_request": "http://www.bing.com/favicon.ico"
276. },
277. {
278. "suspicious_request": "http://47.254.82.18/favicon.ico"
279. },
280. {
281. "suspicious_request": "http://cde.frame303.at/index.htm"
282. },
283. {
284. "suspicious_request": "http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSPwl%2BrBFlJbvzLXU1bGW08VysJ2wQUj%2Bh%2B8G0yagAFI8dwl2o6kP9r6tQCEAaJg2QslT5G973OQUPxM8E%3D"
285. }
286. ]
287. },
288. {
289. "Description": "Performs some HTTP requests",
290. "Details": [
291. {
292. "url": "http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAi4elAbvpzaLRZNPjlRv1U%3D"
293. },
294. {
295. "url": "http://ocsp.msocsp.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBRPC1vZt9qvn7bzY3Iidtbhla4mKQQUWIif1tycSCK3FD7%2FhIjo5oX%2F%2Bn0CE3sAAGyvV14%2FmEPDgh0AAAAAbK8%3D"
296. },
297. {
298. "url": "http://apps.identrust.com/roots/dstrootcax3.p7c"
299. },
300. {
301. "url": "http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab"
302. },
303. {
304. "url": "http://storage.alfaeducation.mk/file/crypt_2_7000.exe"
305. },
306. {
307. "url": "http://api.frame303.at/index.htm"
308. },
309. {
310. "url": "http://www.bing.com/favicon.ico"
311. },
312. {
313. "url": "http://47.254.82.18/favicon.ico"
314. },
315. {
316. "url": "http://cde.frame303.at/index.htm"
317. },
318. {
319. "url": "http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSPwl%2BrBFlJbvzLXU1bGW08VysJ2wQUj%2Bh%2B8G0yagAFI8dwl2o6kP9r6tQCEAaJg2QslT5G973OQUPxM8E%3D"
320. }
321. ]
322. },
323. {
324. "Description": "The office file has 2 macros.",
325. "Details": []
326. },
327. {
328. "Description": "Crashed cuckoomon during analysis. Report this error to the Github repo.",
329. "Details": [
330. {
331. "pid": 2928
332. },
333. {
334. "message": "Exception reported at offset 0x1967e in cuckoomon itself while accessing 0x25d5f8 from hook RtlDispatchException"
335. },
336. {
337. "pid": 2928
338. },
339. {
340. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
341. },
342. {
343. "pid": 2928
344. },
345. {
346. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x25d5fc from hook RtlDispatchException"
347. },
348. {
349. "pid": 2928
350. },
351. {
352. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
353. },
354. {
355. "pid": 2928
356. },
357. {
358. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x25d5f4 from hook RtlDispatchException"
359. },
360. {
361. "pid": 2928
362. },
363. {
364. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
365. },
366. {
367. "pid": 2928
368. },
369. {
370. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x25d5f0 from hook RtlDispatchException"
371. },
372. {
373. "pid": 2928
374. },
375. {
376. "message": "Exception reported at offset 0x19689 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
377. },
378. {
379. "pid": 2928
380. },
381. {
382. "message": "Exception reported at offset 0x19699 in cuckoomon itself while accessing 0x25d600 from hook RtlDispatchException"
383. },
384. {
385. "pid": 2928
386. },
387. {
388. "message": "Exception reported at offset 0x1969b in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
389. },
390. {
391. "pid": 2928
392. },
393. {
394. "message": "Exception reported at offset 0x1969f in cuckoomon itself while accessing 0x25d604 from hook RtlDispatchException"
395. },
396. {
397. "pid": 2928
398. },
399. {
400. "message": "Exception reported at offset 0x196a2 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
401. },
402. {
403. "pid": 2928
404. },
405. {
406. "message": "Exception reported at offset 0x196aa in cuckoomon itself while accessing 0x25d608 from hook RtlDispatchException"
407. },
408. {
409. "pid": 2928
410. },
411. {
412. "message": "Exception reported at offset 0x196ad in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
413. },
414. {
415. "pid": 2928
416. },
417. {
418. "message": "Exception reported at offset 0x196bd in cuckoomon itself while accessing 0x25d60c from hook RtlDispatchException"
419. },
420. {
421. "pid": 2928
422. },
423. {
424. "message": "Exception reported at offset 0x196c0 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
425. },
426. {
427. "pid": 2928
428. },
429. {
430. "message": "Exception reported at offset 0x19bfc in cuckoomon itself while accessing 0x25d5f0 from hook RtlDispatchException"
431. },
432. {
433. "pid": 2928
434. },
435. {
436. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
437. },
438. {
439. "pid": 2928
440. },
441. {
442. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x25d5f4 from hook RtlDispatchException"
443. },
444. {
445. "pid": 2928
446. },
447. {
448. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
449. },
450. {
451. "pid": 2928
452. },
453. {
454. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x25d5f8 from hook RtlDispatchException"
455. },
456. {
457. "pid": 2928
458. },
459. {
460. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
461. },
462. {
463. "pid": 2928
464. },
465. {
466. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x25d5fc from hook RtlDispatchException"
467. },
468. {
469. "pid": 2928
470. },
471. {
472. "message": "Exception reported at offset 0x19c07 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
473. },
474. {
475. "pid": 2928
476. },
477. {
478. "message": "Exception reported at offset 0x1967e in cuckoomon itself while accessing 0x25d678 from hook RtlDispatchException"
479. },
480. {
481. "pid": 2928
482. },
483. {
484. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x25d67c from hook RtlDispatchException"
485. },
486. {
487. "pid": 2928
488. },
489. {
490. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x25d674 from hook RtlDispatchException"
491. },
492. {
493. "pid": 2928
494. },
495. {
496. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x25d670 from hook RtlDispatchException"
497. },
498. {
499. "pid": 2928
500. },
501. {
502. "message": "Exception reported at offset 0x19699 in cuckoomon itself while accessing 0x25d630 from hook RtlDispatchException"
503. },
504. {
505. "pid": 2928
506. },
507. {
508. "message": "Exception reported at offset 0x1969f in cuckoomon itself while accessing 0x25d634 from hook RtlDispatchException"
509. },
510. {
511. "pid": 2928
512. },
513. {
514. "message": "Exception reported at offset 0x196aa in cuckoomon itself while accessing 0x25d638 from hook RtlDispatchException"
515. },
516. {
517. "pid": 2928
518. },
519. {
520. "message": "Exception reported at offset 0x196bd in cuckoomon itself while accessing 0x25d63c from hook RtlDispatchException"
521. },
522. {
523. "pid": 2928
524. },
525. {
526. "message": "Exception reported at offset 0x19bfc in cuckoomon itself while accessing 0x25d670 from hook RtlDispatchException"
527. },
528. {
529. "pid": 2928
530. },
531. {
532. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x25d674 from hook RtlDispatchException"
533. },
534. {
535. "pid": 2928
536. },
537. {
538. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x25d678 from hook RtlDispatchException"
539. },
540. {
541. "pid": 2928
542. },
543. {
544. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x25d67c from hook RtlDispatchException"
545. }
546. ]
547. },
548. {
549. "Description": "A document file initiated network communications indicative of a potential exploit or payload download",
550. "Details": [
551. {
552. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xecy\\x0b7\\xf8b\\xd0/\\xba\\xa7\\xc0\nes|\\xfb\\xba\\xfc\\xf1d.\\x8ai-\\x08,\\x8did\\x9e\\x92t\\xe4\\x15y\\xeb\\xa5\\x00\\x9c\\xa2\\x91b\\xcc\\x1ecw\t\\xd5u\\xe8>\\xbd\\xb5\\xaa\\x9e\\xbc\\xee\\x9en\\xec\\xcce\\xee\\x8d\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xc8}\\x85\\x04\\xd6\\xc9\\x02>\\x8b\\xf3-\\xb2\\xbe\\xcd\\xef\\xc4\\x9f\\xe4.\\xd8\\x9cf#\\x97\\x01\\x9f\\xed\\xafi\\xfd\\xfc\\xcf\\xbf\\x96k\\xdc\\xff\\x8b\\x1e?c:\\x9f#\\x9e\\xdd\\xbc\\xa8"
553. },
554. {
555. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01p\\x05\\xf4ac\\xb7\\xde\\xa08\\xde\\xfc\\x97\\xc9\\x0ep\\xbd\\xb3\"\\xc7\\x8f\\x113\\x8b\\x94\\xf9\\x834\\xd5x\\x04\\xc7l\\x10\\xd6g\\x1d}\\xee\\xb3\\d8\\x1a\\xf3\\x1e\t3t\\xc0{#u\\xfehk$\\xfek\\xd11m\\x02\\xc3\\xc8\\x0euna\\x06\\xe8\\xe2\\xf0^\\x86\\xef\\x9a\\x8df\\xb3r\\xa8<\\xf9\\xd6\\xfc\\xc4,\\xf3\\xe0q\\xcb\\xb87\\x02\\xac\\xca\\x93t\\x8b\\x124\\x91e?z\\xfba)\\x0c\\x95\\x9f\\x9b\\xbc\\xa1-\\xa7\\xf4{\\x9b\\xf7\\x82n\\xcb\\xa2\\x9c#!#g^i\\xc8\\xadspx\\xc1l\\xf3yg\\xe0\\x14\\x1e)\\xca\\xd8gc?\\x1bzq\\x90}d \\x06\\xd8w\\xbbc\\xae\\xb7k\\x876\\xbb@\\xda\\x96\\x0b\\x83\\xcd9y^k\\xb1\\xa8o\r\\x8f\\xeag%\\xd1\\x12\\xe5s\\xd2f\\xb8\\x99\\xac\\xee\\x85\\xda\\xa5\\x80>a\\x88<\\xe5\\x1a\\xcb \\xe5\\xab\\xcd\\xaa\\xa1u4\\xfe\\xf8+\\x18g\\xb2l:\\x90@\\x9e]{\\xda\\xd9\\x10\\xed\\xaf\\x0b\\xcd\\x11\\xe3qk\\x0c\\xcb\\xc5\\xcd\\x96\\x1e}\\xb4qg\\x87\\xa13"
556. },
557. {
558. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00z\\x01\\x00\\x00v\\x03\\x01]\\x079&kq\\xa8\\xe0\\xb0m\\x8d\\xe0@*br6\\x9e\\xe9e\\xfb\\xdcr\\xe2/\\xdexe?\\x96no\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x005\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1c\\x00\\x1a\\x00\\x00\\x17odc.officeapps.live.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
559. },
560. {
561. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xdd(\\xa3\\xd76-h\\x19\\x95m\\xb9\\xb0\\xb5\\xc1\\x18\\xac\\x01<\\xect\\x1b\\xce\\xe2d\\xe1j\\x1e\\xb9\\x14y\\xe8\\x9f\\xffvcs\\xb7b\\x12\\xc3x\\xec\\xf0\\xca\\xb1\\xb0\\x8f\\x96ur\\xed>\\x8f\\xb6\\xbe/\\xc2\\xb7\\xc5q-;lw\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x83\\xfa\\\\xa5\\xf6\\xe4\\x95\\xa0\\x1c\\xd1\\x92\\x0ch\\xe1*a\\xd5\\xe5\\xf8\\xc8k\\xa9\\xacf\\x7f?f+y4p*\\x01e[*&\\xb2t\\xf2\\xd5\\xe5\\xa3\\x1b\\xb4\\xd5\\x18\\xa3"
562. },
563. {
564. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00~\\x01\\x00\\x00z\\x03\\x01]\\x079*\\xa1m\\xfdx\\xaf\\xa4\\x0cz\\xfa\\x80\\x80\\x19k\\x98\\xed\\xca\\xcbja\\xdd\\x99=9j\\x93j\\xe0\\xc0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x009\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00 \\x00\\x1e\\x00\\x00\\x1broaming.officeapps.live.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
565. },
566. {
567. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01p\\xde\\x99\\x80b\\xc2\\xac\\xd5\\xfd\\xfc\\x1f\\xa4i\\xf3lk\\xf5\\xe5\\x19{\\xae\\xd0\\xc4 \\xc1ocj\\xc5\\xe64\\x00\"\n\\xc0\\x17\\x89\\x9b\\x02\\xaf\\x8e\\xda\\xee\\xc6'7\\x0f\\x06@u\\xd9\\xfay\\xbe\\xf4\\x8d\\x81k\\xe2wh\\xc0\\\\x90\\x8aw\\xff\\xc7\\xc1\\xe1\\xb7\\x86j(\\xde%kz\\xe2\\xee\\x13m\\xb6m\\xfe\\x0ewzo\\xef\\x1fh\\xda\\xd5\\x9em\\xf9\\x93\\xd7yz\\x1cq/^\\x189\\x82\\x1f\\xe5\\x7f\\x19 \\x7f\\x83\\x03\\x1a\\xa0\\x0c\\xad\\xb0u\\x1f\\x05\\x02\\xce\\xa2@\\x07s\\xad\\x1a\\xa4s\\xbb\\xec\r\\x86i\\xdf\\xe8\\xe6\\x15h\\x85/\\xa1v\\xaa\\x121\\x04\\xaa\\xa5c$\\xd5@j >\\xac/+7:\\xf2\\xde\\xa9\\xc7g\n\\xa4wl\\xdc\\xa1\\xde\\xd8\\xa9z8\\x02\\xbf\\xc6\\x93\\xd6\ra\\xfed4\\xb4t\\xee\\x83\\xdb\\x9al\\xbe\\xc9\\x8a8\\xc8\\xca\\xf3\\xd6\\xfd\"@\\xddlct\\xb4\\xea\\xfcv\\x84e>6\\xae\\xa8$v\\xf34\\x0e\\xd3\\xbd\\x17\\xa2\\xbem\\x82\\xef\\x18z\\x8b\\xaa^\\xc3\\x18\\xb2;\\xbfg\\xa0t\\x0f\\x99"
568. },
569. {
570. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04nv^\\xfeb\\xc2^\\x98\\x92\\xbf\\xdcm2\\x8b\\xdb\\xf5z&\\x0cv\\xfd\\xdcw\\x8f\\x0b\\x83_\\xc2^ \\xa1a#`\\xaar\\x86\\xaa\"\\xa8\\xa8\ntt\\xd2,\\x0b\\xeca\\xfc\\xc0\\xff\\xdc\\xe9\\xa1c\\xed\\xca\\xef\\xc3\\xb8c\\xfdb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8b>\\xcde\\xf7[|\\x9d\\xe0x\\x0f,(w\\x8d\\xed\\x8b\\x04|}:\\xad\\xd3!yy\\xa8go\\x17d[\\x95\\x8d\\xa3\\xd1}jishm\\x81\\x1a-\\x8e6d"
571. },
572. {
573. "http_request": "winword.exe_WSASend_get /mfewtzbnmeswstajbgurdgmcgguabbtbl0v27rvz7lbduom%2fnyb45spuewqu5z1zmijhwmys%2bghunoz7oruetfaceai4elabvpzalrznpjlrv1u%3d http/1.1\r\ncache-control: max-age = 89056\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: fri, 22 mar 2019 18:30:24 gmt\r\nif-"
574. },
575. {
576. "http_request": "winword.exe_WSASend_get /mfqwujbqme4wtdajbgurdgmcgguabbrpc1vzt9qvn7bzy3iidtbhla4mkqquwiif1tycsck3fd7%2fhijo5ox%2f%2bn0ce3saagyvv14%2fmepdgh0aaaaabk8%3d http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: sat, 23 mar 2019 17:46:18 gmt\r\nif-none-match: \"dd54d75d468"
577. },
578. {
579. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00y\\x01\\x00\\x00u\\x03\\x01]\\x0792\\xd6\\xf5\\x8c8*\\xb3\\x81\\xf2\\x86q\\xd9\\x96\\x88`\\xeb\\xdd\\xaa\\x04\\x96\n\\xc5\n\\x14q\\x8e\\xc5{\\xe2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x004\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1b\\x00\\x19\\x00\\x00\\x16crm.theberriesblog.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
580. },
581. {
582. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01p\\x8b\\xb2\\xf3\\xfe\\x82\\x02\\x8d.\\x16\\xee\\xe9m<o\\x04\\xeb\\xc6\\xdc\\xc8\\x12n\\x01\\x8b/\\xa21\\xd4\\xc1\\xe5icv\\x15\\xde\\x96u\\x0c\\xb6az\\x91\\x19\\x03\\xe9%[\\x95\\xf9\\xf8\\xd0\\x94\\x10\\x92\\xd2&\\x92\\xa4\\xfd\\xed\\x9b\\xd3\\xad\\x85\\xc3:&^fp\\xff\\xff9\\xc3o\\xf7\\xd5\\xba\\xfa\\xf0\\x8f\\xa1\\x85\\x9e\\xe9\n*\\x7f\\x96\\x98<\\x0eg\\x1ca\\xdd\\xe0$\\xb4'w\\xf0\\x1f\\x08u\\xf0si\\xd0[\\xdb\\xe1\\x11\\x883\\xe8\\x04\\xc6\\xfbh\\x10\n^\\x12l\\xffq\\x9d\\xfd.\"\\xb6\\xa2c\\xb57\\x8a\t\\xad%\\x11\\xc9\\xa6#\\x14\\xcef\\xa8\\xf4\\x83\\xec\\x1e\\xd7\\x8fn9\\xdasg\\x95\\xc1\\xec\\x9ct\\xb9`\\x1d\\xc8\\x9e\\x0e\\xe0\\x99^\\x18\\xd1\\x93y\\xb6h0\\xdd\\xd9\\x88\\x00\\xce<\\xcba;y\\xfcj\\x0418\\xc3\\x05\\xf0+\\xea@\\xd8\\xe6\\x8d\\xfd\\xd0{\\xbfk\\xbd\\xe09\\xfc\\xc7n<mn\\xe5\\xdd<~\\xd2\\x07\\xf0a~\\x9b\\xdec\t\\xc0\\xfb\\xcc\\x92\\xb1q\\x8a'8\\xaa \\xb1\\x89-\\xc3\\x0el\\xbf0\\xa3z"
583. },
584. {
585. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x02 \\xf5\\x00\n\\x81qzem\\x1e\\x96y\\xde\\xd0zj\t\\x13\\xf7\\xdb\\xcck\\xa4\\xe0\\xcat\\x96d\\x0e8\\xf1\\xc4\\xf3&-\\x0c(p@\\xd6=\\x17\\xc4\\xe4\\x7f\\xff\\xf9\\xd1\\xec\\xcb%\\xbc\\xce\\x93d;qoh\\xee.\\xf3~wu\\xb8jzmqzt\\xaf\\x91\\xbdzn\\x06)|\\xb9#\\xcf\\x8ex\\x92\\x1ff\\x91\\xf5\\xd2\\xc9\\xa83\\xa6\\xee\\xff\\xea\\xce\\x88\\x19&\\x118\\x06n*\\xbci!n\\x07\\x03\\x93\\x9c;\\xab\\x06\\xaa \\xa7\\xbanw\\xebk\\x9e\\xa8\\x12\\xd4\\xec%\\x80\\xd0i*\\x8f\\xa6\\xe0\\x11\\xec%&\\x14\\xe2\\x90\\x8d\\xbc\\xc8\\x881\\x1c\\xf2\\xdd\\x8fu\\xa0d\n\\x16hb(n\\xe390\\xd8n'fe\\xb2,\\xa3<\\x17\\x96m,\\x1a\\xae#\\xdc'[\\xa0u\\xac\\xf8of\\x97w\\x8c\\x13\\x9a\\xfc\\xdcb\\xfc\\x9d\\xa3\\x90nw\\xcaf\\xc33\\x01\\xd4cl6\\x1f\\xfca\\xc5g\\xf4\\xfc\\xbd\\xb3\\x17\\x80\\xd1\\x87`\\xd8a8g\\xb4\\xd0\\x17wp\\xd7m0'k@+\\xdbe\\xa4\\x05\\xec\\x014"
586. },
587. {
588. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x01\\x06\\x10\\x00\\x01\\x02\\x01\\x00\\xbe(d\\x10xb\\x91\\x19#e\\xefb]\\x88\\x9d\\xd5\\x18\\xe1\\xd8n\\xdfc0\\xda\\x11\\x0e\\x91*u\\xcd,l\\xe5\\x8e\\x1cvs\\x8d\\xe2\\x9c\\x7f\\xd7\\xa7\\xf7\\xb4*\\x9d\\x9d\\xb6\\xea|\\xf2\\xdd,\\xdd\\x0be\\xcd\\xfc3\\x9c\\xa4\\xb87\n&n\\xb40#\\xbf\\xf7\\xe3\\xdf\\x04\\xaax\\xf2\\xc2\\xe6\\x13\\x91\\x9f\\x03\\xf1jy\\x10\\x99\\x9e\\x18\\x9c\\x1f\\xfb\\x9fs\\xf2z\\\\xf6\\xa2\\xf5\\x1f\\xfe\\x00&\\xf4\\x8e\\xb3s\\xb9\\x9f\\xd1$\\x06\\xf5\\x14\\x92ue\\xadj87w\\xac\\x94\\xd5qu\\x98\\xa9\\xa9\\xae\\x83\\xcb\\xdd\\x9be\\x8e[x\\\\x07>\\xc6z\\x1b\\xbc\\x0b\\x1c\\xd4\\x93a(\\x82\\xe6m\\x0c\\xbaw6u\\x87\\xb1\\x1f\\xc8\\xd9\\xfe\\x11&o\\x8du|\\x0f\\x03\\xc7\\x89l\\xbc\\xce\r\\xa4\\xb0\\x8akqr<*\\xc2\\x0c\\xc9xw[i\\xd8f\\xde3\\xaa\\xb7\\xcby\\xb5\\x92\\x8d\\xd2\\xf0x\\xde\\xf7\\xb4\\xc6&p\\xd7\\xad.dk(\\x9c>\\xd1\\xa3$g\\xe1\\x86\\xc0\\xa8\\x8d\\xbb\\xb0\\x9b>b\\xdc\\xb8a+\\x9b"
589. },
590. {
591. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00y\\x01\\x00\\x00u\\x03\\x01]\\x0795\\x04\\xeb\\x02\\x8d\\xb7\\x1bf\\xa6?`\\x00\\xd3\\x0c\\x8a~`\\xfe\\x9f\\x06\\xdci\\xe0\\xfc\\xa1o\\x12\\x95\\xe5\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x004\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1b\\x00\\x19\\x00\\x00\\x16crm.theberriesblog.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
592. },
593. {
594. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x01\\x06\\x10\\x00\\x01\\x02\\x01\\x00\\xb2\\x9a\\xda\\xb8%\\x08\\xac%\\x9d\\xd2\\xa4\\x1d\\x86;n\\xd8\\xc6x~\\xce\\xb6\t=\\xe7\\xfb\\xb5\\x97\\o\\x17\\xd8n\\xbf-d}y\n\\xc7j1\\xc6\\x86\\x1b\\x07\\x98q\\x95\\x13h}\\x08c\\xd3\\x92\\x19\\xc1uw\\xf7\\x93w\\x0f\\xae\\x11\\xfc~\\xd7\\x08\\x0bf\"\\>\\xa2\\xb8e9fr\\xd5\\xd7\\x01x\\xb0\\xde\\x01\t|`^\\x82v\\xe0$p4n\\x03[\\xc0v\\xbbh-2d\\xda:/\\x8c\\xa8\\xce\\xb2c\\x8c\\x04\\x91\\x98d\\xc2v>_\\xae\\xf9\\xa4\\xe94\\xb5\\xcbx\\xf6=\\xc8h\\x19\\x18\\xfcf\\xe4i#\\x97\\x7f2\\xc9xt\\xd6\\x19\\x91\\x84\\xd7p\\x05\\xe1mzz[\\xda<\\xc0\\x1e\\xe0\\\\xfcf\\xa7\\xe7=\\xb5\\xe7\\xc6\\xe1\\x87\\xa8)\\x05\\xee\\x10\\x04\\x19\\xef\\xb7\\x1d\\x10\\_!x\\x1d\\x88r\\xe2bdo\\xdanj\\x08n\\xe8\\xbcl\\xb9\\xf8sg\\xec\\xb6\\xba\\x96\\xac\\xaa\\x85c0\\x93u\\x9a<q\\xf8\\xa9?\\xb2\\xb3y\\x9e*n\\xb9\\x89u\\xd9\\x03\\xa9j\\xbemdl"
595. },
596. {
597. "http_request": "winword.exe_WSASend_get /roots/dstrootcax3.p7c http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nuser-agent: microsoft-cryptoapi/6.1\r\nhost: apps.identrust.com\r\n\r\n"
598. },
599. {
600. "http_request": "winword.exe_WSASend_get /msdownload/update/v3/static/trustedr/en/authrootstl.cab http/1.1\r\ncache-control: max-age = 86402\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: fri, 22 feb 2019 16:53:13 gmt\r\nif-none-match: \"80e22c19cfcad41:0\"\r\nuser-agent: microsoft-cryptoap"
601. },
602. {
603. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x00\\xf0\\x86.y\\xb6\\xc3\\xdam1\\x9c\\xb4\\xe5\\xadi53\\xfc<vn\\x8d\\x83\\xf8\\xac\\x11\t\\x907*\n+g\\x7f\\xa26\\xea4#\\x10m\\x90\\xbd\\xeai\\x8e\\x08r\\xf6\\x99\\xbd\\xd1\\x10\\x10\\xdc\\x08p\ts_\\x9c\\xc0\\x02\\xb72\\xbe\\x12\\x02\\xdf\\xc2\\x98\\xd8\\xd6\\x8b\\xe7\\x16\\x0c\\x06\\x90\\xb89\\xe8\\xf0o\\xf7\\xd5\\x86^\\xe6\\xaf\\x83\\x0f\\x1c\\xf4\\xdb\t>\\xb3\\xb4\\x05\\xada~\\x92\\x9fc}\\xae\\x7f\\xfexr\\x87\\x118\\xc3\\x11c\\x90l\\xda\\xe9=\\x125\\x83v\\x9b\\xd7\\xd4\\xa0\n\\xa7\\x12\\xbc!9\\xbb\\xaag\\xe97\\xe2\\xdf\\xf0\\xe1{:_\\x187\\x7f\\xd2\\x18x\\x0em9\\x9c\\x14\\xfa\\xe8\\xda\\xc6,ka\\xab\\xb8ay\\xe4\\x9e<\\xec^{%\\x87h*\\xec\\xd9\\[nr\\xb1\\xf8k\\xdai\\xee\\xa9\\x8d\\xec\\xb0\\x8d\\xb76\\xfd\\xad0\\xf4\\xda\\xac*\t\\xcc\\x1d\\xf4u\\xe4\\x87\\xc9l\\xd7%\\xfc\\xbe[\\xbc&\\xd1\\x982\\xbe\n\\xae\\xcc\\x18n\\x87\\xa8v\\xe2\\xe9\\xa5\\x034\\xfc<"
604. },
605. {
606. "http_request": "winword.exe_WSASend_get /file/crypt_2_7000.exe http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\naccept-language: en-us\r\nuser-agent: mozilla/4.0 (compatible; win32; winhttp.winhttprequest.5)\r\nhost: storage.alfaeducation.mk\r\n\r\n"
607. },
608. {
609. "http_request": "winword.exe_WSASend_\\x15\\x03\\x01\\x00 \\x17\\x9b2\\x8b\\x12\\xfb7\\x8d0_r\t\\xcef*\\x14a\\x11*q0y[d\\x18gz?j\\x13\\xbe["
610. },
611. {
612. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00}\\x01\\x00\\x00y\\x03\\x01]\\x079?\\xdb_\\xfc\\xca\\xdc\\x9a\\xd0\\xdbze|\\xb3\\x8e\\xcc\\xec\\x87\\xf0\\xef\\x90@\\xfd\\xc7\\x08\\xc3)\\xaf\\x16\\xc3\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x008\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1f\\x00\\x1d\\x00\\x00\\x1atemplateservice.office.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
613. },
614. {
615. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04?a$i\\xb9\\x8a\\xe3\\xb3\\x82\\xed\\xb5v\\xb1\\xef\\x05\\x9a\\xe4\\xa8\\xf4\\xd2i\\xd7\\xf4;q*e\\xdd_na\\x9d\\xd8\\xc1\\x9e\\xcc/\\xcc\\x08\\x9bb3\\xe4\\x81\\x08\\xf9\\xad\\x11\\xa3\\x01t'\\xd5\\x7f\\xb24_\\xe4\\x03\\xcc\\xa9z\\x8c\\xaa\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xfa|'\\xc3`\\x1a\\xbf\\x98uu\\xea\\xc3\\x8at\\xdf\\xb7q%l\\x90\\xda\\xc5_\\xeaz\\x07\\xaa\\xb1g\\x7f\\x8f\\x95\\x0b\\xe7!\\xa1x\\x10yv\\x1f\\xc3[\\xaa\\xf9!\\x9as"
616. },
617. {
618. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01pirn\\x1cke\\x94\\xab\\x1d'$\\xd5\\xf7\\xf7\\xa6#\\xf5{\\xbb\\xd0\\x9a\\xc4f\\x0f\\xa8\\x7f\\xcdj\\xe9'\\x81r\\x14\\x98\\x8d\\x02\\x13\\xaa\\xcd\\xb6p\\xc5\\xe9yqy\\xe5\\xa5\\xdc\\xcb)*e6r\\x06y\\x8f2\\xf2\\x13\\xfe\\xbbr&0l\\x8b\\x81\\xe5\\xdb\\x1d\\xfe\\xc3\\xde\\x9a\\xd6\\x9b\\x7f\\x7f\\x0b\\x1c(f\\x98\\xde\\x1a\\xaf!\\x04\\xfc\\x00\\x86ab\\xfa\\xb5%\\xbd\\x87\\x86\\xb4\\xc8\\xc6\\x82\\x13\\xd3\\c\\x12\\xdc\\x98\\xf4\\xe6\\xb7\\xea\\xd4\\xea\\x9e\\xa2k\\xbf\\x11\\x99l\\xf6\\xe8\\xe0\\xe3w<g\\x0fq\\x9e&\\x03lg!\\xb49\\xb55\\xd0\\xa3w.\\xee\\xff\\x8f\\xf7\"\\xa8\\x8e\\xe1\\x93\\x8c\\xae>\\x14m\\xdau\\xda~\\x93rb\\xbep\\x1b\"u\\xd23<\\xa2s\\xe8r\\x0f\\xcb\\x14\\x82u\\x1a\\x1b{\\xfe\\xe8\\xf3n\\x1f\\xff\\xef\\xc1i\\xcb\\x9e8s\\xa5!!\\x02^\\x0bvv\\xaf\\x97\\xa64\\x01\\x0c*\\x7f\\x9dza\\xad7\\xe8\\x9a\\x85\\x98\\x1b\\xf6\\xf4\r2,xuf\\x9b\\xaep\\x14lc\\xa8\\xd0\\xc1\\xc0\\x8a\\xdb\\x9c\\xdcm"
619. },
620. {
621. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p>\\xeal\\x1c\\xe3l,\\x12v\\x1a\\xe5a]j\\x83\\x9b=f)\\xe4\\x13\\xfd\\xf7x\\x93x\\xdb\\xaa\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
622. },
623. {
624. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p?\\xd2\\x07\\xb4\\xc6\\x1e\\x8a\\x9b\\x12\\xa0\\x14%\\x06\\x1a~\\x87\\x96}\\x06\\x8c*\\xd8\\x82\\x9a\\xb7\\xfe\\x1a*\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
625. },
626. {
627. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p\\xd5\\x07\\xa0\\xc1\\x8ec\\xca\\x06\\x00!\\xe8w\\x1au\\xbd\\xe3\t\\xe0\\xc07d\\xa9+!/\\x05]\\xaf\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
628. },
629. {
630. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p\\x14\\xa1\\x83\\xef\\x95w\\xff\\xd8\\x05j\\x81\\xcfh\\x82\\xfb\\xf9\\xac\\xa80x}\\xe4\\xc3\\x17\\xe6\\xa0\\x87\\xa0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
631. },
632. {
633. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p\\xa0\\x87d\\xee\\xe1\\x11\\xe1\\x99\\xa0\\x03z\\xa2\\x96\\xc54tu\\xdf\\xac\\xd1\\xc7_\\x89\\xc2\\xed\\xa6:\\xe4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
634. },
635. {
636. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079pq\\xe2\\x07\\xd9n\\xfa3\\x87\\xb2~\\xc1\\xd0z\\xde\\xdb\\\\x118c0\\x93\\xac}\\xc6l\\x16\\xdfc\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
637. },
638. {
639. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079p\\x03\\x8c\\xcdq\\xf9}rd\\xd1:\\xde\\xe8\\xa0\\xe82\\xc3\t\\x11\\xd7\\x84\\xf8p\\xb7\\x13\\xc1\\xb2tm\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
640. },
641. {
642. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079phc\\xff\\xad\\xf4\\x82\\xc1\\xb8x\\xb7x\\x8e\\xa8\\xce\\x05\\xf1\\xad\\x81\\xc5kl\\xe2\\xae\\xc7\\xb9\\x84c\\x97\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
643. },
644. {
645. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xb7\\x05\\x83/h\\x01;'f\\xff\\x96\\x06\\xc6\\xca\\x08\\xa0\\xd3\\x92\\xf7^b\\xbcu\\xb4\\x8e3\\x8a\\xfb2c5l9\\xfd\\x91\\xbcj\\xbfd\\xc2\\x81\\xcf\\x97\\xc7 \\x1c\\xe3\\xedi\\xb89\\xa9\\x87y\\xf5o\\xa4\\x13\\x93q\\x18|\\xfa\\x0b\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xd6f\\xca}\\xf2%\\x02\n\\x9c::x\\x88g\\x89\\xdf\\x05nn\\xd8\\x9c\n\r\\xf7\\x88\\xfd\\x19~8\\x82r@\\xe05bsxl\\xa3\\xaa\\xa7\\xdb\\xff|\\xfa\\xb4\\x01q"
646. },
647. {
648. "http_request": "winword.exe_WSASend_r\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x043k\\xd63\\xec.\\xa5\\x85\\x07\\xadd\\x06k\\x05\\xa0\\xe21\\x8a\\xeb\\xabp\\xc6\\x00\\xd7bw\\xa82t\\xe7\\xbdp\\xc9\\xb7{\\xd8\\x8c\\x8b\\xf0\\xd8\\xf0\\x7f\\x862\\xbc\\xe0)\\xa3\\xfd_\\xbb\\xce\\xedm?[$\\xf6\\x8cd\\xcb\\xben\\xd5\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000=\\xdf\r\\xebkl\\xdf\\xae\\xdb\\x8fy\\x00\\x10^\\x94p,\\xbc\\x02\\x0f\tw\\x8b=\\xae\\xd1p\n\\x88#k\\xec[\\xb1j\\xa24\\x9f\\xd3\\x13\\xbf\\x8a\\x7fj\\x84\\xe2\\x7f\\x8b"
649. },
650. {
651. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04!\\xdb\\xf8\\xd19\\x96\\x1dj\\x98\\xf2\\xf2\\xack\\x8e\\xd4\\xe4\\x05\\xfc\\xd5\\x95f@\\x8a\\xdd\\x97j\\xa8\\x13?j\\x9c\\x9fn\t\\xb3\n\\xcb)\\x8a!\\x1c\\xb8\\xd1h\\xc6\\x12\\x18\\x8cb\\xbcc\\xb1\\xefa\\x96\\x0f\\x01u\\x1d\\xf7l\\xc2\\x9a:\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xf0\\x02\\x8e\\xae-\\xe8\\x07\\xbd\\x93\\x1f\\x82\\xc2\\xbe\\xa7k\\xc19\\xec\\xa6a\\xec\\xfbredt\\x0f0)j\\x13;\\x91_bl\\x15rq\\xe1\\xef\\xe5\\xa3\\x1c'\\x0c\\xe5\\x80"
652. },
653. {
654. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xea\\xb5\\xcc\\x17wc\\xaa\\xd2\\8\\xa8\\xc7,\\xe0\\xba}\\xc9k\\xf4\\xf6\\x16\\xb6\\xec\\xaa\\x14\t\\xc4y\\x14\\xaa\\xf3*\\xc5\\xd2h\\xa2\\xf5\\x11on\\x17\\x0c\\x9d\\xa6\\xc4\\xcf\\x85\\xcb\\xad\\xc9l!\\x7f\\xc4\\x04+\\x81\\x12\\xb6\\x97\\x8c[\\x12u\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xd2\\xe9\\x87\\xb4\\x0ea\\x977\\x89[\\xfc\\xc3\\x0b[\\x8f{\\xc1\\xc9\\xb0\\x1f\\xbc\\xdbm\\x96\\x0b\\xa21k@^\\x0ef\\x81q0c\\x8f\\x01a\\x86\\xb4\\xe3\\x19==\\x9d\\x17_"
655. },
656. {
657. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x048\\x0f\\x1a,\\xc87\\xd6\\xefh*\\xff#\\x0f\\xc0\\xae\\xf2\\x96*\\xb8b\\x87\\xc9\\xda\\x1f\\xf2\\x9f\\xc6\\x88!\\xc21\\xabl\\xb8\\xaar\\x08\\x85m\\xabso\\xbb\\xf77\\x8a.\\xe2&/|\\xb4\\xea\\xb1\\xd4\\x9f\\x84\\x82cd\\xfa\\x01e\\xde\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe5\\xbb\\xfdkk\\xa1\\xf0?\\xe4\\x97\\xfe]\\xeec?\\xebg\\xfa\\x9ez\\x0b\\x14\\xb7\\xc4\\xcb\\x06t\\x14u\\xb9\\xbdv\\xd9s^\\xc5j\\x92m&!x\\xa7\\x19\\xe8%\\x14?"
658. },
659. {
660. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x7fd5\\x14l\\xcc\\x00\\xea\\x16%9n\\xc2\\x9a\\x1dsjf~\\xb5\\xb8\\x01n\\xf6\\xf3\\xe1d\\x0fs\\x02[s\\xdf$h\\xde\\xe9\\xbe\\x84\\x87l\\x9a\\x8f5\\x04\\xfc\\xfd\\x1f\\xad\\x91\\xd3y\\xce\\xdd\r\r\\xaa#g=w4\\xce]\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xf8l\\xfa\\xe7g\\xc0\\x1c&\\xc3d\\x81o\\xed\\x06\\xed\\xd7\\xbcaw\\x86\\xe5u\\x13b\\x8au\\xf2\\xb8\\x1c\r\\x96\\xc5\\x1b*\\x02\\xf7\\xc6\\xec$\\xd8\\x13:\\xafpb\\xc1\\x97\\x99"
661. },
662. {
663. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x11pm\\x0e\\xfee\\xfd\\xfe|\\x93\\x8b\\x80\\xac\\xc1*\\xb2\\x1co\\x041l|m\\xd5\\x19z\\xcc\\x95\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
664. },
665. {
666. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x83\\x11uj\\xe9^\"\\xb6m\\xd4w\\\\xc8k\\xf4m3\\xd3a\\xe8y6\\xd1\\xf6\\x0f\\xc5\\xf5\\xd4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
667. },
668. {
669. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x0b\\x14\\x80\\x15\\x1fj\\x95\\xc0e\\x1fnw\\xcc\\xe0!\\xf0&|\\xde\\x17\\xd9[x\\x13\\x9c\\xf5\\xad\\xad\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
670. },
671. {
672. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xb4\\x02b\\x13h\\xc6\\xff\\x95\\xb8'\\xd5\\x17\\xc2j\\xac\\xd2%\\xec(\\x15\\x19\\xb0}@\\xa6\\xbc\\xa3\\x08\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
673. },
674. {
675. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x9dr\\x9b\\x91\\xbe<\\x82lgh\tj\\\\xc27h\\xe7kg\\xa1\\xcdz\\xd8\\xfds\\xb1\\x9dn\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
676. },
677. {
678. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xd6c&\\x0e\\xdd\\xcd2\\xdb\\xfd=ok\\x06\\xd3*'\\xad\\x8fb\\x89\\x1b]\\xf4\\xd0ki\\xe2\\xbf\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
679. },
680. {
681. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x9d\\x9c\\xbe\\x0e\\x837l\\x1c\\x9f2\\x90\\xd3\\x16\\x0e\\x18\\x98\\xaf\\xfe\\x87\\xf5\\x80\\x9a\r\\xcf\\x1df\\x19\\xbf\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
682. },
683. {
684. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xad\\x15@\\x10x@\\xa1v\\xaem\\xba\\x17\\xffok\\x95\\xa7\\xb8\\xad'\\x9b\\x11\\x03\\xca\\x13j\\x99j\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
685. },
686. {
687. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q?\\x86\\xd2\\x8f2_\\x1e\\xabc,\\xaf\\x90\\xb0m\\x0f?x\\x84ztz\\xab\\xef\\x1e\\x00at\\xde\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
688. },
689. {
690. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q!\\x1c\\x07\\xc2\\x88\n\\xecg>\\xc8\\x8b\\\\xdar`\\xf0\\xff\\x05\\x1b\\x14\\xc0\\x0fp\\xf5\\xd9}!\\xbf\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
691. },
692. {
693. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x12r\\x8ce\\xccs\\x7f\\x08\\x05%\\x96\n\\x00\\x88\\xd5\\x19\\xf21\\xca\\xf6\\xf5\t\\x80*b=\\x1fh\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
694. },
695. {
696. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xf6\\x81^<\\xb4\\x11\\x05\\x8en>\\x80\\xc9c\\x8d\\xcb\\x8f\\x9f\\x10\\xee\\x12\\xb3\\xdbo\\xcb\\xb1;3\\x9a\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
697. },
698. {
699. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x0e\\xbc\\x8f\\xbd\\xb0y\\x94\\x8a\\x84\\xfe\\xa9\\xeft\\x17\\x17\\xdb\\xa1\\x7f\\x18t~\\xd7\\x1f\\xd9o\\xaf\\x1a\\xf7\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
700. },
701. {
702. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xce\\xa6\\xa2\\x8b\\x9f?ata{\\xe0a\\xd2\\xab0\\x10\\xc8\r\\xa7w\\xf6\\x03\\x1c\\x1c\\xff\\x9e\\xb7b\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
703. },
704. {
705. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x8b\\x95\\x8d~\\xbf\\xd0\\xccl\\x01\\xe1\\xf7!l\\xfe\\xc1\\x13#\\xa7*6u\\xa3\\xff%o\\xd7\\xccwv\\xba\\x9a\\xdbku\\xcbrn\\x13\\xcbn.\\xb2'\\x9c\\xde\\xc2'l~\\x1df%\\x1ee\\x9dq>j\\xa0-\\x84\\xaf\\x95\\x12\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000-\\xd2\\x83\\x15\\x10\\x8fj`\\x8b2g\\xf6l\\xe0\\xb5c`\\xcd\\x9b\\xb53}o-\\xba\n\\xed=\\x9be\\xb1\\xe6 %\\xf59\\xf8\\x9ee\\x90s$\\xd9g^\\xf7\\x89g"
706. },
707. {
708. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q%\"\\xc2\t\\xb4\\xa6\\xca\\xdf\\x95x\\xf7\\x9a\\xa2\\x10\\xdf%\\x9a\\x99-\\x83rg\\x11\\xee\\xaag\r\\x8c\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
709. },
710. {
711. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x82\\x0b\\xda\\xf5;l4u@\\xf8fc\\xf5\\x88\\xa4\\xabb\\xf2\\xack{\\xd56\\xfa\\xbfh\\x85m\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
712. },
713. {
714. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xfd\\xd5\\xa60+\\xc1q\\x03\\xff\\x10\\x9e\\x99\\xaegh>\\xa4@\\xf3\\x0cb\\xca#\"\\xba\\x0b\n\\xc3\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
715. },
716. {
717. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xe8\\xcduyn*\\xd2\\x9e\\x1dp\\x92\\x83\\xf5\\xd5a\\xf7n\\x1e\\xf6\\xa6v&\\xf4r\\x83$l\\x91\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
718. },
719. {
720. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x0b\\x92c\\x1a\\x15\\xdb'\\xcf\\xa0s\\xa7\\x06*\\xea\\xe9\\xd4 jx\\xfa(\\x9a\\xac\\x15\\xb6\\xf3\\x00u\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
721. },
722. {
723. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x0c\\xa0b\\xdb^w\\x12\\x98\\xa2~)\\x19\\xd7\\x94\\x9c\\x98\\xc5\\x81n\\xb4w\\x0e\\x10\\x07\\x85u\\x96\\x91\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
724. },
725. {
726. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x82\\xcas&\\xade\\xfd\\x13\\xf0_\\xf6(a\\xca\\xbe\\x063dzk\\xe6\\xce\\xb4-((\\x80_\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
727. },
728. {
729. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q-\\x9e_j\\xd6\\xd3\\x82\\xc0\\xc4\\xea\\x07\\xb5\\xd9\\x962\\xe9\\x19\\xaf\\x96w?bjd\\xc2\\x08\\x9d!\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
730. },
731. {
732. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079qs\\xd6\\xd1\\xdc\\xc6\\x88,p\\x84\\xef\\xff\\xfb\\xfe\\x1f\\xad{,f\\xff\\xfff)\\xe1\\x14 ibq\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
733. },
734. {
735. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xff\\x81q\\xef,\\x99\\x0c\\xac\\x05\\xc6j{\\xf1t\nd%\\x95\\x07m\\xb9u\\xfe\\xaa\\xba\\x10\\xfbd\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
736. },
737. {
738. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079qpg\\xc1\\x82q\\xcd8\\xea\\x07\\x8c/:7$\\xd9\\x11q\\x12p\\xfbi\\xcd\\x16\\x85\\xe1]\\x02&\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
739. },
740. {
741. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x05\\x1d\\xf8\\x91p\\x19\\xd2p\\x0f\\xe6j\\xd9\\xa12\\xfc\\xd7\\x8e\\xa8\\x0e-\\xc4~\\xd1e>\\xbf\\xf7d\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
742. },
743. {
744. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xcc\\xaf\\xce\\xdd\\x97\r\\x96|0\\xc9\\xe7\\x92\\x84\\x0c\\x91\\x1d\\x11\\xb4l\\xbd\\xf9\\xc2\\xab}\\x81=\\xe4\\xcb\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
745. },
746. {
747. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079qe\\xca\\x9a\\xac69\\x18\\x9d\\xb3\\x90\\xa4\\x12\\x10)\\xcc\\xbe\\xbb\\xee[^\\xf4$\\xad\\x01&\\x9a\\xa9\\xca\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
748. },
749. {
750. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q:\\xf8b\\x00c\\x9es\\xc1\\xa3.ng\\x89d\\x06\\xc9b\\xbcr o=\\xdd1\\x7fx,\\xd2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
751. },
752. {
753. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xc2\\xe8.\\xbb\\xe6\\x86\\xf4bmh9\\xba\\xf3\\xa3\\x0b\\x80\\xdew\\xd1\\xa0\\xe4x\\xccc\\x13\\x0c\\x13\\xc0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
754. },
755. {
756. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\"\\xc3\\xbd\\x8d\\xcf'\\xfd?\\xf8k.\\xa3q\\xfa\\xab\\xadk?\\x14\\xa2\\x0f\\x89^\\xb22.f\\x86\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
757. },
758. {
759. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q^pf\\x89+s\\x98\\x1b\\xdc=k\\x84\\xe1\\xc5p\\xb6\\x7f\\x1c\\xd3 \\xdf\\xa1\\xc5$@\\xd3\\x9e\\xcd\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
760. },
761. {
762. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079qedk\\xacl\\xef>\\x13\\xcd\\xd1}x\\xf0\\x9ey\\x07v\\xb57@wug\\xea\\x10\\xc6#$\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
763. },
764. {
765. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xcc\\xe9\\xc40\\xf4\\x14\\xd2\\x08k\\x00\\xf6\\xfd\\xdb*n\\xca$f\\xcd[[;pj\\xe7\\xaa\\x7f|\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
766. },
767. {
768. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x80\\x93\\xa0\n{^\\xf7\\x8e\\xf2\\x08\\x0c\\x02\\xb9img\\xc1\\x874\\x0e\\xe5\\xaa\\xb9\r\\x16x\\x1ay\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
769. },
770. {
771. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xdc\\xa2\\xec \\xb3#\\x97\\x964\\xbe\\x86\\x9am\\xf5\\xcf\\xf5^x\\xaf\\x91.3\\x88\\x0e\\x1e%t\\xd2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
772. },
773. {
774. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\x07\\xbd\\xfc\\x9a\\x9e#\\xe9a\\xa0\\x00\\xf3\\xf9 >\\xb1\\xf9v\\x94@b\\xf4\\xe6\\xc02\\xa4\\xc0\\xef\\xdd\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
775. },
776. {
777. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079q\\xa5\\x87\\x08\\xac\\xd4\\xd69\\xd8\\xde\\x19\\x94\\x8d\\x0e\\x9d\\xd2\\x8f\\xc6\\xcf\\xf7\\xe3\\xaf\\x1c\\xaef5\\xb1\\x96\\xd2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
778. },
779. {
780. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r\\x16]\\x0bo\\xa9sb\\x99\\xc9\\x1d\\x0cx\\xcd\\x8d\\x13\\x86\\x9f\\xe6\\xaa\\x7f\\x1a\\xea\\xb6w\\xea\\xa9\\xf3\\xbb\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
781. },
782. {
783. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r\\xd9g\\x1f\\x99\\x01}xu\\xb9\\x10=v\\x8b\\xe7\\xd5\\x18\\xbd\\x84\\x0c\\xefp\\xcb-[\\xe1cx\\xf4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
784. },
785. {
786. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04)\\xf5a,\\xe8\\xf2\\xb7\\x06\\xc5l\\x8c\\x1c@\\xfb\\xb1e_\\xf8\\xe5\\x1c+'\\x15&\\x8c\\xa8`~\\xb5\\xe3z\\xc9l\\xe0\\xdc\\x9b\\xd9\\x86\\x89q\\xde4\\xa2\\xedy\\x18\\xc6\\xb6\\xd9p\\xa8\\xc4\\xb9\\x8b&\\x06\\xa4\\xb9w\\xd7\\xd4o\\x94\\xbe\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8e\\xd0\\x99\\xde\\xfe\\xd9\\xe1\\xff_\\xeajl\\x86\\xfd\\x87`\\x9c\\xf6\\xcb|\\x02\\x1et$\\xeb\\xdd'\\xd5d\\xc0\\xfa\\xa9y\\xf0\\x82\\xa5:\\x919\\xa2\\xfb\\xa4\\xba\\x8cp\\x1fa="
787. },
788. {
789. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04>\\xd8\",l\\xf9b\\xa3w:nj\\x94q\\xfb5\\xf1\\x03\\xe4k\\x83\\xc1\\x90\\xb9\\xd3\\x0b\\x87\\xcew\\xf9\\x00:\\x87\\xbc\\xc1\\xd8a[v]\\xefr\\xbf\\xad\\x13o\\x1f\\x1cd\\x9d\\xa9\\xbc!!\\xa43\\x84\\x9e\\xce\\x16\\x11\\xd3\\xb1\\xf6\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xf9us\\x0b\\x07\\x95\\x860lrtd\\xc8\\x9d{f\\xa4zx\\xact\\xb3\\xe9jf\\xd9\\xe3>f2\\xdb\\x16j\\x80\\xa4k\\xc4\\xcb\\x1e$\\xe9k\\x06\\x80\r\\xca\\xba\r"
790. },
791. {
792. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xfbzdb\\xed\\x02\\xc5#up6\\xc2\\xdc\\x00,\\x9fx^f\\xc7\\xe2\\x18\\x1a\\x02@@{]\\xa8g]`\\x98di\\x92\\xd6ly\\xaa#\\x0f%\\xca\\x0c\\xdfh`.v\\x02z\\xa5\\xfe\\x95f\\x87\\xaa\\x88p\\x0e+t[\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x9a\\xe2jt\\xc5\\x11\"]9_^\\xd1\r\\x8c\\xec*\\xa4@\\xe8\\xac\\xcd(%m\\xef\\xfa8\\x1f9\\xd5-\\xec\\x8c\\x9d\\xea\\x12s\\x83]\\xf5\\x8c\\xa4\\xd8\\xf4ur\\~"
793. },
794. {
795. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x042lu\\xd8y\\x9a\\x8f\\xc4\\xd0m\\x06\\x84k\\xf5\\xb3\\xaf\\x17\\x91\\x04\\xfa\\xf5?e\\x1fh \\x87\\xe9\\x0e\\xc5c\\xde*\\xab\\xed\\x92\\xa4\\x81\\x1e\\xe5\\x7fl.\\xb8\\x18\\x95\\xf6\\x07cka\\x05u\\xfd\\xa5s\\xb7\\xdd\\xdbi\\x91~\\x98\\xb0\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000x\\xad\\xd8\\xf5\tl\\xbdg84\\x11\\xb71on\\xa6\\x89\\xe6\\x9d\\x8e\\xbd\\x13p3\\xde0\\xe2\\xab=\\x9ee\\xfet\\xcd\\xed\\xe2cjo\\x88m\\xc0ez{500"
796. },
797. {
798. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\t\\x13\\xf0\\xefd7\\xe7\\x97\\xf6\\xd9\\xb9l\\xd8~e\\xc5\\x1d\\x8a\\x03g\\x0b\\xc2\\xf0\\x1a0i\\x04\\xd9q\\x01\\x177jz\\xb9\\xfe\\x828\\xdap\\xc3\\xa3\\r\\xaajo1\\xb5\\x16\\xa4\\xf2g,}\\x0bc\\x06<e\\xecn\\xa7\\xcb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x0002z\\xa8\\x14!l:\\xe9\\x00\\xa7p3l\\xf2\\xa3 qj\ni\\x11\\x0f\\xbao|\\0tz\\x1c\\xad+\\xbf\\xca\\x1e\\x04\n\\xac\\xcank\\x12\\xcd\\xef\\xec\\xe5\\x07v"
799. },
800. {
801. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04c\\x8a4\\xccbne\\xf9k\\xcbr\\xccxc\\xb2\"\\xa4\\xb7!\\xe2n\\x8e\\x7f\\xe6\\x8a\\xf3v\\x11&\\x1bz\\xec&\\x0bbwa75\\x97\\xed\\x81c]0\\x18\\x1e\\x1a\\x99\\xf7\\x0f(\\xc7\\x16a\\xb5)\\x86\\x13\\xc0`}\\x19\\x84\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x96\\x8e\\xd0\\xb1\\xed\\x87_\\xe3\\xa3\\x99\\xaa\\xd7\\x91\\x0b\\xb3\\xaf{\\x91)\\x11\\xdb\\xfe\\x8e\\xa6x\\xb2\\xe4e\\xe5\\x19\\xc1\\xfc\\xf6m\\x82%\\xd1r\\xfe8\\xf5mi#ao\\xc73"
802. },
803. {
804. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04j\\xb5%\\xd8\\xfbi\\x9e\r\\x12n\\xd4r\\x86\\xdcx\\xc9\\xdd\r\\xaa\\xe6\\x8a\\xec\\xef\\xb4\\xa1\\xaa+\\xa3\\x9c\\xe0\\xff*\\xfb\\xea\\x82qh\\xb4\\xcf\\xe7z?\\xf4,\\xde\\xe9b7\\xaa\\xa7=y\\x9ex\\x02\\xaf\\x8f64\\xe8\\x10\\xb6\\xa7\\x0f\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000lo\\xbc\\x98kw-y\\\\xa5\\xd1/uh\\xae\\xf8!y\\x84\\xbb\\x11\\xd8\\xa7\\x9a\\xa3\\x07q+\\xb8l7\\x1a\\xc8\\xffm?g\\x92\\x80\\xc1\\xcb\\x05c\\xa2fl\\x18\\x00"
805. },
806. {
807. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xaccs~w\\x80hq\\x82f\\xdbt\\xbd2e\\xa5b\\x1bi\\x10s\\x04[\\xac\\xe9\\xdf~\\x11\\xff\\xbd\\xf3\\x1d\\xb1\\xf2x\\xccj\\x93t\\xb4w\\x8c\\xe0\\x08\\xef\\xd36tlw;\\xca\\xf3\\x90\\xf4\\x01\\xde\\xa8\\x02\\x93ht\\xe8\\x8a\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xdd\\x10h\\x95\t1\\xf5\n\\xff\\xbf\\xe1\\x93q\\x18\\x15\\xdd\\xf8-\\x1cb\\x9aa\\xbd\\xe5?\\xfd>\\xc5'\\x88\"\\x96\\xe2$.\\x08\n\\xfc\\xc4 \\xa5\\xf2\\xa4\\xb4\\xe2?w\\xc4"
808. },
809. {
810. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04gh\\x14\\x04r\\x99\\x8e\\xa4\\x8b\\xbfz\\xe08e+1r\n\\x17j\\xe0\\xf5h\\xbbz\\x8a\\x0bz\\xfc-\\xc0gp\\xe9\\xed\\xd09\\xd1\\xf6f\\xaf{^\\xe5#+a\\xf4\\xf2\\xd5\\xa65\\xeau\\xdc*\\xeb{\\x0e\\xfd\\xfc\\xf5\\x18\\xbd\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000]z\\xca\\xc0-\\x7f\\xd6\\x10\\x8dw\\x12k\\x9f\\x9c?\\xaf8\\x11g\\xd5\\xc5\\xec\\xbb3\\xa6\\xb4\\xdd\\xb6f\\xb1\\xdet\\xe8\\xf2i$\\xee\\xcal\\xa1<y\\x05\\x1dj)\\x89g"
811. },
812. {
813. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xf6\\x98\\xf5\\x94\\xd2\\xdc\\x02g7z\\x15\\x0c \\xea\\xa8_.t\\x8e\\xe0`i:b-x\\xd8\\xff8\\xbc\\xaa\\\\x8e\\x8f o\\x92\\x1d\\x92\\xf3y\\xb6\\xaf\\xf6\\xfei\\xa5\\x86qu\\xee\\x9a\\xfe>r@n\\xd0]\\xe4\\xaa\\xca\\xe7_\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x83\\xd5\\xba\\xc6lz\\\\x90\\xaf[\\x0f\\xe7\\xb4\\xac\\xbb\\xb7`\\xc5\\x88ni\\xcd\\x8a\\xf0\\x8b\\x0f}\\xac\\xce\\x8b=:\\x08\\xd2\\xbc\\xfez\\xac`f2\\xac\\x06n\\xf4\\xfc\\xd1\\xdd"
814. },
815. {
816. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x17\\xe3<\\x8f\\x88u\\xcfm\\xe9\\xc2{\\xdf-(\\xb5\\xa4y?\\x90\\xe6\\xa4\\xd6*\\xc8\\xd2!?\\xfc\\xf9\\xf3$\\xa8\\xdct\\xe2\\xa4i.oc\\x91\\xaf\\xd9r\\xc2\\xe60\\xab\\xb6>\\xab_\\x9dk\\x0f\\x9a\\x03d``\\x05\\xdb\\xf4\\xdc\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000b\\xac\\xb26\\x9a\\xd8.\\xa0\\xda,i\\x80\\xe9\\x80\\x19[\\xf2m\\x95w\\x1c\\xc5'\\x8d\n\\x81\\xbde\\xf7]$\\xb6\\x14\\xf4\\x17\\x02e\\xdauoo\\xf9\\x13\\xaeg\\x16x\\xe8"
817. },
818. {
819. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04o\\xbd\\xc1s.-@3\\xad\\xff]w\\xaa,\\x1dm2\\x89i\\xe3\\xc2\\xa8\\x81\\x86\\xdc\\xd6g\\x03\\x00e\\xae\\xc7?f\\xd2\r\\xdd\\xcc&\\xf5-\n\\xf83\\xfbg0\\xd407\\x07\\xde8\\xf9\\xd1\\x85\\xa1i6ik\\x0f\\q\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x0f\\xbao\\x14\\x9c\\xa6\\x89nw\\xd0n\\xad\\xec|\\x16\\xe6\\x82_`px\\xb1c\\x96kn\\x19\\x08w\\x80i\\xb5h\\x94\\xeee\\x8f-\\x8c\\xb9w\\x04\\x94f-\\x82\\xce\\xdc"
820. },
821. {
822. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xe6\\xfdem#\\x84o\"h\\x1a+\\xebw^\\xe5\\xcbun'\\xbd}\\xf5\\x84e\\x7ff\\xd3\\x86\\xa9x\\xbc\\xca\\xa1,\\xa8\r\\x1f\\x83v\\xa38\\x90\\x145\\xa79\\xfa)\\x97j\\x08\\x8e>\\xbf\\xf7\\xe1\\x19\\x1cn\\x89\\x97\\xc01\\xd5\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000%\\xce^\\xc8\\xe3\n\\x88gs\\x15g\\xebtwl3\\xccw\\xc7\\x02y\\xcc\\x85\\xf3x\\xdcs)\\xcd\\xde@\\xa6\\x18\\xfcrc\\x08aq>\\xbfu\\xa4j\\x9er\\xf7~"
823. },
824. {
825. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04/\\xefi{b\\xa6\\xa2\n\\xc9\\xde|b\\xd3\\xc3#\\x06a<\\x1e\r\\xf04\\xdfg8\\xd2\\xdd\\x10 \\xa07\\x8f\\xe4\\x01\\x8fa\\xdd8i\\xd6\\x1b\\x02\\xf3`7*\\xc6\\x8d\\xaa\\x00\\x9bl\\x9dt\\xa5\\x02kh\\xda\\xa4\\xd8\\xf7\\x06\\xab\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xa9<\n`\\x1b\\x16\\xe4m\\x135#tk\\x91\\xa0\\xd3_\\x90\\x1ey\\xd2\\xb4o\\xd7\\x97s.*\\x0b_\\x822\\xe03k\\x1d\\xcb+\\xd5z\\x8c3\\xf3\\xb4xp\\x05\""
826. },
827. {
828. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd0)2;8\\xacm\\xa9\\x06\\x1d\\xb0\\x8b\\x97\\xe9w\\x1aq\\xb8n\\x02|@n\\xb4\\xaa\\x19\\xe7,v\\x14\\xb1et\\xfc\\xe7\\xb308g*\\xe0zd\\xe9\\xe8\\xc5-\\xfc7\\x80),%b\\x9a\\xca\\x12v\\x07z\\xde\\xb8\\x04\\xbe\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000m\\xcd}\\x90\\x96\\xb7wd`\\xa6\\xc9\\x8a\\xf3.a\\xf9\\x13m\\x952\\xce\\xf2qz\\xdcj~v(\\x11\\x0b\\xfc\\x8b\\x93\\xcc:u\\x8c@\\xf3;\\xe5\\x96\\xfc\\xd1f\\x89\\xb8"
829. },
830. {
831. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x12lh\\xd6\\\\x08c\\x97\\x94r.b\\x91r,\\x19g\\x0e\\x82b\\xb4\\xe6\\xb0!\\x10\\xd8\\xec'\\xcb\\xa5/\\xc8\\x85fy\\xa1\\xb9 \\xf4\\xf7$\\xb0b9am\\xd9\\x1e\\xd8\\xaf5\\xfb2\\xdb\\xea\\x14w\\xe7\\x1f\\xdd\\xdc\\xc4w\\xd7\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000q\\x18u\\xfd\\xad\\xbeo\\xa6\\x7f\\xba\\xb7\\xb9\\x17n;\\x80\\xea\\xde~ee\\x90\\xca\\xa9{\\x9co$\\xffmf\\x8b\\x97\\xe7p\\x84\\xb1\\xcf\\xb1~`\\x12\\x17\\x1b\\xf6\\xdf\\x95\\x9c"
832. },
833. {
834. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04$\\xd6\\xabpd< \\xbf\tyg\\xbf\\x0bn\\x1f\\xe28\\x85si\\x9e\\xb0\n\\xca\\xdat4c\\x94\\x1b1\\xd7\\x896\\xb3v\\xed\\x7f\\x9b8\r\\xed\\xfa\\x80\\xd4\\x17\\x9e\\x81\\xd7\\xbd\\xd5\\x98\\xf6\\xba\\xe9\\x8b[i**\\x97\\xb5':\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000q\\xf6e\\xca\\xed\\x86\\xe7\\xbbp\\xe5\\x1e\\xabw4\\xa8:\n*r\\x9a\\xd7\\xd6\\xe1\\xe9\\x9f\\xd5\\xb0p\\xb7#\\xa9\\xeb;\\xbfm\\xa0\\x8f,fafw\\xb1%\\xc3\\x9b\\x9e\\x14"
835. },
836. {
837. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04>\\xcc\\x15\\xe8\\xb7di\\x1c>sd\\x18\\x13\\xf5\\xfb\\x1d@\\xbf\\x96\\xa7\\x18zm'i\\xf2|\\xf4;\\xfe1(\\x92\\xf6\\x04\\xa6\\xb1i\\xd8\\xd6\\x8emr\\xc9#*\t\\xe3^\\x07\\xb8\\xfb\\xe8%c/\\xabw0\\x7f\\xa2\\x9b\\x1a\\xcb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xd7\\xa6\\xf7\\x9e\\xe7*\\xb7w\\x816\\xaac\\xd3\\x9a\\xbb;x\\xedf\\xa8\\xf2\\xae\\xff\\x84\\x04~19{\\x1b\\x9f3\\xcb\\xf8\\x9d]b\\xe8\\xed\\xf6\\xb9\\x04\\xb4\\x16\\xbb\\xe2\\x8e\\x06"
838. },
839. {
840. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xbbl\\x9e\\xe7\\xc9*\\xe1\\xd9\\xfd\\x08\\xeb\\x1e\\xad\\xf3\\xc9g\\xa1r\\xddh-\\x1d*rr\\xe9\\xe8h\\xc9\\xad?\\xb5\\x13/c\\xa6!\\x91\\x94\\x02\\x8c\\xdc\\x08\\xd5g\\xe1\\x83\\xa1%\\x1fe\\xf2zr\\x06\\xe6|\\xe9^\\xfb&\\xfb\\x14\\xa4\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xcb\\xf5\\x18\\x05v\\xe5\\xf8\\xaa^\\xb4\t\"\\xe6\\xb1uh\\xbf%9\\x98\\xe1l\\x034fyj&\\xf2\\xbd\\xbdp\\x0b\\xdd\\xd4\\xcae\\xce\\xfam\\xa6\\x80\\xe1i\\x7f\\xc0ex"
841. },
842. {
843. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xc9\\x11;\\xff\\x8d\\x01<s\\xa5\\x89\\x12\\x10_(\rm\\x96\\xd7\\x1dmd\\xaca\\xa5\"\\xb1\\xfbg\\xb2\\x1cs\\xab\\xca\\xb3\\x80\\xdc\\xcagy\r\\xdf\\xd4\\xc7\\xaazm]\\xd6\"\\x00\\x04\\xd8h\\x84\\xbcx\\xdf\\xc8\\x84\\xe7\\x99\\x18b\\xa6\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x19m\\xa22\\x123)\\xd1\\x0f\\x1e\\x8d<\\xc4d\\x1b\\xddj\\xfc\\xc1\\x1d\\x92]\\xab\\xccu\\x87\\xfcw\\x00bbx\\x88\\xc8?\\x1adv#\\xc7q\\x82\"a,\\x97o\\xaa"
844. },
845. {
846. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xe6\\xe7\\xc9i\\xae;\\x02l\\x12\\xa3^\\x01\\x8c\\xbe\\xc6\\xc9o\\x1c\\xd1\\xc2\\xe4\\xd1\\xc0d\\x98m\\x9a\\x16\\x80\\x95\\xbe\\xaa\\xc9of1\\xe8\\xdai\\xb1<\\x8d\\x03&\\x03\\xe6\\xb6\\x06\\xccs\\xe0\\xce\\xecig\\x98\\x9e\\xbe/j\\xc6\\xc2{}\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x11\\xb6\\x9b\\xc6\\xfc`\\x17\\xf7>\\xac\\xf4\\x19\\xd1$\\x18\\x02l\\xbe\\xdc\\xa0\\xd4,c\\xfa}c:\\x7fs\\x13\\x06\\xf1\\x1f\\xc4\\x96\\x0b\\xc6\\xfc\\xb8#j\\x1b\\x8b\\xc5\\x7f}#x"
847. },
848. {
849. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xcd\\x1a\\xcfh#i\\xd5\\x1et\\xf8\\xc1\\xb9'\\xe2\\xdd\\xecs`u6\\x96\\xbf\\xf2\\xeba\\xb1\\x935\\xe7\\x17\\xec\\xcc\\x1cd&pl\\xa4\\x9b\n\\xf1]ht<{0\\x8a\\xf4\n\\xe3=,\\xf5\\xed\\xf6v\\xc8\\xcc\\x82a\\xc4\\x970\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe0\\xb1\\x16\\xe2}\\xf4\\xeav\\x1e6\\xd9\\x1c\\x8dm\\xeah\\xf0\\xd9`c\\xd3?\t\\xb4\\xd2=\\xe0af\\xd3\\xca\\xfb\\x01\\xd8\\x927\\xe3o~\\xd7\\x91[\\xb4\\xd1\\xc2n=`"
850. },
851. {
852. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r\\x0b=\\xaf\\x83'\\x8c\\xe8\\xee@y\\xb2\\xa9\\xb8<\\x10k\\xbea8f\\x977\\x84\\xc3\\x80j\\xfe\\xd8\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
853. },
854. {
855. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xfd\\xec)\\xc7w}l\\x9c\\x9f7\\xa0\\x0b\\xdcc\\x14\\xd7cit\\x8c\\x85\\xfe\\x1a\\x8f\\x02m\\x1d\\xc8\\xdf\\x18\\xfd\\x92\\xf0q\\x85^!\\xf1\\xa6\\x83p\\xcfxy\\xe6b\\\\xb1ad\"\\x96\\xd3&\\xd06\\xd4\\xea\\xda\\xf7\\xad\\xc6\\x80[\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xb9\\xf7\\x1by\\xbb\\lstw\\x1f\\xe1~\\x05\\xf8\\xfb\\xed\\xcf\\x18.r\\xb3\\xdd\\xee;r\\xcc\\xf0g\\x97\\xb0\\x1f\\xd2\\x05\\x8ep\\xea)zt}\\xc7p\\xbc'\\xc3s\\x13"
856. },
857. {
858. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xa6\\x84\\\\xf0\\x8b\\xab\\xd3\\x98g\\x1df\\xe7\\xef\\xb8\\xd1\\xa9\\xc7q\\xe9\\x06o\\x0cz\\x1aqv\\x9a\r\\x83\\xb5\\xc8\\xc2\\xa9\\xdb\\\\xc6\\xd8\\xe4\\xe5?\\xec\\xbd5\\xbd\\xbah\\xe7\\xd3^\\xc0\\x8f\\x0e\\xe9m\\xfb\\xe6#\\xc7\\x108\\x93\\x8c_$\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xcb\\x96\\x04 9\\xe5\\x10\\x08\\xfdk\\xeb\\x85\\xff\\x02=qn\\xa0\\xdf{u\\xbae\\x14\\xee@\\x8b\\x1d-t\\xa7h\\xfeeta\\x10\\xb6\\xd9\\n\\xedx\\x1e\\x11o%\\xe5"
859. },
860. {
861. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04pj8qfx2\\xac\\xab\\xe7$x\"\\xee\\xd3\\xc0\\x9a\\x0c\\xb5\\xa5m}\\xe4 #\\xb03\\xba\\xf9\\x87\\xcc\\xbbe\\x0c^b\\x03\\xf9j(y\\xeb\\xdcx\\xc9\\x06{9\\xaa\\x0b\\x94\\xc5\\xc5\\xb3\\xeak6~@9\\x1c f*\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x0000\\xa4\\xcc\\\\xc5\\x12\\x1da\\x9d\\xa5\\xda\\x93\\x8d\\xdb\\x03x\\x89\\xb8\\xf9\\xe9\\xca\\xe2\\x8c9\\xc8-\\x88\\x7f'\\x061}:\\xd4\\x15\\xea8?\\xdby1\\xe0 \\xc7\\x844\\xb7o"
862. },
863. {
864. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xda\\x10\\xad\\x97s\\xcd\\x99c\\xb79(mc\\xd1\\x84\\x9e\\xb4\r\\x18\\x9al\\xf6xf\\x96\\xdf\\x05-\\xbd\\xbb\\x17\\xd1\\xd3\\xfa=\\xfcu\\xb8\\x85\\x8f\\xb4\\xe9u\\xbb\\xf7\\xc7b\\x0c\\xc7\\xed,tq\\x15\\x08\\x87\\x9bx\\xef\\xe9\\xd9\\xa8lc\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xa0\\xd5\\x87\\xc8v\r{\\x90\\xe19\\xa8\\xff\\xfa\\xc1\\x15_\\x9d=d\\xb6ag\\xc5\\xf6@\\xa9\\xdc\\x875\\xa1\\xa6\\xddkx\\xb8\\xab\\x8ay\\xe2,pu\\x15\\xdc\\x1e\\xe4\\xef\\x86"
865. },
866. {
867. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xaas{\\x13\\xb2*o\\x89\\xf4\\x00\\xa8\\x90\\x0b\\xec<rvd\t:\\xf9\\x80\\xdf\\x13\\xcfx\\xb6r\\xf8\\xb5@\\xf3<f\\x84\\xc6j\\xb1\\xactl\\x11\\xcbo\\x81\\xd0t\\x19\\x06\\x81\\x92\\xcb^\\x95)<\\x03\\xa6\\xa6\\xb9\\xa9d\\x13m\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8f\\xff{kyw\\x86\\xde\\x98s\\xdfbf7\\xdf\\xc5p\\x0bv\\x00\\x01\\xae-\\xd4\\xee~\\xd7[\\xff\\xb4\\xb65\\x03\\x92}[%\\x80\\x87\\x1f\\xa6\\xca\\xc1\\xee\\x0b\\xae\\x03h"
868. },
869. {
870. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd3\\xb4l\\x8fx\\x7f\\x9a\\xd6q\\xab\\xee\\x93p\\x07.\\xae\\x9649)\\xd1_njy\\x15\\x06\\xfd\\x16\\x82\\x80\\x1f\\xb0f^\\x00y\\xb9\\x84\r\\x82\\x0f6\\xd2\\xe0\\x89\\xb7v\\xa4e\\xb2\\x9c\\xc0r7\\xf7\\x992\\xa7za\\xd2b2\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000*\\x12.\\x15hu\\x1f\\x9aa'\\xee\\xde}\\xcb/\\xc0~g0\\xd2\\xe7\\xe3<\\xbe4*\\xfb\n7\\xf2\\x00cc\\xc5\\xae\\xb0v\\xf2\\xdcsw\\xed@\\xf8\\xed\\x07\\x1e\\x95"
871. },
872. {
873. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xccy\\x15\\xf0b\\xd7\\xb4d\ty\\xfe\\x86i\\xbf\\xfca\\xf8\\x8a8\\x16\\xeb\\x08\\x1f{g\\xc5\\xca\\x19\\xe6\\xc6\\xf1\\xeb \\xf3\\xe6\\xcf\\xef\\x90dh\\xbb\\x0f\\xc4j+d\\xb0\\\\xa7\\x1d\\xd8\\x8b\\xd4\\xb9\n*\\xc0,\\xe7\\xd8\\xa1h#\\xb7\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x0c\\xb7\\xc2vg\\xcev8@\\xb8\\xc1\\x95\\xd2\\xd7\\xc5\\xd8s\\x19[\\x00\\x8b\\xca\\x7f\\x1b%\\xeelk\\x02\\xfe\\x08\\x1b\r\\xef0\\xfe\\x9b3\\xb9e,t\\xbf\\xd2\\x93'\\xe7^"
874. },
875. {
876. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x87\\xc7\\xe4\\xbb\\xf5\\x8a\\xe5d\\xa2\\x8f3\\x1b\\x0e\\x1b\\x83\\xd0\\x7f\\xb6i\\xcc\\x0e\\x0c\\x9b19\\xca%\\x0b\\x95\\x9do\\xdd\\x9cln\\x04\\xc8\\xf0g\\xaeh9\\xbfs\\x8a\\xaf\\x18\\xda(\\x07\\x00\\x0c\\xeev\\x9aa5!\\xe6\\xc8\\xe8\\xa2\r\\x92\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000~?\\xd6b\\xfds\\xef\\x149'ka`\\xbf\\x11\\x8d\\xd9\\x88\\x12\\xa3\\xfaf\\x87\\x94t\\x8d\\x93~mce\\xadk\\x07\\xa0\\x7f>;\\x92z\\xe5\\xcfv=\\xc1=\\x85g"
877. },
878. {
879. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x86t\\x10\\x96t\\x1c\\xd7\\x82\\xf8\\xc0c\\x06\\x80\\xa0\\xbf\\x94\\x10\\xce\\xfe5\\x87\\xbay\\x08\\xe6\\xf7\\x08\\xd5s\\xca\\xf2\\x0f\\x85\\xe4\\x88nl\\xc2\\xdf\\x9a]\\xdf\\x94\\xc3\\x17\\xb8\\x03\\xe1/\\x96m\\x05\\x1a\\x04\\xaf\\xe6\\x06\\x0bp\\xff\\x97\\x9f@\\xed\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000edp\\x92\\x89\\xa4\\x85\\xe1\\x02\\x0f3;rm\\x9cy\\x8e+g\\x13\\x12\\x1bh\\xc3\\xdd\\xc1\\xfc\\x022k\\x11\\x98)um\\xec\\x8a^\\x07\\x12\\xf4\\xe3\\x87z\\xc6e\\xc0\\xa6"
880. },
881. {
882. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x05 \\xad\\x0f\\xec\\xb3\\x9d\\xec\\x04+z\\x96\\xc3e q\\x1a\\x89ap\\xb6\\x02\\xdf\\xff\\x05n\\xe9v\\xd0\\xf5 \\x9b\\xaf\\xf6p'\r8\\xda\\xc0\\xdb\\x10-\\xff\\xb8j\\xa1\\xd6h\t\\xf2\\xb1#\\x9bs\\xcfk\\xe3(\"\\xd3h\\xd4\\xda\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x9d\\x1ep\\xffn\\xed\\xe4d\\xab\\x80\\x03q\\x00:\\xbd\\x15d\\xac\\x15}\\xcfe\\xc4\\xf3\\x13\\xd3\\x98*\\xce-\\xbc\\xca\\xc2\rr\\xda\\x88/\\xa2\\x14l\\xcf\\x81\\xa4\\xc3]z\\x98"
883. },
884. {
885. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r[\\xb2 \\x94\\xb3j\\xe2\\xb1\\x16\\xe6\\xd8\\x13\\x03w\\x8e\\xea\\xbag8ml\\x05}\"\\xe3he1\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
886. },
887. {
888. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r\\x92\\xb8\\xd1c\\xe3uu\\xc3\\x19\\x93\\xbd\\xf0\\x08\\xc1\\x8c\\xf5\\x1e\\xfde\\xe6\\xd9\\x163\\xb7\\xab3s^\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
889. },
890. {
891. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079r\\xfe\\xf3\\x9e\\x85+k\\xa8u\\xa0\rd\\xe2\\x18t\\xd1\\x80\\x87\\x8e\\x10yu\\xcdt}7\\x0c\\x1e\\xc4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
892. },
893. {
894. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010u#n\\x07\\x83\\xf7\\xd0\\xb5\\x89\\xa9~\\xd2\\xb2\\xe3\\xb4p&\\x99t{\\x90\\x8b\\xadj\\x0b\\x94\\x06,j\\xdb\\xce\\x99\\x9f\\x1d\\xfa\\x07\\xb7-t\\xdf\\xef6w#\\xd7\\xf6\\xfa\\xa8]\\x0c\\x97\\xcc\\xb2%\\x96i\\xa4v8\\x87\\x1bc\\x0b'\\x83\\x06\\xcf|\\xcdp\\xd61e_\\xd5\\xb6\\x04~x\\xd1\\x80\\xa0\\xc2a\\x80\\x8c\\xb6\\x1f\\x8f\\x1a\\xc1\\xc8s\\xc3r\\xc4k\\xb2\\x8c\\xc2o\\x01\\xf0\\x9d\\x8df*sg\\xd1\\xe8?\\xab\\x8b2=+6\\xfc\\xdb\r\\xf4ol\\x80\\xfa(\r\\x12\\x84e\\xcb\\xee{h\\xc6\\x03\\x17\\xa3\\x06\\x05\\x18\\xee=\\x15\\xe1\\x8d\\xcc\\x13\\xc8%bc\\xc8\\xf5\\xcb\\x9c\\x1c\\xd2`\\xbb\\xce\\x9f\\xb84r\\xeb|\\x97\\xff\\x0f3\\x18\\x14\\xa7\\xdd\\xa1\\xa9\\xa0*\\xf6\\xc1\\xee\\x1bfh\\xc1z\\x11\\xaf\\xfb\\xab\\x99sm\\xeb5\\xc9\\xfa\\x13\\x0fl\\x19\\xe2\\x87<\\x01\\xb8\\xb3?9!\\x98\\xf4\\x11\\x1b+\\xae\\xbea8\\x11\\x7f\\xb7\\x84\\x85(=\\xcf\\xc9\\xe1e\\x7f\\x00o\\xd4\t\\xa8\\x1f\\x00pt\\x1f\\xa3i\\xd4\\xf8\\xd2\\x9d-\\xcc"
895. },
896. {
897. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010,j\\x0ftvp\\x02\\xf7\\xc1vh\\x9f\\xe3*\\xfe\\xdc1\\x12\\x1e\\xcep\\x8b\\xfbe\\x0e[\\xdd\\xbc*\\x02)/gng'\\xfb^\\xaf\\x1d=^\"\\xd5\\xcbrg/u\\xfb\\x8f\\xdd\\xca|\\xcf\\x1ev`\\x9e\\xe4 \\xd9yt\\x16\\xa6\\xf16\\xd3\\xc2w\\x1b\\x00)s{\\xf9do\\xad\\x8dg%\\x96i\\x86\\xe4'\\x9d\\xfc\\xd1\\x8a\\xff\\x19&\\xedx\\x930\n\\xb6\\xd9*\\xa1mzq\\x06\\xf6\\x19\\xf9%~\\xf8p\\x0e\\xc0{\\xbf.\\x10\\x9d\\xeb\\xaa}\\xf6\\xbaq\\x0f\r\\xce\\x8cd\\x14\\xd5f7\\x91\\xbb\\xa4\\xc4\\xb1\\x00\\x00\\x8c\\xact\\x9a\\x0c*5>\\xaf\\xb1:a*r\\xdcz3\\xe8\\xe0\\xfd-\\xe5w\\x83\\x8f\\xac\\x03\\x06\\xe8\\xecm\\x17uo\\xdfx\\xc0c\\xfd\\x14\\x04\\xdbi\\x88\\xc01\\xf0\\x0e/\\xca\\xf3x\\x92\\xf1\\x07\\xb5\\x0f\\x17lb\\xf6\\xda\\x1f\\xfa\\xac\\xae\\xba\\xe4zt?,chc\\x99\\x06\\xe5\\xf2\\xcd\"\\xca\\xe9\\x08\\xa4-\\x96\\x8e\\xd2\\xff);m\\x14b\\x14\\x03\\xfc\\xf3\\xf6\\x10ss\\xbb^\\xbes"
898. },
899. {
900. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd9\\xeb\\x81\\x96br\\xcc\\x9d\\x8a-\\xe3>\\x13\\x8cir\\xf7\\xc93\\x87\\xa2vp\\xa5j-\\x0c\\xd1\\x14\\xb4\\x9bze\\xc4_\\xeb6\"\\xb5q'\\xffh\\x83f\\xc1\\x1bd\\xbc\\xfd@\\xdb\\x0f\\xbd\\x9er\\xb7\\xfajba\\xc8\\x84p\\xa2\\xe0\\xc36\\x1dq\\xbb\\xd7]8i\\x1a?~^h@\\x07va|\\x87\\xc3yhf\\x03\\xbe]\\xb8\\xcb\\x18|)\\x9e\\x85oqv\\x16\\xd2\\x15\\xc3_\\xd1\tw\\x0c\\xd6\\xab_s\\xe9\\xe9\\xe7\\xe1>#y\\xf1t\\xf4\\xc9+\\xcc\\xb3\\x93q|\\x14\\xf2v\rz\\x12\\xd694%\\x7fp\\x99+\\xa7\\xef\\xf1\\xfd\\xf5?&v\\xe5\\xddw\\xdc\\f#\\xa4$\\x99h\\x17$\\xef.\\xdc}\\xd5\\xd4\\xfb\\x90d\\xe5z\\xf6\\x98\\xea\\xa4\\xa3_\\x99\\x84\\xedk\\xb9(4\\x14\\xeb\\xd3\\x82\\x9e\\x07\\x92.\\xeb\\xd1{\\x04t~\\xa4.\\x12\\x9c\\x00\\x04\\x8c\\x7f\\x1fx\\xa9\\xca\\xbd[\"\\x80\\x1dk\\xc6\\xa2h\\x8c-\\xe2\\x8c\\xa9\\xf19\\x84fv:\\x9c\\x9a\\xd1\\xc7r\\xc9zw:\\x9b4\\x07>"
901. },
902. {
903. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\"t(\\x0c\\xccj\\x88q=\\xea\\xee9\\xc8-\\x17\\xd8\\xc1\\xd1m\\xed\\xc5\\x06\\xee8\\x08rm\\xdb\\xff\\x18\\x04\\xb4\\x82\\x83\\x87\\xd1\\xf3\\x879(\\xbd\\xb7om+\\xbf\\xe1\\x13-_\\xe9\\xcd\\xfd\\xe6ca\\xb3o\\x13w\\x03\\xb4\\x15\\x0eu\\x87\\xacu\\xe1\\x16\\xc2;k\\x87\\x83*\\xa0\\xba\\xc4\\x98m\\xf8\\x15/\\xa1\\xfb\\xda}\\xaea\\xbb\\xc3\\x0c]\\xe6yn\\x11\\x95\\xa8\\x11p\\x92?\\xa0i\\x19\\xf5\\xa3\\xa6]\\x16\\x8a3{\r\\xab\\x03c-s\\xbcs/y\\x07\\xa2\\x9eb\\xf9\\xecv\\x8f\\xa2\\xa1i\\xd5\\xdf`@\\xe5\\xb8\\xef\\xfes\\xb34!\\x99\\xc1\\x8d\\xebk\\xe1\\xbe\"nso\\x0b\\xb6\\xd2\\xeafglw\\xcd#\\x8c\\xfdx\\x10\\xf9=$&,&\"\\xfc\\x15ev\\xf0\\xad%\\x8c\\xfc\tg\\xc8\\x1c*\\xb7\\xe3\\xa3%%\nch\\xef\\xed\\xce]\\xa4}\\xbb\r:\\x12x\\xd6r\\x01\\xa9l\\x7fh\\xaay\\xefh\\xe0\\x83\\xee[\\x0c\\xfe\\xb4$\\xb8~\\xe9zv\\xd1t\\x80\\xf9\n\\xbc\\xbb\\xa0$\\xe3q\\x88l\\xec"
904. },
905. {
906. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd9r\\xa9u\\x9a\\xac-t\\xf3\\xc0b'\\x82\\x11d\\x0c\\x93m\\xadf\\xbe8\\x1ep\\x077\\xc7\\xd8\\x84g\\xc4\\xb9\\xc0h\\xc6\\x08c\\xd9\\xd8:\\x8e\\xe5\n\\xea\\x98\\x12\\xac\\xb6\\xa3y\\xcb\\xb2\\x13*\\xcd\\xb7\\xffp\\xaa\n\\xa9s\\xf5\\x00\\xab\"b)\\x03\\xbb\\x11r\\x8f\\x86\\x9f\\x96\\xe5\\xeem@a\\xd2\\x7f\\xc5\\xe1v\\xf5\\xd6v\\xb3\\x92\\xdbj\\xf6g\\xff\\xe43\\x0c\"\\xc4\\xec$\\x7fbpcv\\xe6/\\xc7+\\x97h\\x84\\xfez\\xeft<nna\\xa0;]s\\xe9p\\xed\\xb7t\\xd9#y\\xb3\\x96^\\xc0\\x15lq\\x80\\x8bi\\x81j\\x95\\x93\\x0c\\xd6\\x84\\x03a\\xc1\\xa4\\x91\\xec\\x12\\x7fc\\xcfq\\xb8d4\\xc8\\xd3q\\x016\\x93\\xce\\x06\\xc3\\xa9\\xf21o\\x07zhsv\\xb3ko\\xaf\\xe47\\xd9ahd\\xbads\n\\x7f\\x17\\xc4k\\x03[\\xe5\\xff\\x1cr\\x02\\x03\\xf0\\xa7\\xb7\\xc4\\x8be\\xde\\x1a\\xf2\\x0b\\xa1\\xb8\\xf4\\x02\\x9f+\\xb8\\x86+\t\\xf5\\xd8\\x0c_+\\xa4\\xa5\\x94\\xe9\\x8a\\x0b\\x01af\\xbc\\xf7\\xd4%\\xb6z\\x1a"
907. },
908. {
909. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xc8\\o\\xf3x\\xc8r\\xd5\\x00\\x9cd\\xcay\\xc6\\x0e1\\xadwx\\xd6\\xb5\\xa6c&\\xe6\\x1b\nk\\xbb<(\\xf7g\\xc5x\\xaf\\xd2\\xe4\\xb4ok\\x0f\\xc5g\\x86\\xbd\\xe4q\\x17\\x92l\\xac\\xc5\\xdf\\xd3w\\x13\\xa8\\xf1@!\\xeb]u;\\x1f\\xf4\\x16b\\xcc\\xad\\xb7j\\xe4\\x06s\\xbb\\xd4\\xef\\x82\\xcd\\xcal;\\xe5;\\x86\t\\x82\\xeb^\\x16\\xcf9\\xc6\\xccr\\x10+\\xe5\\xbau$\\x009\\x96\\xa6\\xf0\\xff=\\x85\\\\x8f(\\x1f\\x85\\xa3\\xd9<\\x99\\xc6\\xb8\\x8a\\x97\\xe9(\\xdb\\x91l\n.a\\xc3\\xdb'-\\xbc5\\xfb\\x88\\xf9\\xd8\\x1e\\xb9\\xfa\\x7f\\x8b\\xb7\\xae\\x8b78\\xa7=\\x8d\\xb5\\x9b\\xb7p\\'\\x15\\xb9^#\\jx\\x95vr\\xfb\\xf3!\\x92\\xe604l\\xc2$\\x96\\xb9u\\x0c\\x85k-8\\xdf\\x94\\xc0\\xa1\\xfd\\xd3@\\x03\\xbcf\\x90h*\\xbd\\x8a\\xd9\\xf7\\x98\\xb0\\xdf\\xdd\\x17\\x8b\\xfb\\x1a\\x0fzsb(s-a]\\xc1\\x85~`l[\\xeb\\x86\\xcd\\xb9\\xac\\xa0#)\\xf0k)9\\xdb\\x15\\xeal\\xe2\\x1a)\\xc2\\x92s"
910. },
911. {
912. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xfa\\x1c\\x11\\xac\\xb2\r\\xa0\\x06\\xd1\\xcf\\xd6\\x13\\x96t\\xf7\\x929z\\xb2\\x84r=\\x13\\xee\\xcat\\x1ase\\x1a]\\x8dr`\\xfa\\x10\\xe0?\\xb9v_\\x8a\\x01\\x05\\xdd\\x1e3\\xf0\\x9a\\xc7/nm\\x80h\\xaf\\x999n-u\\xe4\\xc4\\xc3\\xbb\\xfel1\\xb9\\xf6_\\xa14\\xa3\\x7f\\xaa\\xc3i\\x06lh $\\xed\\x87u\\xb1\\xe4\\xa00\\x87(&\\xa2\\xe7k\\xa0\\xd4u\\xd25\\x7f\\xccq`\\xcau\\xc7\\xd3h\\x954qgo\\x00b\\xf3\\xad\\x8e\\x1d\\xf4\\x95\\xcbw}\\x0c\\xbc\n.\\xb7\\x9812'\\x15\\xc3\\xc3\\x9b\\xd1e'\\x8ab\\xbb\\xec\\xb4z\\xe4\\xf5\\xee\\xe6\\xb2\\xc7\\x14\\xab\\xebi\\x15\\xfa\\x8f\\xbd\\xc0\\xf3\\xf5x\\xf8\\xb0/2\\x85\\x1d\\xe8\\x9d[y\\x9f}\\xd7:o\\x11j\\xe4!\\x82\\xfd\\xe4\\x9e\\xee\\x85\\xef\\x12@\\xe0\\xa6\\xa1\\xc7hd \\\\x98[\\xd0g\\xc9\\xb4\\xd0 \\xd70j3aj#\\x8cgo1\\x9c\\xa43\\xa8\\xd8<\\xfb\\xacg\\x88\\x02hm\\x80\\xb5l;\\x83v\\xf7\\xab\\xc1\\x9c\\x1f\\xd4:\\x94e\\x98\\xe1"
913. },
914. {
915. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xe7\\x19\\xcc\ne\\xad\\xc7i\\x88\\x95\\xd3\\xae\\xaan\\xccl\\xa1\\x94i\\x98m\\x85\\x0b\\xe3\\x9d\\xbf\\xea[\\x98f\\x90ru/\\xab\\xc71\\x8ch\\x89\\x80e&ba\\x08w\\x17i\\xdcr\\x96-6\\xe8lc!xf\\x1el\\x85n\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xf7i^ya\\xff7\\xbc\\xcf \\x7f\\x95\\xb7;\\xfc\\xb4\\xe1\\x16\\xa3\\xb2\\xe4\\xf5*\\xf4u\\xc2-\\x8br\\x1b\\x90\\xdf\\xd0z\\xe5\\xb2\\x08r\\x95\\x1aa\\x84\\xc0}k\\xff\\xa4i"
916. },
917. {
918. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x9b#\\xb0g\\xb8\\xdd\\xba\\xabx#xs\\xaa%\\xc7$\\x93\\x0c\\x17)\\x16\\xee\n()m\\xdd\\xdf\\xee\\x88c\\xd8\\xff\\xf0j\\x9cd\\x1fh\\xdc\\xdd]\\x11\\xd1g\\xbekp\\xb0~m;\\xe0\\x1f'\\x88\\xca\\xe3\\x11\\x12\\xacb\\x91\\xae\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000~\\xef_\\xfdbe\\x1a\\xc3\\x86\\x83\\xae\\x86x\\x99\\x7f\\xa55\\xaf\\xaf\\xe9\\xe43!\\x7f~\\x9c\\x93\\xa9\\xf5\\xc9\\x7fc\\xf7\\xdc\\xd5\\xf4_]2\\xe34sk\\x92\\x9b\\xf4\\xe7\\x90"
919. },
920. {
921. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xf4\\xd6\\x8e\\xeb\\xc1t\\x03>+{\\xc2{(c\\x91c\n\\xf5l^\\x03qm\\xa7\\xaa\\xd2\\x91\\xaf\\xc6\\xafl\\x1a\\xafb\\xe8n\\xb1\\x00\\x10\\xde\\x88?\\xd6j\\xca\\x1a\\xd3b+}n\\x9bm(\\xc8\\xfb\\xc8\\xf4s\\xa6l\\xc6\\xc3c\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xcc{n4\\x91\\xbbw\\x91\\x13\\xce[\\xde\\xa7zug\\xde!\\xe6\\xbd\\xfevs\\x9b\\xb8\\xa1\\xffg3\\xe2\\xf9\\xa8$k\\xd6\\xc9lr\\xcc\\x1c\\xa0\\x11\\x06|\\x08\\xac1r"
922. },
923. {
924. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xc6\\xfdd\\x7f\\x0f\\xf4\\x85h\\x05\\xa0\\xfd\\xfd\\x1c>\\xfe=\\xf3\\xa0\\x04\\xdd\\x81t\\x1e}u\\x06\\xed\\xba\\xee\\xa3\\x02\\xf8\\x07\\x04\\xf3\\x8cl\\xbd\\x1c#\\xf2-qs\\xad\\x05\"\\xab\\xe1\\xc6y\\xafl\\x9b\\x01\\xcah\\x08\\x94\\x94\\xa1[b\\xd3\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xa9\\xf4\\x86\n\\x90\\x1f\\x01\\xbf7\n\\xea\\xa7\\xb3\\xa4gb\\xf78f\\x10\\xac\\xa0mja&\\xb9\\xb1b\\x19\\x01/rv\\x0br9u\\xcel\\x98\\xcb3\\xda\\xcb\\x19u~"
925. },
926. {
927. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\"\\xa5m\\xbc\\xeb\\xcb\\xa3i\\x0f\\x84\\x92\\xf4y%hj\\x80\\x18e\\xc3[\t\\xc6)\\xdf%\\x93a\\x18\\xa2\\x89h\\x96o\\x06\n+\\xe7v\\xee\\xf9\\x08~\\xd1\\xea\\xa4h\\x94jd&e\\xe1\\xb3&@\\xc9\\xa8\\x05\\x057\\x8a\\xc9\\xef\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x1du@1=\\xc5\\xe6z\\xb1\\xec\\xd9\\xea\\xbd\\x10\\xf5\\xfc<\\x0f\\xd5\\xe8\\x0b[\\x16\\x12\\x03\\x89\\xa9\\x065\\x83\\xdc\\xf8l\\x9b\\xbe\\xbd\\xb3v\"\\x13\\xd6\\x1d\\xd0\\x1e\\xa1\\x86at"
928. },
929. {
930. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04w\\xbc\\xa6\"\\xe2b\\xb8d\\xac\\xc0as\\x07xe\\xc6\\x90\\xe1\\xc0)!\\xf8~ej\\xfd\\xa2\\x88@\\x98\\x92\\x89.\\xb6\\xe5\\x9dcs\\xf8\\x1e\\xa1\\xcd/x\\x83yrc\\xc8o\\xe7l\\xd9md\\xa3\\xf2mn\\xe0\\x04\\xf6\\xe8\\x0e\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xd8\\x1b9txk.;\\x1c\\xd5\\x86,h\\xc0e2\\x10r\\x7fd5\\xa8\\xe0\\x83\\x8c\\xd8f(\\x86u\\xeb'\\xf6\\xe4\\xa6\\x8e\\x98\\xed}\\xf8\\x94as\\x0b/n\\x8ez"
931. },
932. {
933. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd7\\xd6k(\\xab\\xca\\xe2\\xdbt\\xb0\\x025\\xd4d\\xb6\\xde\\x96&\\xfcz\\xa3\\xb2\\x9d\\x08\\xd7\\x03\\x11\\xed\t\\xfb\"\\x0c\\xd5\\xf4@jgz%\\x0c\\xbbh\\x92]\\xc5o$\\x16\\x86\\x7f\\xeehgz2\\\"wa\\xd9\\x9c\\xa6\\xe3j\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x0006\\xec\\xe2\\x97\\x96v\t>\\x1f\\xd7\\xd6\\xad\\xbeso\\xa4@\\xa0\\xaa\\xc42\\x1bw\\xf2w\\x8c\\xeb}.\\x1e^k\\x7fgi\\xf9\\x8d:\\xa3\\xa3\\x00f\\x9f\\x86\\xf90\\x16\\x9f"
934. },
935. {
936. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010w\\x05\\xe8\\x8b\\xc5i\\x97eg\\xfa\\x0b\\x0f7\\xd0=.\\xcb\\xbd\\xc4\\xab\\xee\\x9d\\xf0),<fs\\xf9\\x02~\\xc9\\x86\\x08\\x18\\xbb\\xc3\\x8c0\\xb8\\xe9\\xdee\\xc4\\x9a\\xfe\\x13\\xbdy\\xc7\\xdd\\x9f\\xd6\\x0bz\\x8d\\xcf\\xcc\\x07\\xc8c'\\x86\\x99\\xee\\x9a\\xe8\\xb0\\x86g\\xbeza\\x1d\\xcfv\\x16?\\x0b\\xbc\\xba\\x1b\\x05\\xd9\\x9b@\\xcb~q\\xd4\\xc7\\x01\\xfe3\\xe3\\xb4\\x14\\x88`\\x16\\xc7zu\\xb7*=\\xe2m\\xb8\\x9a\\xe1+*>0\\xd4\\x852\\xc5w\\xe1\\xdc\\xcceoo\\x1e\\x11*\\x97my\\x8f\\x10of\\x05|\\xf7~\\x13\n\\xa5qz\\x0b\\x896\\x1bs\\xc2\\xb2\\xf4\\xf1\\xf8\\x19\\xc0\\xbc).\\xc7\\xe2\rz\\xde\\x0brr\\xddb~\\x88\t#\\x83(\\x94\\xe0\\x1a\\xc8\\xd0ri\\xb5/\\xbd\\xd8\\xf1\\xe5\\xc7j\\x89\\xb1\\x02\\xf1\\\\xf0o\\x1d\\x19up\\x0by\\xf9k\\x0e\\xc6\\xeac*\\xe7)\\x02(\\x8c8\\xa3i\t,\\xa8\\xad\\xe6\\xf7\\xfegy\\x03&\\xa4\\x01\\x94\\x08\\x0cn\\x94\\x9e\\xd5\\x84\\xfb\\x87\\xe5\\xb1n\\x0f\\xf6,v\\x93\\xd6"
937. },
938. {
939. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010@\\xcb\\x1bo\\x0e\\xc9\\x9d\\xdf1\\xd00\\x14\\x8a>\\x87w/#\\xa1=e\\xa3\\x93wvb\\xd4i*\\xa2\\xb2\\xc0b\\x18\\xc7\\x02\\xd2w\\xf3:u\t8[\\x85lh\\xfc\\x85\\x0f\\xa6\\x01\\xd8:)6\\xff\\xbb\\xb4\"\\xe1u\\x96\\xd6d\\xb3\\xee\\xb4\\xdd\\xfc/pi\\xfe\\xa7\\xc8\\xa7a\\xbe>we\\xa3ll-;\\x97\\xa5\\xde:.\\xe8}\\xfc\\xbc\\x83\\xfach\\xe0:p\\xef\\xfa\\xdbi0\\xdd\\xbbb\\xe0\\x9c\\xf6o\\x90\\x1en\tzb\\xd6\\xb6\\x970\\xfe\\x07\\x8edu5\\xb9\\x10\\x07\\x95_\\xdf\\xd5@\\xc2\\x11\\xf9`\\xbc\\xcf\\xc0\\xd5y\\xc7\\x07\\xc6\n\\x89\\x1a\\xb3\r\\x1d\\xa6k\r\\xbc9\\x12\\x8c\\x87g<\\x83\\xe4\\x02\\x87\\xb1m\\x8e\\x0b\\xf6\\xfe-\\xd4\\x85\\xb7\\xf6\\x0f'm\\xef;l\\x1c} qy\\x7f\\xeb\\x8a[7\\x06\\x96\\x1b\\x18$\\xfft\\xb3\\x1a[\\x00^d\\xea\\xaf\\xab\\x8d\\x04rr\\xe9\\xb6'\\x07\\xed\\xccy\\x1e\\xbf\\xf7s\\xb8l\\x9f\\xb8 f8\\x83\\x92h\\xf1\\x04mxo\\xec%\\xdf\\x8e\\xb1\\xc3d"
940. },
941. {
942. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x84\\x8d2\\xe3\\xaf\\xc4k\\xbe\\xd23%{\\xf5\\x8cap\\\\x19\\xf2\\xd0\\x82\\xbc\\xdb\\x02@rfp#\\xc6\\x1c\\xad\\x86\\xce\\xd3/\\xf6&\\xf87\\xb1\\x99\\x92\\x92b|ah7\\xb2%\\xed\\xdb\\xb1\\xdd\\x1d\\xd4\\x91\\xdc\\x92z\\x9byd[m\\xc0\\xae\\x7fu>\\xd4\\x89jz12\\xb3\\xea\\xaaz\\xf0\\xbe\\xa5\\xb9k\\xe5c[\\x02\\x08\\xbd\\x83\\xc0p\\xf4\\xda\\x1a\\xec\\xb5\\x15b\\xd1\\xbbr\\xa5\\xe6d\\x00?\\x8f\\x85\\xb2p\\x89\\x92g\\x12h\\xac\\x01\\xedu\\x0c\\x7fn\\xf6\\xb1\\xe9\\x9c\\xb3\\x0f\\xe8p\\xfd;\\xce\\xde\\xfc\\xa7,\\xc1\\xc2\\xc5\\xc4\\xa3s\\xb5,\\x8cw\\x1b\\x1a%'l\\x97cm\\xbb\\xaa\\x10\\x0e3\\x04\\xad\\xdd\\x03\\xf9o\\x94\\xa3\\xb0q\\x17ih[t\\x9c\\xea\\x9ek\\xf2\\xb038\\x84\r\\xd29x:b\\x12\\xcb\\xb9\n\\xac\\xa2\\xf9.\\xa0/~\\xdb\t\\xd6\\xcd5\\xcf\\xbf\\xb4\\xaf>\\xa6\\x19a`\\xe5\\xad\\x0f\\xa9\\xd1\\xe1\\xab\\xa8\\xb1\\x893\\xb2\\x85%\\xc7\\xb6u\\x1fvl]\\xce\\xc6:\\xdd\\xb8\\x87\\xf59x-\\xfa"
943. },
944. {
945. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf16\\x86\\x19\\xd3\\xf3\\xbd\\x864\\xa8\\x8c\\x88n~l\\xb48\\xc0\\x9b\\xc1>\\xb2\\xde\\x85\\xe6\\xe8b\r\\x04\\x11\\xd0s\\x91\\x160%9\\x96c)\\xe6[!\\x13\\x9b\\xa2\\x82\\xad\\xaf\\x18c\\x0cl\\xbc\\x9d\\xf1\\xc8[\\xb5\\x04\"\\x95\\xfdr\\xe0\\xc5\\xa2\\xa7\\x00\\xe2e\\xd3*\\x0fn \\x9f\\xce\\xaf\\xa1go\\xe5j\\xc4\\xbf\\xad\\xf5\\xd3\\x88\\x04\\xb0\\xa7'v\\xa9q\\xc2\\x0fd\\xf8\\x9e\\xcb\\xd82\\xe32\\xab\t?~2cj]we\\x7f|\"\\xdc!c\\x9emc\\xea\\x18e\\xba\\x92\\x08\\xb59\\x13\\xcb\\xcfc~\\x80r\\x8b_\\xad\\xc2\\x80\\x15^\\x08\\xeb\\xd7\\xaa\\x83\\xbe=\\xbd\\xf8\\x0e\\xc2\\x06\\x1f\\xde\\xd6\\xa5\\xb4(\\x13\\xea\\x8c3\\x92\\xe4\\xa9\\x18c\\xd9{6\\x1aw}\\xad!\\x1a1\\xba\\xb7\\xa5\\xa8\\x96\\xb6\\xf2z3\\xc9\\xba\\xa6\\xb1\\x1dm\\xda\\x87\\x1b\\x8f|\\x83t\\xd4\\xdf\\x1ft\\xa0u\\xf5\\x1f3\\x0e3x_\\x82![pi5u\\x17\\x82 \\x9b\\x85\\xa6\\xcda yl\\x7f\\x8fxlm\\xcc\\xafv\\x19\\xf6h\\xe8\\x11"
946. },
947. {
948. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010v\\xe9\\xeb!\\x04\\x81\\xe5\\xfaz\\xc9\\xfc\\x13\\xf0\\xbd\t\\xe5^\\xd1\\o\\xf4}!_\\x9e1d,\\xe4\\x7f\\xees0\\xa5\\x8crq\\x92\\xedm\\x0e\\x08\\x99\\xd5\\xf3\\xcd\\x00\\xf3\\xef:\\x11\\xe2m\\xb5v\\x12\\x01q]y\\x1e\\x81\\x7f+\\xdf\\x8e\\xcfv\\xcf\\xaawup\\x8f\\x83\\x86iu\\x18\\xcez9b\\x02\\xfe\\xd9\r\\x85\\x04\\x84\\x92hk\\xab\\x0b\\xc4\\x97i\\x90+c\t\\xf1x\\x18\\x05\\xbb\\xad\\xaa:\\x04\\xc4nr:\\xdc\\x91\\xd2f\\xafh\\xc9\\xffo\\x8e\\xb2\\x16-\\x87\\xbb\\xfc\\xf0w\\x7fl^\\xd1\\x19q\\x0ba{\\xf7j\\xf2\\xaa*\\x150\\xe2\\x87y`\\x16o\\xafic\\x1a\\x82\\x10\\x85\\xccs\\x84\\xf7d\\x062\\xbc\\xb3\\xa1\\xcdu\\x92\\x15\\xd5l\\xda!\\xde\\x7fo\\x9fg\\xdc\\xa1q\\xa6!\\xb4\\xb6y\\xe2\\xa0xo\\xc1\\xd6\\xc4\\xbd\\x1e=\\xfef\\xa3\\xdeh\\x17\\x7f)\\x0b{\\x00\\x0chw\\xe7\\xe5*\\xec\\xea|\\xc5\\xaee\\xc9i\\x99\\x0b\\xe02'\\xa9+[\\x83\\xab\\xaf\\x96\\x0f[\\x89\\x80\\xae\\xbe\\xdb&\\xb9\\xa97"
949. },
950. {
951. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf4\\x88\\xd5\\xb4\\xbe\\x83;\\x13\\xb5\\x03y1r\\xaew\\xc7xv\\xbb\\x0b\\xecc\\x0f\\x99:\\xeef\\xce\\x7f\\x1e\\xae\\xd4y6f\\x1f\\xa6\\x07\\xa3\\xa9ls\\x8b\\xc7ty\\xa5t\\x1ar\\x1d\\x11\\xc2%e\\x87\\xb2\\x03{\\x91 \\xa1weg\\xe8\\x07\\x01\\xfd\\xd1\\xb0uu{\\xd4''6uuy\\x1b\\x0b+\\x06:sk\\xd2\\xc0\\xa5\\x9c\\x89z\\xaf~\\x174b\\xa4\\x9bd[h\t\\x9f\\x9d\\xf9\\x92\\xc5\\x82\\x12)$\\xd9\\xe9\\x84u\\x99\\x80\\xb6\\xb5{{0\\xa3t\\x99[\\xb3g\\xad-rf\\xfd\\xe6o\\xb0{\\x0ebl\\xd9<\\x82\\xfa\ti\\xe1\\xa4\\xc3\\xd2\\xb7o7&\\xd3\\xb1\\xf4\\xac\\xdd\\xf6\\xb2\\xda]\\xf5\\x9c\\xb6\\x05\\x92\\x14>~j\\x89k$\\xe8\\xb0#n\\xcd\\xa9v\\x04\\xd0\\x96)\\x84=~\\x7f7\\x01yq\\xdc\\x9b2s;_\\x17\\xedl\\x1e\\x1b\\xd1k\\x11<\\x80*v7\\xe0\\x13\\xfc\\xdb\\xa4\\xf8s\\x11^\\x12}\\xb3\\xd4~ k\\xe5\\xbe\\xa6\\x8a\\x88\\x05p\\x80\\xb8_\\x16\\x8e\\xeeo\\xd5\\x97\\x80\\x14\\x81"
952. },
953. {
954. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010ir\\xd4\\xe9w\\xdc\\xa9\\xdb\\xe1\\x83 \\xd0\\x966\\x03\\xb2\\xfb\\x8atf\n,\\x1fy\\xfc\\x0b{\\x13\\x13qp\\x89w\\xab\\xe8|\\xef\\xc0\\xb2\\xef\\xa6ow\\x9ft<\\xdd.ph\\x95\\xec\\xaa\\xb6\\xd5\\xe1\\x99\\xe7\\xe8\\x82\\xa2v~\\x83\\xe0;ow]\\xbb=\\xf7?\\x90\\x08\\xad*\\xc0\\xd7gl\\xe03\\x05\\xf0l];hg\\xde4\\x10\\xf0\\xc9u\\x82,\\xe5\\xdc\\x05\\x9e\\xa0\\xaa\\xfe@\\x9f\\xe1a\\xfb\\xd87\\xe5\\\\x05\\x86j9\\xcf\\xd66\\xa9\\xf0\n\\xc2`\\xb7\\xbcn\r\\x07i\\x8f\\xecb\\x82$\\xcf\\x99}v#a\\xc03\\xf5]\\xe6\\xb7i@\\xd9\\xc2\\xda\\xac\\x88\\x80\\x97\\xfcs\\xce\\x81\\xe4<\\xda \\x9d k\\xd0]\\x07\\xc6\\xafm\\xafa\\xa8h\\xe4s\\xbey\t\\xbe\\xcd:5\\x89e\\x0e\\x06\\x18\\xb4\\xdf\\x1b`w\\x1a\\x99\\x85\\xf6\\x01#\\xc83qk\\xfc\\xe8\\x14*2y\\x12\\xe91\\x92\\xefq\\x13i\\xbe\\xdfp\\x80\\x04\\xf6\\xec\\xdc\\xbc\\xb1\\xddk~\\x85\\xb2\\xff\\xd3uy\\xc4\\xae\\x89^e\\x93\\xe6\\xaa\\xb6\\x85"
955. },
956. {
957. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010y\\x9b\\x82\\x1b\\x0b\\x0c\\xcbew\\xb2(6\\x1d\\x187\\xdf\\xd4\\xc9j\\xed#\\x06\\xe7q\\x8a+1}e\\x12we\\xf4\\x00$\\xf7:\\xa3\\\\xffa\\xab\\xa5u$\\xe7<cw\\xdd\\x07\\xb4yip2-e\\x9f\\x91\\x9f\\xd8\\xd9\\x84\\xcd#\\x06n\\xc5\\xf5\\xae\\xe0gg\\x80\\x81l\\xc5\\xa5\\x17'1\\xb1\\x88\\xd0\\x0c\\xd5j\\xa4\\x16sj\\x07\\xe3\\xbet\\x9c\\x14-z4)f\\xf3\\x95\\xab\\xf1\\xddy\\x899\\xac\\xe5\\xe9\\xc9@m*(\\xd8\\x05\\xc2\\xab\\xfb\\xea\\xc3bt\\xb8\\xc4\\x9f\\x89{\\xc6\tm\\x10\\x8e\\xbd\\xda\\x83\\x1c#{\\xa9n\\xa0\\x8dm=\\xc6f\\xdc\\xee\\x83\\xc8\\xcfu\\x85\\xf0\"\\x07j1r\\xa7\\xfb\\xe5\\xdf\\xf1 \\x07\\xed:\\x88\\xed\\xb0%\\x9e\\x15\\xd3\r\\x1a\\x00\\xff\\xcd\\x8fao%u\\xac\\xee\\xa3yjo(y\\xf6p\\xe9rj\\xca\\xc0\\xf7\\x90\\x17z\\x91 u\\x04\\xc9\\x06q\\x02\\xb2\\x0b\\x1d5s\\xe1\\x9e\\xbc\\xd63m\\xec\\x8bn\\xc9\\xff\\xebd\\xfe#\\xdcb\\x04\\x1d5\\xd3u\\x08\\x80\\xb5\\x81\\xab\\x19"
958. },
959. {
960. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x0107~a\\xae\\x01?\\xe9\\xa6\\x93\\xb2m\\x07&\\xe09z\\xaf{\\xa9a\\x010\\xaab\\xb7\\xfa\\xe8\\xb4\\xf8'w\\xc2\\xa5\\xa3\\xb2\\x06=\\x86\\xdd\\xda0\\x1fs\\x92xpk\\x99\\xb6\\xe7\\xfd\r\\xa6\\xdcr=v3\\xfd\\x10\\xae\\xbe\\xb1\\x88s;\\x1ci\\xa1\\x96\\x0e'\\xd1\\x8co\\xdf%hoa`\\x0b\\xb5\\x12\\x16k\\xa0\\xc0\\xd5\\xa32\\xd3\\xcbr\\xe44\\xf3)x\\x0bov\\x9d\\xe9o\\xb7uwa\\x82\\x80\\xe7\\x89\n\\x8a4\\xaa\\x15o\\x98<\\x17\\xecv\\xb2d1]s/\\xbb\\x16\\x1b)\\xb4l\\xe8r\\xcf\\x8c\\x81\\xd4\\xaa\\x04\\xfdl\\x9f\\xf4\\xacgj\\xb7\\x98\\xd2\\xedf~)\\xca?\\x1cpt@\\xfcz\\xfd\\xac\\x04\\xfc=\\xec|b\\xb3\\xa7\\xab1tf\\xe0\\xa3\\x9a\\x94\\x85\\\\x14 x\\xd7.\\x16\\xb9\\xd9\\xa8g\\x9e\\xc1\\xa3p]\\x8d\\x85\\xba\\xd5\\xfe\\xa8i\\xef\\x183\\x8aac\\xd3w\\x98\\xcc\\xb9\\xa6\\xf6jg\\x98\\xb3c\\xe9\\x91x\\xf7\\xf1~v\\xfb\\x03m\\xd2\\xb2\\xf6*\\xfc\\xc8\\xa518r\\xdfh)\\xe7\\xa1"
961. },
962. {
963. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010@\\x8ez\\xa1l\\xdfi~\\x03\\xb6\t\\xe3\\xa0\\xbf\\x12x\\xf1*e5\\xc5\\xa3\\xfem\\x8b\\xde\\xa6\\xb6&{\\xbc\\x8d\\xcfmq\\x1f\\x01\\xeb=\\x0e\\xca\\xfd%\\x91\\x13\\xf7\\xbf\\x89\\x88@c\\x19\\xfbp$\\xac\\xc3\\x7f\\x15\\xc9\\xa0\\xd1\\xc8\\xf4\\xae\\xe1\\xc1!\\xa0\\x8ew\\x16\\xdb>\\xa0?$\\xdaf\\xf4\\xb8\\xc0\\xb8eq\\xa2\\xf7=\\xe5\\xd4q\\x004i\\x86\\x1a\\xc5\\xd1l\\xcd\\x1a\\xfa\\x0b\\xb9\\x87\\xcc\\x1df\\xfa\\x803g\\xecz+}\\x9b\\xc9o\\xe5-\\xf4\\xec\\xbe\\x0e\\xc9p\\x0e\\x80d\\xc6\\xd8\\xf4\\xc2m\\x92o\\xedl\\xe2\\xf1\\xaa\\xe8l\\xcb\\x08\\xfb\\xe7\\xbe74\\x88xz\\xa2\\xbe\\x80\\xaf\\xc8\\xfe\\xe7\\x9a'\\xedx\\xea;\\xe9\\x97\t\\xcc\\xc8\\x891{\\xc1b\\xc7b\\xef\\xeb\\xce\\xc0q\\xc8\\x98\\xb8\\xad\\x87\\x98\\xfcp\\xf4w\\xfe\\x87\\xff\\x0f\\xa1\\x94\\xfc(_^>n\\x03,vb\\x7f\\xb3\\xf7\\x84\\x83\\x12\\xd6\\c{\\x93\\xc6s\\x81u s\\xac\\x8d\\x1a^\\xc5\\x10\\xdd\\xe1\\xbc\\xb8\\xae\\xcf\\x1dk$\\x87\\xe5\\xa8e\\xcb\\x1a\\xef\\xc8\\xc3"
964. },
965. {
966. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x18\\xed\\xc2[s\\x0f\\x175\\xa4\\x8b\\x1a\\xbf\\x01ne\\xa9\\xe1!1\\xbe\\x8b\\xc8n\\xa9\\xfdy#nd2zk\\xbb\\x82f\\x19\\xe8\\xe89f\\x9e\\xe5x\\xe0\\xc5\\x19:\\xd6(fe\\x85ebdgh\\xefv\\xc4\\xd3*\\xefo\\xe0\\xbe\\xac\\x1b\\xf5f\\xb5\\x17\\xa7\\xa2w\\x04\\xd5cbv\\xed\\x9a\\x01\\xe5rt\\xdd\\x00\\x9b\\xc6\\x07\\xd10\\xd1h\\xc1n&\\x8a\\x801\\x0f\\x8b\\xe6\\x04\\xd6n\\xc4\\xea\\xb6|t\\x08hq9\\xeb?\\xcd>\\xb6\\xbdf\\x03i\\x95\\x8c\\xa8\t]\\x0c81\\x9c24d\\xf7{\\x97\\x86\\xea{\\xe5\\x16\\x1fp[`\\x1a\\xd3\\xcf\\xd7\\xa9\\xe9n\\xa4\\x00\\xbd l\\xd5\\xf49\\x1d\\xfc\\x87ns\\xcc\"\\x1d?\\xc8u\\xf7\\xe3\\x9f\\xba\\x94,\\xfc\\x01e\\x87\\x86[\\xe1\\xffbfd\\xb2\\x8ey}\\x10\\xf9\\x8a\\xaf\\x97\\xdb\\xa3\\x1b\\xf5\\x17\\x12\\x88\\xc4?\\xa6\\xe4\\xdd\\x85\\x8a\\xaas_\\xc0\\xeaf\\x01\\xc0\\x1bs\\x8fw\\xbc\\x7f\\xff\\xbe\\x06\\xaf\\xb6\\xf1q\\x03\\xf7\\xbf\\xde\\xc2\\xcd\\xf5\\x1c~h\\x8e\\x02\\x17\\xd6\\xf1"
967. },
968. {
969. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd8d}\\xda\\xa6\\x13\\x17}\\xf4\\x9b{;p\\x9ab\\x05\\x02\\x92\\xc8\\xdb\\xbb\\xc4\\xcc8\\x0fn\\xddh[\\x13\\xb6\\x15\\xfb\\xd2p\\xd3c\\xe7\\xb0\\xf0,\\xba\\xa3j\\x14\\x8c\\xd3;$\\xf9\\x9a\\x084\\xb2k:r\\xaf\\xc0\\x92\\x7f\\xe4\\xa8\\xc8v\\xa2%\\x8ad\\xe6\\x9e\\xee\\x07\\xb3\\xd9e\\xf5\\xbe\\x9c\\x17\\xfe\\x10\\xe8\\xc4\\xe0\\xb9\\xb59\\x88g\\x10,\\x1a[u*\\xde\\xe4p:\\x8boj\\x7f\\xe9\\xdb5{\\xd3\\xfc\\x83v\\xa0\\xdc\\xf9\\xd2u\\x16\\x13\\xc8\\x83\\x07\\xc3\\x91\\x14`\\x84\\x1csy\\xb9^\\x03\\x05j\\x07t^+\\xf0\\xf9=\\x1e\\xba#\\xb8\\x04d\\x9e\\xa1\\xe7\\xa9\\xd9+\\xf5\\xd4\\x1c\\x0e\\xd2aqz\\x1c\\xca\\xdf3^\\xa8\\xa7<b\\xef\\xd5f\\xc8\\x04\\xc8\\x86/a$\\x91b6z\\xa9\\x9ci\\x14 \\xef&\\xee\\x04/\\xcd\\x05.\\xeb\\xca\\xdb\\x85n{\\xc5\t\\xb2f[\\x90t\\xeds\\x89_\\x06\\x05ei\\x7f\\xa8\\xe3\\xbaq\\x98\\x80\\xb4\\x8f\\x90\\x8cy\\x9ahm\\xce\\x89\\xd1\\x12\\xad\\x17\\x18\\xa5\\x9b\\xa5{n_\\x12\\xaf9\\x19"
970. },
971. {
972. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xe3\\xc4v\\xc8\\xea\\xb4\\xe5\\xa1\\xd6\\xcbni=\\x1eud[p`v\"=4o\\x81\\x8b\\xb3\\xf7\\xfe5\\x0e\\xdb\\xc8\\x85j^h\\xcd\\x9dm\\x8c~\\x84y\\x8ex\\x85~7\\xbb\\xad\\x80\\xcd\\xef\\x87\\xe7\\xd8\\xf7\\x00cs\\x8f\\xa3\\xeb\\xacj\\x87\\x14\\x18\\xdb\\xa9\\xb4\\x04)\\xbe\\x80\\x88\\x0c%\\x9c\\xb3\\x13n\\xdc\\x05\\xec\\x06\\xe0\\x81\\x91\\x01\\xbb\\xc1\\xf7\\x86\\xb9!f\\x80\\xbf\\xc79\\xa3n\\xb2\\xfft\\xb8\\xd4b\\x82\\xb6p\\x9b\\xcakjh\\xc3\\xad)\\xf2\\xc3\\x8fb\\x94)\\x8d\\xd4\\xfb\\xba_\\x1e\\x10\\x96\\x08\\xd8\\x19\\xd7\\xfa\\x8f\\xd7\\x01\\xd1\\x8f*fs=\\xe0p\\x10e\\xf5y\\x13n\\xc5\\xc8\\xed5\\x82`sq\\xe2\\x92ag\\xcbzu\\xb7d\\xaf\t\\xfb5\\xc3\n!p\\xfff$\\x03\\x8c\\xf5\t||\\xdb~\\xb8\\xcbu\\xbbk\\xad\\xeex\\x88pv\\xfa \\xbb\\xce\\xb0t\\xef6\\x16f\\x9a\\xb1\\xc2\rqf\\xc2\\x08\\xce\\xbfaz\\xa8d\\xb3g>\\x88h\\xa9\\xb4\\xf8\\xd0wirv\\xfc\\x0e\\x04\\xe9x\\xfe$c*\\x03"
973. },
974. {
975. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd1\\x7fs\\x8497\\xc6\\xf5l\\xcc\\x1d\\xe3\\xd9n\\x17\\xb4*\\xdd\\xe4\\xb58\\xee\\x1e\\xc8,{\\xc9\\x84\\xaej\\x1f\\xf5\\xd9q\\x91l-d5a\\xf4hmjn5wf,\\xa6\\xdaav\\xe9\\xd1xin\\xb9\t\\xf4\\xc9\\xba\\x8f>\\xf6\\xe0v\\xe5\\xec\\xe1\\xd4e0\\x06\\xfc\"\\xa5\\xdfwzz\\x80\\xd8z\\x1f\\xd4\\xd6\\x9cf\\xd3\\xde\\x90p\\xe8\\x99@\\x0f\\xb4\\x80\\xb0\\x15\\xdb\\xb7mx\\x98\\xc9kt{'8\r\\xae\\xcb\\xe1\\x90\\xb4w\\x81g\\xd4\\xf7i\\xcc0\\x11v\\xfa\\xf6`\\xc9\\x91\\xd4\\xb0\\xf0\\xa7\\x9a\\xf9v\\xaf\\xe3\\xc9*0>\\xa9\\xcf!\\xab\\x82\\xf7\\x92\\x7f\\xfb\\x01\\xaedi\\x97\\xf9\\xbc\\x8f\\x87\\xb3\\xd5x\"\\xc0q\\xd3\\x9b\\xf0\\xa2\\x83\\xbfr\\x80\\xde\\xe5\\x90+\\xde\\x89\\xe3\\xff\\xce\\xdb\\xff7+\\xea\\x1b\\xd2$j!u\\xc5v\\xbe\\x14?\\x19\\xde\\xbb\\x9b\\xe1\\x8e\\xd2\\xefanq\\xed\\x87\\xe9\\x19nc\\x05\\xb5k\\x9ay\\xeby\\xc6vi\\xd9\\xad\\xa9\\x7f\\xe0\\xc9\\x8d\\xdaa\\x8bes\\x90\\x91-\\xfcy\\x05\\xe8\\xa2"
976. },
977. {
978. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf9a\\xdc\\x96\\xb5\\x01r\\x8c\\xe8\\xb3i\\xb2\\xb7;z\\xddjuftm\\xf5\n! \\xf3\\x14\"\"\\xf4\"\\x1c\\xf0\\xb0\\xf9\\x17\\xa3\\x7fp\\xe4\\x0c\\xbb\\x91\\xabi\\xa5\\x7f\\xb78j\\x10\\x17&\\xb6\\x9e\\x04\\xa9\\x04\tc\\x1dr\\x90%\\xf7\\x0f\\xb2r-\\x9e\\x82\\x12=\\x8f\\x89\"\\x96)\\xcc\\xc1\\xc4\\xac\\xac6\\x9c\\x96\\x7f\\xc0hsl\\x80\\xb8h\\x86\\x80\\x9d\\x86rsp\\xe4\\xed\\xd9\\xd6\\xaa\\x1c\\xc5b%\\xd8vv[\\xb1hd6z\\x13y\\xda\\xd3c\"\\x14h{\\xdfk>\\x92 8\\xbb\\x14p\t\\x89(cc\\xe8d\\xaf\\x0c\\xa3\\x9b\\xb6\\xaa\\x1cic`\\xd9?-\\x13\\xa1\\xc5\\x12?\\xf3' \\x16\\xe4\\xc6\\x1a\\xc4l\\x12\\xcf\\x92d\\xf5\\xd9l\\xed\\xa6x\\xd2aku\\xb7}w\\x13\\xcd\\xa7\\xd9@\\x8em\\x93\\xd4qc;\\x84\\xef))\\xa6\\xf6\\xf8#\\x07i\\xf0\\xa5a\\xc6\\xec[\\x8f\\xbfs;\\xde\\xaf6\\xe09~%\\xc7o\\xe6\\x07\\x97\\xfe}-\\xb8c\\x98wu\\x16\\x1a\\xf3\\x8a2\\xb0\\x8cvw\\xc5a"
979. },
980. {
981. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x8c\\xea\\x97\\xba\\x96\\xacp\\x00f\\xc5\\xff\\x81t\\xf5g\\xb0\\x9ex+\\x9dd[\\xb4\\xcbdf\\xc5{\\xb1v\\xec\\x9ce\\x9d\\x02\\xd5!\\xe2\\xe2\\xab\\xc9\\x80a\\x13\r\\x96\\xe4o\\xa6\\xa4[\\x02c\\xa9\\xef\\x80\\xe7f\\x8al\\x8a\\x9c\\xd7q\\xa5\\xd2b\\xf4\\x03\\x98r\\xec\\xaa7n\\x8c *\\x9c*z\\x0c\n\\xb0\\xe5\\xeb{]\\xb7'\\xc9\\xa5avt\\xca\\xf5gg9*v\\xf2,\\x0c~5\\x90\\x96\\xe7\\xa1\\x19+\\xe1\\xf2\\xcac\\x18hf\\xe8\\x85\\xce8\\x10\\xb4d\\x10\\xc0\\x8e\\xd1\\xa3\\x80\\x87\t\\xe1\t\\xfe\\xb0k\\x81\\xf6\\x11\\x87\\x93 |\\xda\\xb5\\xdfpv\\xe6\\xe5\\xd6\\x16\\xb3\\x83g\\xb9k\\xc0\\xee\\x8b`cq4\\xe4\\x07\\xac8\\xf0m\\xd9\\xf7\\xf6\\xf6u_\\x84\\x9e\\xd2\\xdb/+\\x86w\\x15\\xf9\\x81\\x8c3;\\xf4\\x9e\\xc3\\xc5\\xa7<_ms\\xa6\\xa4\\x9b\\x087\\x99\\xe1\\xd6\"\\xcco%\\\\xc8\\xb5\\x0e\\xbf\\xe5uh\\x9e\\x99\\x8c\\x17\\xd5\\x95vr}el\\x97\\xd6\\x8c`w\\xdc\\\\x01\\x88\\xdd\\xe0\\xab\\xcc]\\x0c\\xe2\\x8e"
982. },
983. {
984. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xc34u\\xad\\xa4\\xec\\xad\\xc5\\xd708\\x1e\\x06\\xd3\\xbf\\xa5\\xe801\\x9e\\xa1\\xf7\\x19\r\\xbb\\x88\\xefv\\xc6zak\\x8d1\\x02:/{\\x12\\xbe\\xf3\\x03\\xc9fib\\x85\\xdb*\\xa3\\x91=\\xd8\\xfb\\xe1\\x00!\\x13]\\x13\\x81\\x18\\xd8\\x10\\x141\\x81_z6_`\\xb6\\xd8\\xbb\\xac\\xc2\\xb0m\\x0f\\xe6\\x82\\x8buq\\xff\\x00s\\xa5\\x8a\\x0c\\xf5\\xd2\\x0b\\xe19\\x81\\xef\\xae\\xd1u\\xf3\\x85\\x154~\\xd2\\xdfv,m9:y\tqd\\xb9\\x8f;\\x88kzu\\x1e0\\xc5\\xa7~\\xe7\\x13\\xdba\\xc2\\xb7%`lmb\\xaen\\x9a\\xff\\x8726^\\xd8gb\\xaf}s]\\x97s\\x06 4\\xa4^\\xdb\\x01\\x03\\x9e\\xd7\\xbb\\xcf\\x91\\x18\\xc2\\xccj\\xfe\\x08\\xcf\\xfao\\xd5\\xe1\\x92\\xeer\\x82\\x83\\x17\\x0c\\xce\\x99\\xb4\\xe1\\x974@\\xed:ch\\x14\\x10g\\xd8\\x08\\x84\\xb0\\xc2\\xaf>\\xd7\\x7f\\x1e\\xdc\\x86\\x06vy\\xc1\\xedo_\\xb9\\xbc\\xbd\\xe7\\xbe\\xea\\xc6\\xd0\\xc3ls`y2w\\x82\\xa2\\\\xa9evb\\xd1\\x926\\xa8\\x81\\xdc;\\x9d"
985. },
986. {
987. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xbc\\x88\\xd4z\\xcf\\x1b\\xa2\\xferl\\x15\\xfb#\\x19\\xa64\\xaa\\xcf\\xce\\xb9\\xfb\\xcb` d\\xfa\\x80\\xb7/\\xb1q,\\xaa4\\x93\\xbd\\x19fh\\x05\\xd1\\xa0~\\xf0\\x88\\x91x\\xeft\rt\\x1ado@>tr@\\x0f\\xd9.\\xa5\\x98d\\x80\\xff\\xf4x\\x19\\xdd\\x86\\xa0f\\xa3\\xba=\\x14\\xfb&\\x86~\\xa5\\xa6\\xd5\\x10\\x06\\x97\\xc4\\xa2\\x8f\\xd1r\\xa3\\xe32\\xc4\\x11\\xf1\\x0e\\xf4\\xfbcpq\\xccv\\xcd\\xd9j\\xaa\\xe1\\xa6g\\xf1\\x08\\x98}\\x84>`\\xf3bl\\x1b\\x1c\\x92\\xc1$\\xbb\\xc9\\xb5o\\xcf\\x9bq[\\xcf\\xad\\xe0\\xa9\\x83\\x01'nb\\x01\\xe2s\\x19\\xb5\\xcc\\xc7\\xf7\\xf6.~\\xfd\\x1d\\xee-|\\xe6w\\xea\\xb5(&i\\xf5\"\\x05^\\x92&2y\\xc5:w9\\x05\\x94\\xaft\\xf6!fl\\x89\\xdc\\xa2\\x98gs+\\xa6\\xac=n\\xe0\\xb1\\x99!\\x83qm\\x88\\xb8\\x84f\\xcd\\x9a+\\x117ad~\\xa2o\\x9a\\xf5\\xb83\\xd4q\\xedw\\xe8\\xbc`|\\x8b\\x7f\\xb5\\9\\x8eu\\xb0\\x81\\xf3\\xa9*\\x92\\xee\\x10)\\xd8@"
988. },
989. {
990. "http_request": "winword.exe_WSASend_\\xc4\\x00u\\x00\\x18\\x18\\xe9\\x0el\\xc1\\xf3c}\\xbd\\x99\\x83\\xec8h\\xb3\\xa9+\\x99\\x8a\\xbc\\x08.#\\xaa\\x0b\\xe4\\xe7q\\xdb\\xc4\\x90v\\xf4\\x85\\x93\\xb4\\x1bg\\xab2\\xbf\\x80h0)\\x03\"\\x1f>3\\x18d\\xe2\\x10h\\xb8\\x16\\x94\\x99\\xe0\\xd1\\x0f{1\\xcf\\x8d\\xa4rw\\x81\\xc5k\\xa6\\x07\\xd3]\\xe0\\x96z5\\x15\\xc3\\xfc\\x88\\xf5\\xc7\\xa4\\xea\\xa9\\x87u\\xd8\\xad~@\\xb1\\xecxi/\\xc7!\\xea\\xb4v:\\xec\\x9a\\x05\\xa4qj\\xa3\\x04\\x88\\xa0\\x18k2\\xb5\\xe0\\xf5\\x19\\xa6\\xef1\\x0bd\\xe3\\xe6\\xa2]\\xed\\x07t\\x8f\\xe3\\x0c\\x84\\xae\\xb5z\\x98\\x01\\xfc\\xe8\\xf9\\x10\\x18t\\x94|g\\x0f\\x11\\xcf\\xfe\\xd6\\xef\\x08\\x88\\x12\\x8b\\x1c\\x9dbk\\x14\\xd4nj\\xae?\\x9b\\x88u\\x9e>\\xb1\\x87\\xf4\\xad,\\xa1\\xb0\\x91y\\xfe\\xab\\xc0\\x0f!\\x97v\\xb8h\\x1b\\x82h\\xdd\\xa5\\xf7\\x98atyj\\xc8\\xce\\xed\\x89\\xaba\\xef\\x1dx\\x80xx\\xc7\\xae\\xd4\\x83\\xcc\\x9f\\xd2\\xb4\\x0b\\x04>_d\\xcd7b\\x90\\x03\\x04e\\x06\\x8ftt\\xe5\\xe0m\\xfbd\\xead("
991. },
992. {
993. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010vb\\x9be\\x9ex\\xfe\\x93\\x0c\\x1f\\xed\\x95\\x9f|4{+c\\xda~$\\xc5q\\xfc\\xa99f\\x85\\xff\\x82\\x13\\xe5\\x82g\\xbb\\xd7gz\\xe6\\xb6\\xda\\x9d\\x85\\x88\\xe3\\x04\\xba\\x01f'q] l\\x13\\x0b\\xd0\\x7f\\xc8\\xbb\\xb4+]5dn\\xdd\\xfd;<\\x8a\\x98\\x98\\xd2\\xe4\\xae\\xbb\\xb6\\xc5a\\xe1\\xb4\\xed2(\\x14\\x85\\xaec'aa\\x00qdm\\xc2\\xce\\xbc\\x00\\xf1\\x95\\xb3\\xcbz\\x86\\xfa\\x98;\\xd5h\\x8d\\x0c\\x8b]d\\x80\\xc0\\xea\\xc4\\xbc\\xb9e\\x1a4\\xcc\\xa7\\xf9x\\x89\\xa9\\x1f\\x85\\xdb\\xf9\\xf7\\xc3\\xcc`;\\xe0<\\xceff.s\t\\x1b\\xa9 &\\xc1\\x936\\xeb\"\\x8am=\\x84\\xb8kpx\\xe7\\xf1\\x8c\\&\\xed\\xcb`\\xf2\\xc5\\xce\\xbc\\xdbp\\xd6\\xd6k\n\\xca\\xf6\\xd7\\x19\\xdf\\xfd\\x81r\\xf8\\xdb\\xc9\\x1f\\xad6\\xa6\\xd4\t\\xec`\\x9f\\xe6\\xaaor\\x8c\\x1b\\x06\\x19@}\\xfc\\x1a\\xa6\\xd30\\x93\\xa1{\\xe4*\\xf5z&=\\xe6\\xfe\\xe2\"2n\\x88v\\x19\\x14r\\x02g\\x1d\\x12\\xd8\n$,\\x81%,\\x12q"
994. },
995. {
996. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xc3\\xa7h{\\xa3c\\xd0f\\xaer\\xcb \\xb9ui\\xf1\\xe2\\x14\\xef\\x80\\x1c\\x17'\\xb3\\xa6\\x85\\xb8\\x82y\\xf9\\xf7\\x00\\x1cei\\xce\\xb5d\\x945\\x87s \\x7fq\\xdfe\\xc7\\xf8-\\xab\\xdc\\xe3\\\\xfa\\x0f\\x03\\x81\\xfcp\\xbc\\x02\\xb8\\xc3\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xc3\\xc7\\xc8\\xb8\\x17^\\xce8^=\\x87\\x9fc\\x8e^}\\xc1\\x12/v\\xca\\x0e\\x01\\xabr|\\x8c\\x0c\\xb7\\xcc\\xd1\\xb9\\xef8\\xb0\\xbb\\x12\\xa3\\x00\\x0e\\xa9y\\xf5\\x10\\xc7{\\xad\\x8f"
997. },
998. {
999. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010}\\x9d:a\\xdf\\x04\\x197^\\x81\\xa8\\xcdt%\\xc9+.\\xf4>\\xf0\\xa7\\xe5tf$\\xe2\\xf1\\x91:\\xe6\\x7f\\xba\\xff\\x9a\\xae%\\xcbtt\\xf8\\x8fw\\\\xa5\\\\x1b\\xce[\\xde\\xf5\\x8by\\x91!!\\xea\t\\xd0\\xf8^\\xd3/_\\x06\\x90`\\x97\\xaf\\xe1:s\\xf2\\x807\\xa2\\x8b\\xc3\\xeb\\xcfv(\\xe3\\xa3\\xee\\xfdh\\xec[z\\x91\\xb4l\\xf6\\xab\\xcc\\xae\\xb8\\xec\\xd5mf\\xb1/\\xe0$bc\\x1c\\xb7\\xf6\\x1a\\xe8\\x0cx\\xa5:\\xd3\\x9ew\\xfb\\x7f[#\\xe0eg\\xf1\\xe0\\x1a|\\xa7\\x1chf\\xb8\r\\xda\\x1b0dt^\\xa5(\\xb7&\\x16u\\x8d\\x14\\xfdf\\x92\\x0e\\x90d4,o% \\xe7{\\xc0\\xba\\x16v\\x02\\x06*\\xc8\\x82x\t$\\x8dq\\xc3\\xcf\\xd4a\\xe6\\xd5\\xee;'&\\x9d\\xc8\\xf0\\xfb\\x1aw-`\\xf2r\\x92>\\x18*\\xed\\xdf]h\\x95\\xf3\\xe7z\\xd1\\x81\\x18^\\xd7\\xc8\\xaf\\xb2\\x80h&\\xa2\\xd5|\\xaf]\\xde\\x84\\x9d.\\x93@\\xb1\"rj.\\xe7c\\x0c\\x07\\xa3\\xce,x\\xe4\\x91\\x0b\\xc9\"\\xc4\\xa2"
1000. },
1001. {
1002. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010fj\\xc5\\x11\\x92m\\xeb_\\xf9\\xd6:t:>\\xbe\\x98\\x91c\\xb9\\xe6\\xec\\xa4\\x1b\\x95d npr\\xfe>i\\x01?\\x86p\\xed\\x13y\\x88\\xbd\\xb2\\xb0\\x15\\xa4\\xd4? \\xd85\\x14\\xc7[\\xa7j\\xc1x&\\xce#\\xd0\\x9c\\xa32\\x83\\x1f\\xcc\\x8e\\xf8\\xda\\x18r\\xfd\\xf4:\\xfd\\x02\\x10et\\xd2\\xc0\\x01b\\x82\\x1ct\\xd1\\x0e\\xb7\\xd4\\xd2\\x05>\\xb3\\x84\\x98yv(t\\xbeso.\\xb7\\xda\\xe3x\\xcd\\xbe\\xb1\\xael\\x85\\xa7)\\x01\\xf8\\xae\\xcd\\x84\\x90^\\x0b\\xa0\\xfd5\\xf9\\xfag\\x1e\\xff\\x13\t\\xfd\\xcf\\x0f5\\xcc\\x95h@a\\xb2\\x0f\\xfa\\xf1\\xdf'\\xbe\\xe6y]\\xdd\\xaf\\x9c\\xdb5\\x02\n\\xc6w\\x9e\\xa2\\x98!\\x19cu\\xec7\\xdb\\x93\\xb8t\\x9a#\\xee\\x0e\\xae\\xda\\x0c\\x92[\\xba\\xa5\\x16\\xf3\\xd83q\t\\x1d\\xc8p\\xfa\\xfe\\xebf\\xb3\\xc7\\x7f\\xe1\\x15\\xe6~\\xef\\xdc\\x89\\xc4s\\xe2\\x9a \\xbc\\xc3\\x1d*i\\x91~\\xad\\xeb\\x8b`/!\\xe5\\xc2\\x12\\xde+7\\xbf\\x1f\\x93^\\x14p\\xed\\x7f\\xca!\\xc7\\x98\\xf7\\xeb\\x81\\xad\\x9f"
1003. },
1004. {
1005. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x14\\\\xd1\\x08.\\xb9\\xa0\\xdb\\xd8\\xa0{rz\\x91\\xde\\xa1\\x08\\\\x14\\xc0-\\xe1\\x16dr\\xf7d\\xef\\x0b\\xe4c8\\xa5\\xd1s\\xeb\\xf5\\x9cf\"n9\\x17\\x80\\x1aa\\xb3,\\xa1\\xce\\x0b\\xf0e\\x98\\xdf@3\\x87b*\\xcdu\\xdb\\xe0\\xa3w\\x08s\\x06\\x17\\x05\\xe1\\xca\\xd6x\\xaf\\xca\\xba\\xeev](\\x10\\xa8z\\x0ec\\xadso\\xbc\\xef\\xc9\\xad\\x9e\\xad_\\xd8\\x19\\xc3\\xc3w\\x8e\\x88%\\xf0\\xde\\xec\\xba\\x88\\xbe\\x05\\x1e\\x18\\xf4\\xba\\xc9\\x92&-/&&x\\x13\\xf2of\\xc0\\xeb\\x05\\x08\\xc9\\xc7\\xbeu\\xf5rt\\xdb\\x01u\\xc4.ogj_\\xde\\x9a\\xd6\\xf8\\xee\\x1a}\\x9f\\xd0|\\xb4\\xa8\\x9b\\xebzee\\\\xce);\\x9b\\x89\\xa5\\xa2;\\xd7\\xea4\\xb0\\xc2\\xccl\\xd3q`(\\xef\\xc9\\xea\\xd2-o\\xe0%\\x06q\\xdf\\xe6\\xba\\x14o%\\x7fc\\xada~\\xc7\\xf4\\x90u\\xb3\\xcet\\x9d4\\xb1j\\x83:\\x04\n\\xcewnu`\\x00\\x9f\\x7f{7\\xeb\\xa5\\x02\\xf4j\\x16\\x86o\\xf2e\\x06\\xfa\\xb4\\xec\\x03\\x88*\\xf7\\x95b"
1006. },
1007. {
1008. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04'0\\xf2\\x7f\\xd9\\x92q\\x11\r\\xd0\\xc5\\xe1\\x14<\\xc9}\\x1f\\x18|\\x11\\xd3\\xcd%w\\x07\\x8e\\xf7\\x80x\\xe2u\\x88r\\x16\\xb5\\xe1\\x93l\\xfafo\\xcb\\xa9\\xfdc<k'i{\\xafgf\\x88\\xeb\\xd6r9\\xfcl\\x0bk\\xc6\\xac\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xb3z\\x92\\xa9\\x15\\xa17\\xdd\\xbd5\\xe3\\x18\\xac\\x12+jtc\\xae`x\\x1e\\xa9\\xb9\\xc9\\xe4\\xe6\\xbe\\xae@\\xdew\\xbe\\xf6\\xb4\\x01\\xdfq\\xdd\\x19#\\x0f\\xb2b\\x12\\xadi\\xf6"
1009. },
1010. {
1011. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04 _5\\xb5\\xd0\\x10-\\xb7\\x90y\\xf7q\\xca\\x85p\\xd7\\xbe\\x07\\xcf\\di\\xff\\x8b)\\xce\\x90o\\xc3\\x80\\x1f\\xa8\\xcdus\\x88\\xbdpy]\\xfc\\xb7\\x88\\xa32'g\\xb7gk\\xe3\\xc9\\xac\\xc9\\xc3\\xe5\\x16\\x13n[bmu[\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xbf\\\\x1b0\\x1dv\\xb5~>b\"\\xa5a\\xe6\\xe2\\x91!\\x02y\\x9a\\xb0\\x8d\\xf0\\xc5\\x8d?\\xfb\\x1c\\x9f}\\xe7^\\xa7\\xd7\\xe9\\xde#\\xf7:j\\xc5\\xc2\t\\xdf\\x97\\xb1\\xa4\\xb7"
1012. },
1013. {
1014. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x8f\\xa9c\\xf0\\xf5a\\xf9\\xdff4\\x81b%\\x87z\\xdf$y\\x1co=\\xc5\r\\x84\\xae\\x94\n\\xd3\\xf8{\\xeb!w\\x03\\xa4=\\xa29\\xe0p\\x0f\\xd2\\x83\\xbc\\xa2g\\xa5p!\\xf8\\xf8\\x12o\\xa4\\x10\\x1b\\xce\\xeb\\x9a\\xde\\xa2c\\x8b\\xf6y\\xb5\\xe8\\xcdz\\x81\\x9b}\\xf7\\xc1t\\x8b=\\x91\\xfa\\xdaj\\x08b\\xc8\\xc7\\xc2ck\\x8d\\xd1\\xa4:\\x88\\xf8r$p\\x14\\x1b\\x10)\\x10\\x99\\xba\\xb2^\\xc3k\\x01\\x1a\n\\x8f\\xf5^\\xda\\xc9\\xc9~\\xe5%!\\x8e\\x17\\x0b\\x1b\\x07\\xbdr\\xb4\\xeb\\xcb?\\x0bl%=b\\x95%2)\\xd0\\xbf\\x8e\\x02i\\xd2\\xa30\\x193\\xcb\\xf0\\x96\\xbc\\x13\\xa7\\x94\\xae\\x17\\xda\\x9a\\xda}\\xe1\\x9d\\xc4\\x9d\\x00\\xcd\\xc4\\x03k\\xc41\\xda\\xe0\\xbf\n\\xaf\\x1b3p*>\\xde\\x12\\x92\\x11\\xf9\\x0f\\x17\\x91zd\\x9e\\x87\"1f\\xa0#\\x14\\xab\\x9c\\xa5\\x18\\xbb\\xee\\xc2+\\xbb\\x81 \\x99_\\xf2&\\xc61%gz\\x98r\\x93\\xf2\\xc7\\x13\\x0f\\xa9\\xd5\\x98\\x1e\\xd7\\xf4\\x99\\x84\\xdf\\x94\\xf7\\x9e\\xbf7\\xdb\\x9a\\x95\\x0b\\xae\\xbf\\xe7"
1015. },
1016. {
1017. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x0104p\\xe6\\xab\\xeb\\xfa\\xcf\\x99\\x9e??j\\xd7\"\\xcb\\x92(\\xa0\n+\\xa9\\x00\\xb2\\x93i\\x16e--\\x8al\\xa6@j[j\\xd4z\\xe8\\x0c\\x9fe\\x18\\x0b\\xd4i\\xe8j\\xc5\\xf8\\xae_t0\t\\xfe\\xc4\\xcct9/\\xe2\\x02\r/\\x05\\x06\"'\\x06!\\xe1\\xf8\\x86''s\\x0c\\xe8\\x88>\\x03^g\\x14\\x82\\xa5x\\x83\\xaa\\xc6}u \\xf4h\\x07\\x02\\xbb\\xaa1ir\\xba*\\xb0w\\xf77\\xc3\\x80s8\\x01\\x158\\xa3(4\\xb8u\\xed\\x96;\\xcd@\\x0f\\x93;~!>\\x06\\x07\\xb8\\xfc9\\x86\\xef+\\xa4\\xba\r\\xff\\x14\\x19^\\xda\\xf5\\x98\\x95\\xc5t\\xba\\xafp\\x8a\\x01_l\\xf4b]\\x94\\xef\\xe4j\\xf4\\x9e\\x91\\xe6\\xe47n\\xe4a8\\xdd\\xaf\\xcf3o\"e\\xc8\\x1dx\\x84\\x89/}qp5\\xf08\\x96d\\x9d\\x94'\\xc4\\x8by\\x14\\xfb\\x11q\rrw'\\xe7\\x0b\\x05a\\x80\\x10%{m\\x93\\xae\\xaf\\x98\\x96\\xdcn\\xe1\\xb8|l\\xb0v\\xcc\\xe2%y-cm\\x80\\x18\\xc0\\xbc\\xe3\\xbejj\\x90\\x1b"
1018. },
1019. {
1020. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xdc\\x81r\\x070+\\xa9j\\xee\\xc7p\\xf4\\xd4\\xb0\\xd9g`p\\xc8w-|\\xdb\\xf1)e{\\xcd\\x97\\xd4\\xc0\\xf4\\x81\\x8a=\\x136\\xa6$1/t\\xb3\\xfc\\xb1\\xe9\\x0e\\x89\\x95\\xf3\\x00\\x9d\\xee\\xe8\\x85\\x99\\x9a\\xba\\xe7\\xf2v\\xc4>\\xdb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xf0m\\x96\\xe2\\xe8\\xc0\\xb1(9\\xcc\\xa5\\x00\\x19,\\x88\\xe7\\xf3\\xdbj_\\x85\\xfc\\xb4\\x8f\\x93h\\x84\\xa3{\\xc3\\x99mi\\xacau@\\x84\\x7f\\x91\\xaa\\x17\n\\x8d\\xe0\\x19uo"
1021. },
1022. {
1023. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04/\\xc2\\x87\\xe2\\x8c\\xde\\xaat\\x1b\\xb5\\xa5jm\\x0bv\\x88hm\\xc5\\xb9z\\xb9\\xb9\\x98\\x05\\xf1\\xf0\\xd4\\xfd\\x18\\xf4t\\xfc\\xd8[\\xb8l~\\x94\\xc0\\x8f\\xf3\\x92\\x8f\\x05\\x91ud\\x1d\\xf2\\xe0\\x06\\xd1#_ro\\x8d1\\xca\\xbc\\x16\\xa9e\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe2\\x17\\xf9\\xe1\\x99\\xe8%\\x80\\xe3\\x13mn\\x89\\xe4\\x9b\\x9c\"c\\xd5\\x87'j\\x8b\\xb6v0\\xcaz\\xd0d(:&|\\xaf2\\xb5g\\xe8\\x9a\\x95\\xb1\\xac\\xa0\\xfb\\x9b_\\x12"
1024. },
1025. {
1026. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xdek\\xe6\\xb4\\xa9\\x1a\\x88z\\x0f\\xc6+!h\\xe5\\xea\\x1btr\\x138v(\\x88\\x00\\xee3\\x06\\x19s\\x9abw\\x9d\\x15\\x9ak,t\\xd2\\x14w\\x11w\\xd8\\xd8\\x81\\x0e\\xdf\\x8ax\\x0c\\xeb\\x08\\xfb[\\xc3\\x8d\\xce:\\x81lp\\x98-h\\xc1\\xe9\\xe99\\x89\\x1f\\x8e\\x0c\\x15\\xf2\\xda\\x99n\\x1c\\xeaj\\x01\\xb8\\x9d\\xa5\\xb7\\xb9\\xd2j[{\\x9a\\xb1\\x1c\\x16\\xbe\\xca\\xcd\\xc2$\\xcc\\x91\\x16\\x90\\xbc\\xbbe%r\\x1c\\xf2i\\xe1\\xe0\\xcd\\xe9\\xbbp\\xe6\\x19\\x15\nu\\x97]k/\\xe8\\x9ec\\xa7kt\\xdb\\x9d\\x17 \\xa2\\xac\\xe4\\xad\\x862y\\xf1\\xc1\\x15\\xeb\\xf5\\xbd}\\xf1\\xf1\\xccv8y!\\xe7\\xc4\\x08\\x85\\x81\\xb8q|b\\xde@\\x1f\\xf9\\xb3s\\x18<\\xc6u\"li\\xb3it\\xee\\xb2\\x02\\xb4\\x8f=\\xbas`\\xc4g\\xcd\\x81\\x18\\x03jfw\\x84rwe\\xee2<4\\x17\\x9f\\xca\\xfe\\x16\\xdb\\x93\\\r\\xebgj<\\xbf;\\xd0\tx'\\xbaq9\\x9f\\xc1:ch\\x11\\x1c\\x19<\\x04\\x11\\x04?'\\xae,ic\\xf0\\x06"
1027. },
1028. {
1029. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xcbr\\xc4\\xd42\\xb0?\"\\xd4\\x9d\\xd8\\x93\\xed\\x90\\x82p9\\xb9b\\xf4\\xf9hvi\\xe0\\xba\\xae\\xd5(\\x86\\xfa\\x81\\x82\\xc5\\x1e/x\\xd1\\x99\\x1b\\xdb\\x98&\\xed7=7:\\xcf\\x87\\xa1*\\x80\\x1bb\\x07\\x83\\xf2+\\xb7\\x18\\xfa5*\\xae\\xca\\xc6\\xfd\\x00\\xb8\\x0c\\x1c_\\xc1\\xbc\\x81\\xd3\\xb6\\xae\\xcem\\xb9\\xac&\\xaf\\xe0\\x14\\xd4\\xd2\\x9c\\x0ef\\xf2:d/e:w0\\xe3-\\xdav\\xdd\\xf4zf\\xa3d\\x16%\\xa0\\xe7\\xbby\\xd6_\\xea\\xd1(^$\\xce\\x7f5\\xe4v\\xc3\\x97\\xfb\\x8c\\xd7u\\xa0\\xb4\\x93a\\x10\\x86\\xbe)w\\x8b\\xa8d#/\\xe6\\xf7\\xe7\\xb2|q\\xdf\\x1a\\x9a\\x1e\\xcf\\xcc$%\\x00\\x1e\\x03w\\x1e\\xd9ck<\\xf8\\xb3\\xbe\\xbb/c\\xde\\xc1\\x15\\x17\\xcd\\x9d\\xe0l\\xb7\\xe3\\xc6\\x80\\x8f\\xe0\\x9cb\\x9d\\xbe\\x14\\xbf\\xact\\xc3n*\\x15um\\x15u\\x8c_\\xf2\\xfd\\x04\\xc7\\xaczz\\x10\\xb0\\xbd\\xc0\\xc69z\\x00\\xe4\\xfdh\\x08\\xa2\\xee#\\x1ebcr\\x8f\\x8e\\xd8\\xf7q\\xbc\\x8d\\xcb\\xea\\x93\\xc5i\\x1b\\x94\\xe9\\x0f"
1030. },
1031. {
1032. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010j\\xebbi\\x08\\x10j\\x81\\x86\\xfb\\x9aaz/\\x0f\\xe7\\x9b.\\xbdd?n\\xb5\\xe4\\xb2\\x97\\x95\\xd9!u\\xc5r\\xa3\\xbf\\xc02\\x83:'\\x03\\xc0\\x84_\\xdb\\x95g\\x87k\\xcb\\x7f\\xe1\\x8f\\x04\\xbc\\xd0\\xf7\t\\xac\\xee\\x9c\\xc2]\\xe8\\x86\\x1b\\x85\\x82z5\\x8b@\\x9f\\xa0f\\xa7w\\xdb\\xe6ax.uyj\"\\xbc%-\\xda?\\x1a\\xbd\\xa9}\\xd0\\xec\\x1e9\\xaf\\xb2mn\\x9d\\xf7z\\x85\\xccn|y/\\x8ec\\xb3\\x1c\\xae\\x85[\\xf0\\xdf\\x1f\\xe4\\x9a\\xf9\\x0cn\\x87\\xb8\\x88\\xd2\\x90\\x0c\\x88s\\xcd\\x10t\\x12\\x80\\x86\\xb9\\x01k\\x0c1\\xa9a4\\x17\\xbd\\x14\\xeb>\\xf1\\x0c\r\\xa0l\\xf8\\xcb{\\x82m\\xda+\\xaf0'\\x8ct\\x90\\xf8cm\\xfe\t\\x9c3|\\xb9\\xcd\\xb0\\xddy\\xd0\\x035\\x94\\x7f\\xe8fz2\\x9eh\\x94\\xd4\\xdc\\xf6\\x19\\x82\\x0ek\\xd9v\\xb2\\xf0\\xc4\\x10q\\x89\\x88\\x8a0\\x9cp\\x97\\xbb\\xa1\\xf9q3\\xc3\\x88\\xba\\x074\\xf5\\xc4\\x16j\\xbe\\x98\\xb3\\xe7\\xaa\\x91k4!>\\x92\\xcd\\xda?\\xf5\"\\x17\\x8e\\xb5\\xe6"
1033. },
1034. {
1035. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x9e3\rzt\\xa4\\x91\\xed\\x00\\x8e\\x96\"\\xce8\\xcc\\x18\\xd9\\xc7\\x19\\x04\\xacy},r\\x9d\\x90\\\\xdc r\\xbe\\xc1\\xabn\\x88\n\\xf7i\\x00\\x9d\\x8d{\\xa7gr\\x8c\\xe8\\x87\\x08\\x87\\x03\\xbc\\x13\\xad\\xaf\\xcbz\\xbc\\xb8\\xea.\\x1a\\xc4f\\x04m\\xac\\xad\\xe7\\xb4\\x1f\\xd4\\xd0\\x054\\xb0\\xad\\x860\\x80\\x8c*\\xd2s\\xff8\\xc6j\\xf50\\x91\\x19\\xaby\\x9f\\xce3y\\xde\\x80 p\\xc9wsjj\\x9f-\\x83z\\x97\\xa5\\xbf\\xa0\\xaf\\x98\t\\x94\\xd7\\xdb|\\x91\\xd1`\\x07\\xe3\\xce\\xd6zgs\\xb6vs\\xb3\t\\x91t\\xf7\\xb4i\\xbe\\x8c\\x17s\\x0e\\x9e\\xb6\\xbf83\\xfb\\xf3\\x8a\\xd2\\xa4e\\xe1\\x1c\\xaa\\xa8\\xc6.\\xbe\\xf4\\x87^m\\xc3\\xf2\\xec\\xe7d7\\x138\\x8d\\x10\\xbb\\xda\\x17\\x8aq0w\\x9f-\\x0e\\xd9\\x99\\x0b\\xc3\\xf4q\\xc2_\\xddz_\\x1a?p\\x82\\xf6\\xc1eo\\x08\\x1e\\x06\\x7f\\xf6\\xebh\\xab\\xcb\\xfa\\xb7\\x03\\x17q\\x8d\\x0f\\xddc\\x11#\\xd6\\x8c\\x16se9\\xc8-v\\xaby\\xfbf\\xb4\\xa4tb\\x0b\\x08(\\xf7\\x19"
1036. },
1037. {
1038. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\r\\xa7\\x1b\\x99\\xb7*\\xbc\\xfc\\xf9\\x80s\\x92\\xe0t\\x18n\\x9b\\xf4o\\xc3l\\x90r\\xd2\r\"\\x97\\x8a\\xb1\\xb8\\xb9\\xb8)\\x04\\x9a\\xf6l>\\xb45h\\x1c\n\\xd2\\x92\\xcb\\x8c\\x19\\x02\\xfc\\xc5#\\xe9/8\\xe1c\\xa7\\xefs\\xdd\\xc1o\\xc5\\xe3\\x8a\\x8c\\xdf \\xb6\\xed\t\\xcfs\\xaf=9\\x0e\\xcd(\\xc9\\x8a\\x0b\\x8c\\xaf\\xc9\\xdb\\xe0\\xbf\\x87w4h\\xb4\\xc2\\x9f\\xd9n\\x17=.j`\\xfb\\xa8{\\x19\\xb3\\xaazn\\xb4zd\\xed24\\xbbq\\x13\\xf7\\xc15\\xbab\\xa1,\\xa1g\\xd10\\xcb\\xb4:u\\x0b\\x8a\\x01?>\\x0c\\xbc\\xaag((\\xbe\\x12\\x05\\xbck\\xb1s{\\xc8\\x9d\\xd1chl6\\xb5\\xa1\\xd0\\xa7h\\x9d\\xb0g\\x1c\\x96\\x1b\\xa3\\xec\\xdfb\\xd5x\\xb3\\x94>\\xe5\\x96kr\\xec\\x97\\x04\\xeb\\xe0\\x176\\x138\\x83\\xdb\\xc8s'\\xeb|\\xad\\xe7;\\x81\\x98p:\\x8b\\x8d\\xab?o\\xa9;\\xddd1\\xd1\\\\xddo\\x8c\\x0boo\\x81\\x8e\\xe6\\xab\\xeb\\xa7\\xc3\\xbb\\xb9t\\x06\\x9c\\xe6\\x8f.\\xfa\\xbd\\xad-\\x8a\\xf8\\xc4.\\x96l"
1039. },
1040. {
1041. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010yl\\x0b\\xe8b\\xed=\\xa8w\\x063\\xd3\\xb3$\\x94gd\\x1a\\xddm{\\xb8\\x9f\\xa0o\\xf2\\x98x\\xeb\\xac\\xcf\\x0cqgq\\x83\\x13\\xc7\\xc2\\x9c\\xcd\\xad\\xdd\\x9a\\\\x11\\x11f\\x81\\x8a\\xac\\x00rm\\x18\\xa6v\n\\xee\\x84/\\xad`1\\xb9\\xc9\\\\xde\\x86\"n\\xf1u@8+\\xfb,\\xd1\\xcd\\x1a7l\\xcb\\xc0jbr$\\xc6\\x18\\x1d\\x80\\xc1\\xa6}:\\xba\\x0c\\x1a\\x1c\\x14\\xbe\\xc1\\xfe<\\xa4\\x90m\\xb3\\xac\\xd3z6_h\\x96t\\xc0\\xf1\\xa7*\\xf5\\xb3\\xd7\\xe2\\x82\\x1d&%\\xbe\\xfbo\\xce\\x14l\\xff!i\\x96\\xef\\x90\"\\x80\\xec\\xd5x\t29\\xa7@\\xec\\x9a\\xbe\\x1a\\xc7u$g]gv\\x96\\x88f\\xfb0r\\xe7\\x97>b\\xaf\\xc6\\xd6\\xff3\\xb4\\xd91ci\\x8af\\x1c\\xef\\xc7s\\x88\\x99en\\x8cj\\xe2\\xa8\\xc6l\\xcc\\xbe\\x03a\\xc3\\x82b\\x9c\\xb4\\xb8\"y\\xff\te\\xc6\\x1c\\xcfs\\xd3\\xb6\\x82{\\xd45\\xe9\\x97fo\\x0b4\\x89jg\\x81\\xddk#\\xc3'u\\xa9\\xb5\\x19\\x1c\\x83a\\x1f\\xd5\\xb4\\xd3_"
1042. },
1043. {
1044. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa7\\xbc\\x9f\\x04\"\\x065\\xb4\\xc0\\x02\\xe86$2\\xec\\xf4\\x02\\xb7\\x02\\xfeq\\xacz6%\\xe6}\\xd1b\\xf5\\xb4p\\x15t\\xd1]\\xa4\\xd6rzkg\\x10n&e\\xd6i#\\xd5d\\x8e\\x1c\\xfd\\x8e\\xe9b1\\xc5\\x7f\\xd4\\xf3\\x06\\xf6\\x1b\\xd6lb\\xcc\\x0b\\xb9\\xcf\\xebk\\x00\\xbf\\xc6\\xc7\\x1fut4\\x8a6\\xdc/\\xfdz\\x8c\\xa4b\\xa6\\x81\\xa4\\xfd\\xa1\n\\x89\\x16,\\xefl\\xee\\xe6s\\x81b[\\xce\\x01d&/a#x{\\xcf\\xecx\\x05v\\x88i&\tf\\xa4q\\xe5\\xc6\\xcco]\\xc4\\xc3\\x0b\\x03\\xc1km\\xd0m\\xb8\\x83\\xf8\\xb9\\xd5y\\xd1\\xaf\\x11t^\\x06aw\\xeb\\xa7:k\\x99vegt]jm\\xc4\\xdc@\\xc6c\\x9c\\xde\\xe0\\x8f=\\x10\"\\x9d\\xf6\\xcd$\\xb2\\xd9\\x8d5\\xb5\\xaa\\xac\\xf4\\x8e\\xdd\t\\xd81\\x07\\x06\\xc9\\xf1\\x8epky\\xc8\\xa4\\xb6\\xd0\\xfd\\xe0\\x15\\x91\\xee<\\x00]ho}\\xbe[)6\\x98k\\xb9t\\xe1\n\\x9b\\xccy\\x08f\\xad\\x14=>\\x89o\\xde\\xb6\\xa8t\\xb4)6\\x86)"
1045. },
1046. {
1047. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xfb`\\xd3d5i\\xbf\\x8a\\xfb\\xa1\\xbac\\xc3[vq\\xfa\\x8a^\\xb5\\xe6\\x18$\\x08\\x18\\xca\\x1a!\\x04\\x91s\\xb7\\x93\\x0e\\xdb\\x87\\x0b\\xe8\\x15\\x0020\\x9ac\\xc8dq\\xbc\\xf3\\x9aq?d\\x0ca\\x97q\\xf1h\\xe1.\\xac6b\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000(\\xeb\\xdc\\xd6\\xebj\\xff\\xb2\\xb6g\\x99\\xae\\xe2.\\x1c\\xab\\x85\\xfc:22\rs\\xe1\\xa7/\\xe2\\xf3f\\x89\\xf4\\xd9\\xcf\\x82t\\x1b+\\x01md}#\\xe8w>d\\xa8|"
1048. },
1049. {
1050. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010nd\\x15\\x0bx\\x17\\x18\\x08n\\x827o\\\\xd9b\\xd8\\xde\\xb2\\xb7%.x\\xf6s\\xa3\\x0c\\xcd\\xc5a\\x14\\xc8\\xc4\\xec\\xe9\\xb4\\xc1\\xee\\xf5\\xb1v\\x10\\xa1ey\\x9e:~h\\xc4\\xb3\\xea\\xd0\n\\xb7\\x98\\xa04{\\x8e\\xc4\\xb7\\x04%\\xfc\\xc1s 9\\xc5\\x0e\\xf9m\\xe3\\xf5\\x02\\xfd\\xb0\\x8f\\xc1\\xfbb\\xf2\\x1c\\x0ee\\xcf\\xef\\xc1\\xa5\\xe9q\\xd7\\xd9\\x02\\x1cjf\\x05\\x11\\xc2@\\xaa\\xfb\\x9b\\xdc\\xeb\\xc4s_\\xc8km\\x10\\x18_g@\\xbd\\xf7z\\xba\\x94\\xb8z\\xb0&\\xd3\\xfe\\xe8i-\\xe8\\xea\\xfdj\\xe4\\xb1ul$\\xa6,m\\xa4\\x96uh\\xf0\\xda\\xb2@i\\x0b\\x95%g2\\xee\\x87\\x1a\\x8f#{\\x0f(<m\\xfck\\xfc\\xe2\\xe9\\xd18\\xd8,\\xc6u\\x1d=[\\xbd\\x1b\\x86\\xff\\xa0\\xda\n\\xe4\\x9f\\xe7(9<\\xef\\x1fpr\\xe3r\\x94\\xdb\\xd0\\xf2\r$\\xd9z\\x97x\\xa9\\xdb\\xba\\xd5sq+\\xcd\\xb9!\\xa6\\xbc\\xe1k*\\x13\\xcbp\\x8c\\xa7+#\\xc73\\x8f\\xc2\\xac~u\\xe5\\xb5\\xfb\\xec=\\xe5d\\xb86\\x1d \\xf0"
1051. },
1052. {
1053. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xb0\\xff!\\xe6yy\\x96*1:5l\\x8c\\xea\\xc0e\\x1ai8\\x17\\xfd\\xde\\x17\\xc4\\x06y\\x05\\xees\\\\xc5\\xf5\\x86\\x10\\\\xeei\\xeen\\xfb\\xfc7\\x01\\xa3w\\xdb9-\\x016!\\xc7\\x1c@,\\x11\\xcaw\\x04wmc\\xb3imho\\xdcu\\x8e\\xe7\\xd8\\xabp\\xcc>\\x18\\xf77\\xe7\\xf7\\x12+x\\x96\\xb8\\x8e\\xc0\\xaf\\xa6\\x84ct\\x1a\\xde\\xca\\xd1\\x969\\xb2bi\\\\xf8\\x12\\x15\\xc3c\\xad\\x00\\x99\\xb1e\\x1a\\xe2\\xa0\\x07\\x90g\\xad\\x1fs\\xec\\xb03\\x03\\xe4p\\xbc*)\\xc1zp\\xc6\\xe6\\x85\\xe3\\xbcuu\\xefl\\xa4\\xba\\x8d\\xff\\x9aq\\x9ecf\\x92\\x89li\\xfa\\x8d\\xec\\xc6\\xa3\\xc4\\x15\\xc60\\xab83\\xb4\\x99(\\xa8\\x04\\x1e\\xf5s \\x05\\x95\\x8efq\\xee\\xadl\\xc9n\\xf5\\xa8\\x12j\\xaa\\xf6\\x9f\\xee\\x1b\\xb5\\x94\\x95;p\\xc56h\\xd7\\xf2'z\\xb4\\x81>\\xed\\xa0\\x00&\\x0f\\xfb\\x9d#\\xdc\\xfe\\xc7\\xb2\\xc4\\xb5\\x15\\x02hj(z\\xe7d\\xe8l\\x90j\t&\\x86\\x0c\\x9a=\\x05\\x0c_pc\\xd4\n\\xdc"
1054. },
1055. {
1056. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xddh\\xee}dy.\\xdd\\x1c^1>\\xeb6\t]\\xd8d\\xed\\x97d\\xb5\\x9en\\x90*)x\\xc9\\xe6\\xa8$\\x80\\x0f\\xf69c\\x10\\x02\\xf7\\xdfg(g\\xd3r\\x02cl\\x1c|{\\xca\\x11t*\\xc87\\xb9\\xaf\\xefj\\x1d\\x06\\x8d\\x94+r\\xfc\\x11zv\\xc9i\rb\\x17'\\xa7\\xbf\\x95?\\x9e\\xd0\\xef\\xfe\\xffx\\xb9\\x10\\x9fa\\xde\"\\x17k\\xdd\\x11|r\\xf2;\\xcf\\xac\\x1e6\\x9d\\xfb\\xe59\\xf1\\xbd\\xd4\\x84d\\x7f\\\\xc2\\xa1d\\x17\\xa15e@[\\x89(\\xde\\xc3:\\xf6\\x80\\x88\\xa6g{\\xdc\\xf9\\xce\\x96\\xc3\\xb8\\xda\\x83\\xcf\\xbc\\xe4\\x10\\x15\\xc9\\x8a9\\xbd\\xc0\\x10\\x9f\\x97f\\xb2j\\x15b\\x16e\\x11xq<?\\xcc\\x031\\xc0t\\xc0@\\x12\\xe1\\x19\\x1c\\xc3\\x1c\\xbd<\\x9f\\xf4\\xb6{9\\x172q\\xdb\\xa9e\\xc7w\\x90\\xbd\\x9fp\\xb8$~\\xdf6\\xef\\xdb\n]\\x9atb?\\xb2\\xda\\x95\\xbc\\x92f_u\\xf6\\xad,\\xcb\\xf0\\xab\\x17}\\xb0`\\x9bz\\xaeay{.\"\\xffn\"\\xc9\\xc7e/\\xbe{\\x83"
1057. },
1058. {
1059. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079w\\x80p\\xd8h\\xa4\\x93\\xc6w\\xcf\\xec\\xf7\\xfc6\\xac_\\xec\\xa8.\\xe1\\x99\\xcd)|\\x95\\x86\\xea\\xdd\\xa8\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1060. },
1061. {
1062. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079wa\\xde\\x88\\xda<\\x0c\\xeas\\x17[\\x7f\\xce\\xdc\\x01\\x15*67[\\xd5!\\x8d\\x9a\\x01\\xb9t\\x00\\xa0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1063. },
1064. {
1065. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x079w\\xf5c@hz1\\xaf[2\\xf6\\xc3\\xa8\\xf3)\\xde\\x99[o:\\x9a\\xb9g\\xb8'ia\\x8d\\xd1\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1066. },
1067. {
1068. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x049\\xdau\\x06\\x88\\x8c\\x0f\\x0eio\\x1b\\x842\\xa6\\xe0\"kiw\\xb51a?\\x8b\\xc5o\\xaa5\\x0cjw+\\xb5\\xf2c\\xacm\\x80\\xf9\\x82\\xe3b\\xb6\\x99\\xca\\xc1\\xac{\\x86w\\xd8\\xeb\\x8b\\:yk\\xfa+\\x10\\x06\\xf9\\xe7\\xfb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000~9\\xff5\\x99\\xc6\\xc5\\x193l\\xd9\\xfbwdxxm\\x95\\xc3\\xaa\\x1f\\xaf\\xa1,\\xab6\\xeeb_p\\xd8\\x98.\\xe5\\xb9e\\xce\\xfb\\x9c\\xaft\\xcf\r\\x95v\\xdcp\\xd3"
1069. },
1070. {
1071. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04]q\\xdf\\xf6j\\xd7\\xb5\\x8e=\\xff\\xffu\\xea\\xeall@|\\x01\\xfe'\\xe9'\\x8d\\x9b2sj\\x93\\xd5\\x1c\\x17f1p\\xf5\\xc4\\xf3\\xf8f\\xa8\\xf8\t_\\x93\\xaet\\xf6\\x10\\x08\\xea\\xd8.\\x97\\xdend\\xb3\\xbbu\\xf2\\x0e\\x08\\xc6\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe5b6\\x1e\\xaf\\xe6#a\\xfe\\x7f\\xe1\\x92\\x9b\\xc1\\x1cd\\x99qf.\\x07\\xbf\\xa9h&\\xb3\\x1b!\\xe4\\x8cu\\x86a\\xf9r'\\x020s~\\x10)\\xd4\\xd1\\xa9$\\x1a\\xf8"
1072. },
1073. {
1074. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04=\\x9b\\xf2\\xf7\\x02\\xab\\xf06\\xe9\\xdc\\x11\\xe1/\\x1c\\xb1\\x7fey\\xfb\\xdf=\r\\x8a\\xe4\\xfc\\xecrb\\xf703\\xd6\\x05*e\\xedqk\\x19\\x10\\x17\\x1d\\x0fr\\x8f@\\x8f\\xab\\xe2\\x7f\\xf0\\xeb\\xd0\\xec\\xce[\\x128\\xbe\\xe5$6\\x9d\\xe4\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000)\\xd6\\xec\\xb1\\xeb\\xf5'l\\xd3\\xcf\\xa2\\xe5r0\\xc9\\xbc\\xa4\\x95\\x00\\xb5\\x9aw@3wt\\x14[\\xa5\\xfc\\xfa\\xe0\\xcb\\x01\\xfd['coek,\\xdf\\xd2\\x10\\xa4\\xcd\\xbb"
1075. },
1076. {
1077. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x0clz\\xd3|\\x8f\\xb2r}\\x04\\xc7\\xec\\xe0\\xe2\\x83.\\xe0\\xb4\\x0f\t\\xa56\"*n\\x0c\\xe8\\xb5\\x8c\\xf6\\x83\\x85{\\xb2\\xd8\\x81\\xdc\\x1c\\xcc\nb\\x0b\\xd7y\\xdb\\xcd\t\\xe1\\x8d\\xaa\\xdb\\x91\\x04\\x97\\xc0l\\xb1${\\x17\\x0e\\x93\\xb2fv\\xcc\\xa7k\\x8ac%6`\\xd0\\xcf\\xa3\\x0c,\\x88\\xee\\xc1\\x97a!\\x8b\\x97k\\x81<\\x07qb~\\xe3\\xd8vr\\xe7\\xa9x\\x8e\\xe4\\xb4\\x03\\xe9mx\\x93\\xae\\xf7\\xb0d\\xcc|\r<o\\x12\r\\xe4\\x9f[\\x8c\\x9au\\xf3\\xaf\\x08\\xcd\\x80\\xec\\xfeg\\x8d\\xc9\\xe6v\\x1f\\x03\\xd3\\xa2\\xe2\\xd0\\xe1\\xfa\\xd6[\\xc37!o\\x12\\x1ej\\x90\\xb1\\xc0\\x92\\xdb\\xb1i\\x8a\\x0c9\\xfc\\xd9[e\\x00\\x04\\xf5q6\\x88\\xe6w\\x89w\\xc8\\x12\\x11\\x14\\xa8~\\xe9me\\x12\\x83.\\xa7\\xe3\\x1dtw\\x97\\xcd\\xda\\x19\\x9d\\xcfo\\x9f\\xf6a\\xec\\xf5\\xa5)\\xab;\\x1er\\x86d\\xfc\\x8b\\xe5s_t\\xaar\\x7f\\xc6)l\\xfa7\\xe27\\x97\\x81\\xc1\\xa6\\xa7\\xb9\\x13dss\\xad\\x19\\\\x04o\\xfb\\x1do^\\xb3"
1078. },
1079. {
1080. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010&\\x1e\\xc5\\x96\\xf3yc\\x1f\\xa7\\xd6\\xf7~\\xc5b\\x13\\x19\\xd1w\\x12\\xa4\\xd9<\\xd7o\\xd9\\x08\\xcer\\xb4\\xb8\\x8ex\\x8f0\\xd9$\\xc4\\xee\t\\xd5\\x10\\x0eyl~x\\xeb\\xd2\\xf3u0\\x7f\\xc5\\x16\\xbdwb\\xf6m_\\xa8ks\\xa2\\xcfn\\xab\\xd4\\x9c%\\xad3\\xc7]\\xec\\xd4\\x8ajaiaw\\x9b*\\xb0\\xb5\\x828\\xa1\\xa8yo\\xc2\\x0f\\x9a%|\\xaa\\xb5\\x94,\\x9a\\x04\\xbcd\\xd6r\\x86\\x1b\\x1c\\x8a\\x04\\x8c\\xc0>\\xf8d\\x99\\xed\\xa5 \\x1e\\xa3|\\x9d\\x1dnx%\\x1fh \\xed\\xc5z\\xa9\\x7f\\x11\\x1a\\xa4bqtyw\\x87\\xd3\\x05\\xf5\\x84e\\xad\\xb7\\x7f\\xce1;\\xecu\\x9e\\xa6'\\xd5\\x97)\\xa2\\xd1gp\\x18\\x87\\xda\\xe8\\xb4\\xa9>\\x00\\x16|^j*\\x00pk\\x92u2o\\x826\\x18\\xa8\t\\xc7\\xf4.\\x85(;\\x85\\xaf9v6<\\x89\\xef\\x7f\\xe7\\xaa\\xa9\\xc3s<\\xc6\\xfd\\x9c%\\x83uj\\xd3nf\\xfex\\x88\\xecr\\xf3>,)\\xae$b\\x16c1\\x03\\xe0]\\xa77\\x91\\x1a\\xcb!\\x0e\\xb2"
1081. },
1082. {
1083. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x07\\xcb\\xe9\\xea\\x85@\\xd2\\xb6l\\xf9\\xc2\\x16\\x94\\xd8t\\xe0\\xbeo_\\xa12\\xad\\x9e\\x98\\xc83\\x8ca\\xcazt\\xbf5\\x19\\x11\\xab\\x07q\\xd7[\\xac\\xe9:vj\\x18\\xaa\\xa5=\\xa7h\\x0f\\xd5*c\\xdc\\xca\\x8ar\\xaf\\xf5irw\\x8a/$\\xea\\xd2\\x08\\xb150\\xc7fj\\x88\"s\\x9c\\xd3]\\xbc\\x06>\\xb8\\xb9$\\x1b\\xad\\x82\\xad\\x9f\\x84s\\x14\\xf5\\xde\\x08z$\\xe6\r\n\\xd4:>\\xd6\\x10\\x16\\\\x9d\\xd0\\xc8d\\xed\\x95\\\\xdf\\xc9\\xb2l\\x96\\x85\\xe9\\x83\\xd4\\xd9\\xabcai:\\xae\\xad$\\xc9\\xda\\x94\\x03\\xcf\\x80q=\\xfc\\xe6\\xa6~\\x05\\x90\\xba\\xcb\\xbd\\xbf\\x9a6p\\xa7\\xce\\x1c\\xde\\x92i\\x8f,\\xe4v2\\xb8\\xa7m&\\xf6\\x10;\\x94x%<\\x87\\xf5s\\x07\\x1b\\x04ia% y*\\xec\\x8e\\xab\\xb5\\xffo\\\\xfb\\xc9\\xde\\xc0\\x88\\xc2)e\\xa4b)\\x16\\xe1\\x14y\\x00\\x17|\\xff\\xe1^\t[\\x8f|\\x88\\x80t\\xd8\\x12$\\x91=\\xd2\\xdb\\x80@\\xd3s1\\xf6\\x1b\\xa8\\x80\\xf9md\\xae\\xb9\\x7f\\x17}\\xb1"
1084. },
1085. {
1086. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xac\\xca*\\x8c\\xbc\\xa1\\xe90\\x11\\x18`\\xda\\xab\\x16\\xf6\\xd1\\x08g\\xb5d\\xb2v\\xf5\\xab\\xc7d\\xf9ka\\x9d=\\xc3\\x95\\x88\\xf3\\x00o\\xf5\\xe2\\xeaq\\x82\\x95u\\xc0\\xf7\\x93\\xc7\\x9a)p\\x89n$7\\xd8\r\\x8a\\xa6b\\xd4\\x8d=0\\xc6c\\xe8\\x7f\\xc4?\\x16\\x12\\xe5u\\xf5^\\x99\r%\\xe0!\\x04\\x8c`o\\xe0\\x0fe6\\xe17r5k\\xaa\\xeb\\xd22\\xd5\\xaf)\\xce\\x95\\x987\\x8a\\x89\\xbe\\x14(\\x03j/\\xa1!\\xa9\t\\xb0\\xdf.\\xba0\\xa3m:\\xe7=\\xab99\\xbb\\xf7\ry@\\xea\\xc4d/wk\\xd0&\\x05\\xcd\\x8d\\xfb.\\x94\\xcde\\xf8\\xe4n\\x16\\xa2\\xbe\\xa6\\xa1\\x07\\\\xa5mmr\\x83k2\\xc4)7\\x06\\x1f\\xf9\\xd0cu\\x97 \\xa4v\\xb7\\xdf\\xb9\\xf9.rp{\\xac\\x9ej\\xa7\\xfa\\xee\\xb0\\xfd\\xc1\\xe8e`,\\&\\x9a\\x07 \\xa1\\x0f*\\xedsi\\xdd\\x\\xda7\\\\x85\"b\\xb3\\x08yp\\x01\\x92\\xfe%>\\xf6!\\xdc`\\xecc\\x1a\\x86\\x03\\x9c\\xbd\\xc2b\\x1c3\\x95k\\xca\\xcb\\x06"
1087. },
1088. {
1089. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x0fb\\xa0\\xcb\\x92nv9q\\x7f\\x94\\x86\t\\xdag\\x9e\\xc4z\\x18\\x9c,l\\xa7a{\\xd6h\\xda\\xcex\\xea\\xb8\n`\\x9851\\xd7l<\\x8b\\xaa{l\r\\x07\\xca\\x0c\\xd7\\xfd\\x80\\x1b\\x0e\\x1a\\xa2{b\\xba\\xe7\\x9b\\x9c\\x87\\xe6jm|evn},6\\x0b\\xc03\\x84\\x87\\x99\\x94k\\xb9hde<(t\\x89\\xa0\\xa1k\\x17t\\xc1\\x8b!|c5\\x1bb\\xbe\\xbd>\\xb6\\xd1\\xa2 \\x0fz\\xa3\\x9f\\x84\\x99jm\\xfb\\xfd\\xcaj\\xb4\\x8d\\xf1\\xc74a\\x89\\xcb-\\xbfm\\x1d6\\x98p\\xe8\"o\r\\xe3\\xab\\xd2\\x91\\x02\\\\xa8\\x96h\\xaf\\xd9g\\x82\\xee\\xae\\x16xg\\xe0\\xfbx\\xb2f\\xac\\xf3\\xe8\\x7f\\xd9qcn\\xe6\"\\x17\\xa1a\\x96\\x8fk_\\xe8tf\\xf8\\x07\\xf5\\xb7\\xc5\\x06\\xe8$,\\x8d5\\x1b\\x11\\xe5\\x8c\\xe7*\\xbe3\\xb2\\xa4\\x07vb\\x8cx\\xe8\\xf0\\xbd\\xd0\\x1dd\\x84\t\\xb6\\x8b\\xa2\\x80\\xdfj\n\\xa4\t\\xaf\\xc4\\xe6s\\x02u\\xc72\\\\xb26h\\x11\\x0f\\xb2@\\xeb\\x86\\xa5~\\x85\\xa2\\x11\\xe2$\\xd3"
1090. },
1091. {
1092. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xc6\\x94\\xe2 e\\xeb[\\x0c..'\\xf7\\x81h\\xe8$j\\xab\\xe2x:\\xf2x\"\\xc6\\xb0\\xf0\\x18\\xcb\\xd1\\xd9\\x04f\\xf6\\x1fy\\x8a\\xcc\\x13\\xc7\\x06l*\\xfb\\xfa\\xaf\\xd0u\\xce\\xbc\\x7f\r\\xe7\\x91\\x90!\\x0fzx\\xa1\\xb8\\xfe\\x83h\\xe3\\x8d\\xab\\x99/\\xd6!y\\x0f\\xdd\\x99\\xb6\\x08e\\x80u\tu\\xb2\\xf2\\xef\"\\xc2\\xde\\x07d#\\x9d|\\xee\\xb0k\\xe4\\x16e\\xe0n\\xa3\\xbb~z\\x83\\x87\\x94\\xaaou\\xa1\\xfcddxb\\x1a~\\x0c\\xfe\\x92\\xaf\\x88\\x7f|54c\\xaaw\\xc2\\x82j\\x0e\\x9f\\xd6\\xa5u\\x95~\\x00e\\xbe\t<\\xaf\\xe4\\x80g\\x01y2m\\xe6\\x02\\x88\\x0et\\xad\\xcen)>\\x1c\\x99\\x10\\xd1e\\xb8j\\x9e\\xeb\\xe7j\\xa1\\x1d\\x82\\x14=tt\\xc1\\xfec\\x11\\x08\\xf7x\\xac-\\xfb\\x8d\\x83\\xfd\\xf5\\xb8\\xda\\xe8\\xa5z\\x0e\\xb6\\xa4g\\x08\"9q\\xfa\\xea[\\x19~6k\\xb5\\x11\\xdb\\xacno;\\x0cra\\x0b\\x8b\\xc1\\xae\\xfa?\\x8d\\xb9\\xbc\\xbc\\x1f\\x9d\\xc9b\\xc0\\xa8r\\xfd\\xc0,\\xc8\\xc4\\xda\\x9bh"
1093. },
1094. {
1095. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x97(\\x99\\xaa\\xfcq\\xab\\x1bm\\x13\\x86r}\\xab\\xb2f\\xbd\\x10\\xddo.?\\xa4\\x8ey\\xb3\\x9f\\xe3|\\xffs\\x1a\\xa5\\xbc\\xa0[\\xed\\xbcf\\x11\\xbd\\xe4\\\\x91\\x00\\x1b\\xd9\\xad;\\xc2\\x07o\\x07\\xc4?f\\x8b\\xeb\\x00\\xe1%y\\xb4\\xc8(\\xac\\x1d\\x82\\xdd\\x9an\\x19)\\xc8\\xa1\\xd7so\\x14\\x11,d\\xc1\\xf7\\x1b_\\x9b\\xcb\\xeae\\xfe<{-\\x9f\\x87|*1p\\xdc|c\\xaf\\xaa\\xb8\\x83\\xca8\\xee\\x8a\\x10\\xf1\\xfa\\x00\\xe5x\\xf4tdo\\xab\\xf6\\x83\\x08'.\\xee\\xdf\\x8f}\\xe7r.i\\xfe\\xce\\xf0?\\xec\\x83\\xb9\\xf9\\xf0p\\x8f\\xd1\\xa4%\\x9e\\x99\\x9bc\\xbf\\xc9z\\x05\\xd0\\xa7\\x10\\xce\\xfb\\x1ew,\\x89\\x8b2\\xd6d<\\x0b\\x8f\n\\x81\\xbahr`\\xf9&\\x92\\xe1\\x1f\\xac\\x14\\xdb\\xdf\\xe1\\xd0om9w\\xaa\\xc9\\xf7a\\xc7m\\xcc'&0\\xab\\xf6t\\xf5\\x86\nn\\xa0\\xfby\n\\xfc\\x89<\\x9e@\\xef\\xd8\\x91\\xaa\\x8b\\xbdl\\x95\\xf4@\\xf3\\xf4\\xe3\\x14\\xc0\\x07\\x0f\\x95\\x1a\\xbc\\xe01&\\xf5\\xc1\\x1a\\xd6s\\x12\\xa0\\xee"
1096. },
1097. {
1098. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x96t\\s\"\\xb5\\xaa\\xa0\\xae\\xa5\\xebo\\xe4:\\xe2\"\\xab,z\\xa5\\x81\\x92i<\\xaap\\x95\\xa4t&\\xe9\\xc8\\x9dc\\x16s\\xf3\\x86\\xa0ry\\x92q~ny\\xba\\x83m\\x06\\xc6*\\x0f\\xa5\\x0f2\\xb7y\\x8d\\xadjc\\x7f\\xd4/\\x06\\x10\\x0f\\xfc\\x7f\\xbaoe\\xa1\\x06rf\\x17q\\xa5\\xbc\\xf9hv\\x8ea\\xa1\\xa8\\xe6f\\xd9\\xc1\\x8d\\xb3\\x13\\x1d\\x02\\xe8\\xbf\\xd0'\\xf6\\xbc\\xfc\\xa73/~|#h\\xccfw\\xa7\\x04\\xd2\\xd1!\\xc1j\\x92t\\xf7\\xa4\\xc6\\x83h\r\\x9d\\xa0\\x8cf\\xbd:r\\xe0r#\\x88\\x1det\\xf1\\xf9#qx\\x89\\xf9\\xa6\\x1f\\xbbku1;qb=\\xac\\xa1fg|\\xb7\\x128)xy\\xa4\\xd8;u\\x9f\\xac\\x92\\xda\\x9f\\xcdh\\xb4\\xb4\\x12\\x0b\\x12(\\x12|)v\\x05\\xec3\\xc2\\x83\\xe9\\x12t\\xf4so\\x0f\\x0b;6x^!\\xd6.\\x1e\\xd6\\xf1\\xb40+`m)v\\x7fnuu\\xa24\\xcagka\\xd4\\xc2\\xf5y;\\xbc\\xe5\\xa8_\\x1c\\xe6c\\x1a\\xa2l\\x96j\\xfco"
1099. },
1100. {
1101. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010coo:3\\xe3\\xbfhgy'c\\x83\\xb6a\\xc5\\xe7\\xa7\\x1b\\x15i\\x9c\\xa2\\x86g\\xdf\\xe9\\xe6|\"'>\\xa6g\\xf1\\xfa\\xf8\\x97\\xcf\\x0f\\x9c\r\\x00\\x8a\\x89m\\x81\\x8b\\xb5u\\xa0\\x85\\x99v\\x00\\x92-\\x18\\xe6\\xbd\n\\xd6\\xe6\\xe1\\xbe\\xfb\\x07\\xb7/3r\\x18\\x81\\x8aba[\\xfd\\x0e\\x15>\\xaf\\xd8\\x00\\x87\\xf2\\xc1\\xd7\rk\\xbf|\\xd4\\xbf-(\\xf2y\\x81\\x18\\xd6z\\x82\\xca\\xe2v\\xc8\\xa8\\x8f\\xe2q\\xf3\\x0e\\xa3\\xb9\\x16$\\xe7\\xa5iad\\xb8z\\xb70\\x03\\xc2\\xb9\\xc1\\xd1x\\xfew\\x1c>\\x97\\x8a-\\xa6\\xdaxhy\\x90\\xfe?\\x02\\xfe&\\x7f\\xf6\\xc8$\\x14\r5\\xe0\\xafb\\x8c\\x1bi\\xc8|\\xdd\\xca\\x93\\x85\\x01\\x82\\x80ufe$\\x9c \\x03\\xc5\\x02\\x93|p\\xcf\"\\x18\\x97\\x00p\\x97]\\x98\\x0fz\\xe1\\xb9\\xb8\\xf2\\x8d\\xb0\\xf1\\xb4\\x95\\x0fkn\\x97\\xfe\\xfd2d\\xfa\\xa75g\\xd9\"\\xadx\\x87\\x1bh\\xff\\x12\\x8er\\x04xk\\xcf\\xe9\\x01\\xc5\\xded\\xae{\\x81\nn\\xa5\\xc4^\\x87&\\xc5\\xa1\\x83\\xbd\\xf8"
1102. },
1103. {
1104. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010;\\x01\\x05\\x19\\xc6 \\xfe\\xef\\x86i>6?\\xc6\\xd3\\xbd\\x85\\xda\\xcb\\x9c\\xec\\x9dnb\\xa0nk\\x9d\\x10\\xd2\\x10\\xfbot\\x12\\x91\\x0c\\xafh\\xe0}\\xb6\\x85\\xbc\\xb7\\xfe\\x92]\\x1d6\\x9b\\x81\\x8a<x\\x9e\\xcc\\xc6}\\x17\\xa8j\\xb6l\\xed\\xb9\\xcf,:}\\xd3!\\x8e\\x1bvt\\xd0bpyt}\\x15\\xec\\x80\\xff\\x0f'\\x9cd\\x1f_\\x04\\x16\n\n\\xf2\\xd71\\xd2<<=u3\\x02p~\\xd2rdb\\x1f\\x12hx\\xc6\\xafu\\x18\\xbfu\\xb0\\x99\\x97\\xccj\\xb3\\x1c\\xe4\\xf0\\x9ajs\\xb47\\x952\\xc7\\xef#-\\x9c\\x91\\xc4\\xbc\\x89&\\xfd\\x94c\\x92\\xa3h\\xd6u8\\xa7\\xd6\\x9a\\xda\\xfd\\x17\\xd0^i?\\x8e\\xde(\\x94\\xf2md\\x07\\x12\\x9c\\xff\\x9d/\\x11x\\xbb\\xb2\\x84\\x06\\xb5\\x07'kp\\xa3\\xcc\\x97q\\xd9\\x11\\x86+\\xe7p\\x01\\x1b<se|\\xb87h0`\\xa6\\x9a\\xc9\\x0c\\xee\\xb7o\\xc1x\\x08>\\x1a\\xef\\x8a>x\\x83<\\xa7g\\xa6@\\xaden\\xd9;\\xe8\\x137\\x92\\xd7`\\x07\\xc7\\xe5\\xd6.\\x9d"
1105. },
1106. {
1107. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xb8\\x01||[\\xb4s0\\xdb\\x8b\\xfc\\xfekv\\xbe\\xfe\\xb5\\xcc\\x01<\\x1asb\\x91\\x93\\x8cg2n\\x92}\\x11\\x10/\\xe5\\xaez|\\xc3\\x0b+\\xed\\xd2~\\xe8\\x9c\\x02\\xa3;\\x1c\\xb1pp2\\x0b<\\xe2\\xc4\\xfd\\xa4\\x9c\\xb1\\xd6\\xaed\\x08\\x8a\\x8f\\xe10w\\xd0t \\x84z;\\xf5v\\x94(\\xe6\\xa6s]\\xec\\xe2-\\xfa\\x1f0gj\\xbc\\xbb\\xd68:z\\xb0\\xc0\\xf3\\x88\\xdd\\x16=<:\\x9cb\\xd3\\x9cx\\x1a\\xe3\\x1f7\\xccx_3\r\\xc1\\xfaq\\xa4\\xe5\\x89f(\\xe4_\\xc5\\x8f\\xa1\\xeb\\xf4f\\x9f\t\\xb0\\xf5\\x96]h\\xe8%sv\\xa3\\xbax!i\\xb4\\xa0\\xb81\\x9c\\xe7\\xd0\\x8bu\\xcf\\x9d\\xc6\\xb7\\x1e\\x13\\x86\\xdd4\\x7f\\xd2\\xad\\xbd\\x84u\\x92\\xfd\\x80\\xc5\\xb9\\xad\\xc4i\\xa9\\xa6\\xa0\\xc6\\xf4\\xac/q#\\x89\\x95\n\\xdfc\\xc9\\xfc8\\xa0\\xb0\\xc515\\xc2f\\x84\\xd8\\xe8\\xa1nu\\xcf\\xe5\t\\xa2v\\xce\\x14\\xc8\\xdc\\x19\\xc8*\\xe9d\\x84\\x16\\x87\\xbe\\xc2\\xe0b{\\x17>\\xe1\\x96!ki.\\xd9\\xdf86\\xe4"
1108. },
1109. {
1110. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa2\\xd7\\x07\\xb6`\\xa7\\x1e\\xc3g\\x16\\xb3x\\xc6\\x80:\\xa1\\xea+\\xaeon\\xcef\\\\x92p3\\x8e\\xcc\\xb0\\x04\\xcc\\xcaq\\xa5\\xa5\\x0c\\x06_v\\xb6>\\xe3\\x0e\\xadd\\xc9z\\x1d\\xf8_/\\xb1\\x97z\\x9c=\\x9eb\\xb6g\\x07\\x86\\xf1\\x99;\\xf3\\x12\\x17\\x97k\\xd0\\xc6ir\\xff\\xafv\\x93tx\\xf8j\\xbe\\x8d\\xa7\\xb9\\x9a\\xd2\\x16\\x04\\xa0\\x8bv\\xe7\\xf5\\x84^\\x1as_\\xcc\\xb2c\\xf0\\xcb\\x8f\\xd5\\x8ap\\x85n`mpg\\x97\\xcf\\xcb\\xb3\\xdc\\xf3\\xf7\\x94[e\\x951fs\\x83\\xa3\\xa2\\xd9\\xc1\\xec\n\\x00,~-t&+s\\xbam\\xe2\\x13\\xee\\xc5f \\xd3\\xa6]\\xd6.m\\xe5\\xe4\\xbf\\x18\\xf1.\\xb8rk\\xcc>\\x15\\xd6\\xc6i\"\\x81aa\\xa4\\x95\\x1a\\x97\\xe8\\xe8i4\\xaa\\x18\\xeb\\xa4m\\xd7h\\xeb\\xb5y~8\\xe1d?\\x01\\xd3\\xc2\\xd6\\x90\\x07\\xd2\\xff\\x07l\\xa3\\xc7\\xc1n$g\\x82\\xaa\\xd5\\x98z:p\\x9b:\\xc5\\x14\\xbc\\xe1\\x90\\x18~#y\\xfc\\x03\\x88\\x9e\\xef\\x16{\\x9f\\xd9\\x9b\\x93\\x93\\xc9ff1"
1111. },
1112. {
1113. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xbf\\r\\x81\\x9d\\xc2v\\x94\\xcb\\xc7\\xaa\\x8e\\xc7w\\xd1\\xb2\\xac\\xcf\\xc3e/9\\x0f\\xa7\\xe4\\xd6\\xf6$\\xb2\\xa2\\x90l\\xf0u\\x06\\x1f\\xbe\\xb0\\xff\\xf7\\xd7h\\x00-\\xde\\xf2r\\xf9\\x1f1\\x04\\xc3\\xaf:.\\xa8\\x87a\\xfe`\\x8b\\xd6p\\xdd\\x01n4b\\x9c\\x0e\\xea\\xbe\\xf8\\xf9\\xc4}\\x96`\\xcd@\\xc4\\x16\\xa4\\x99\\x9f\\xf3\\xbe\\x86\\x06\\x1a\\xef\\xaf\\xe8=v\\x00\\x19\\xbd\\xfb0\\xd6\\x04\\xd8-\\xde\\xb5\\xebxv\\xdd\\xf0`\\x8dk\n\\xd3\\xf4\n\\xe0\\x85\\xa3\\xeb\\xb8\\xa1f\\x161qe\\xa1m\\x8e\\xf1\\xc5c\\x0e\\x04t\\xa2\\xa2\\xc9u\\xae\\x03d\\x98y\\x82\\xc8\\xc5\\x83j\\x9b\\x98\\xfa5o\\xd9\\xe2\\x96/\\xb8\\xb2k\\xf2zh\\xcf_/>\\xf9\\xd9#\\xb6\\x8d\\xc8\\xc5\\x1c\\xfdfr\\xca\\xee\\xc8<\t\\xcb\\xab\to\\x1e\\xe2\ri\\x10\\xab\\xd4*_\\xbc\\x01s\\x8b-$\\xf2\"\\kb\\xaf.\\x11$\\x0ep\\xa7\\x82\\xc0\\xd0\\xe16\\xcd\\x06\\xd5\\xf0\\x8d\\x08e\\xa4{\\xee\\x83\\x0c\\xd2~\\x9eh@w\\x87\\xb4\\xec\\xbcp\\xc4\\xe2\\x9c\\x9e]"
1114. },
1115. {
1116. "http_request": "winword.exe_WSASend_get /pki/crl/products/microsoftrootcert.crl http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: thu, 07 mar 2019 06:00:16 gmt\r\nuser-agent: microsoft-cryptoapi/6.1\r\nhost: crl.microsoft.com\r\n\r\n"
1117. }
1118. ]
1119. },
1120. {
1121. "Description": "Likely Malicious Office Document DL/Write EXE to disk",
1122. "Details": [
1123. {
1124. "office_dl_write_exe": "winword.exe_NtWriteFile_C:\\Users\\Public\\Downloads\\jaUvUUB.exe"
1125. }
1126. ]
1127. },
1128. {
1129. "Description": "Creates a hidden or system file",
1130. "Details": [
1131. {
1132. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\IETldCache\\Low"
1133. },
1134. {
1135. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF189b52f.TMP"
1136. },
1137. {
1138. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1892747.TMP"
1139. },
1140. {
1141. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF18cb545.TMP"
1142. },
1143. {
1144. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1908ed2.TMP"
1145. },
1146. {
1147. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF19350e7.TMP"
1148. },
1149. {
1150. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF196d6b3.TMP"
1151. },
1152. {
1153. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF19ab3e9.TMP"
1154. },
1155. {
1156. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF19e3960.TMP"
1157. },
1158. {
1159. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1a1ac01.TMP"
1160. },
1161. {
1162. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1a4595b.TMP"
1163. },
1164. {
1165. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1a82ce0.TMP"
1166. },
1167. {
1168. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1976110.TMP"
1169. },
1170. {
1171. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF18a013c.TMP"
1172. },
1173. {
1174. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF19b173c.TMP"
1175. },
1176. {
1177. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF19e0f7c.TMP"
1178. },
1179. {
1180. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1a1e0dc.TMP"
1181. },
1182. {
1183. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1a2a887.TMP"
1184. },
1185. {
1186. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF191a7d0.TMP"
1187. }
1188. ]
1189. },
1190. {
1191. "Description": "File has been identified by 12 Antiviruses on VirusTotal as malicious",
1192. "Details": [
1193. {
1194. "Baidu": "VBA.Trojan-Downloader.Agent.dsn"
1195. },
1196. {
1197. "Avast": "VBA:Downloader-BDZ [Trj]"
1198. },
1199. {
1200. "NANO-Antivirus": "Trojan.Ole2.Vbs-heuristic.druvzi"
1201. },
1202. {
1203. "Rising": "Trojan.Obfus/VBA!1.A609 (CLASSIC)"
1204. },
1205. {
1206. "SentinelOne": "DFI - Malicious OPENXML"
1207. },
1208. {
1209. "Endgame": "malicious (high confidence)"
1210. },
1211. {
1212. "TACHYON": "Suspicious/WOX.Obfus.Gen.1"
1213. },
1214. {
1215. "Zoner": "Probably W97Obfuscated"
1216. },
1217. {
1218. "Tencent": "Heur.Macro.Generic.Gen.a"
1219. },
1220. {
1221. "Fortinet": "VBA/Agent.HZITYVS!tr"
1222. },
1223. {
1224. "AVG": "VBA:Downloader-BDZ [Trj]"
1225. },
1226. {
1227. "Qihoo-360": "heur.macro.gen.aa"
1228. }
1229. ]
1230. },
1231. {
1232. "Description": "Attempts to modify proxy settings",
1233. "Details": []
1234. },
1235. {
1236. "Description": "Drops a binary and executes it",
1237. "Details": [
1238. {
1239. "binary": "C:\\Users\\Public\\Downloads\\jaUvUUB.exe"
1240. }
1241. ]
1242. },
1243. {
1244. "Description": "Martian Subprocess Started By Office Process",
1245. "Details": [
1246. {
1247. "office_martian": "c:\\users\\public\\downloads\\jauvuub.exe"
1248. }
1249. ]
1250. },
1251. {
1252. "Description": "Attempts to create or modify system certificates",
1253. "Details": []
1254. },
1255. {
1256. "Description": "The office file created a suspicious child process.",
1257. "Details": [
1258. {
1259. "Processes": "WINWORD.EXE -> jaUvUUB.exe"
1260. }
1261. ]
1262. }
1263. ]
1264.  
1265. [*] Started Service: [
1266. "osppsvc"
1267. ]