Gozi_06e5097ae35442101555449c955002c3 Malware JSON Report

1.  
2. [*] MalFamily: ""
3.  
4. [*] MalScore: 10.0
5.  
6. [*] File Name: "Gozi_06e5097ae35442101555449c955002c3.php"
7. [*] File Size: 337772
8. [*] File Type: "Microsoft Word 2007+"
9. [*] SHA256: "be5383dd2f38ff65da3bcfe5b92e22f98f73870786fd81b897d97af3a0ffb72e"
10. [*] MD5: "06e5097ae35442101555449c955002c3"
11. [*] SHA1: "2362b6698ba5013bf2609dae531e859279f6d8bd"
12. [*] SHA512: "26d5e515a9b03da7fd268521311d0ae5e541fe9eb53e072a9220ef7d7f2c2b6ac846f6afa5ae9b5943e99434e6c20783a51da77a571a77df271d7e88b56347ca"
13. [*] CRC32: "4CAF8176"
14. [*] SSDEEP: "6144:MbLxpmxpTDEkbpKIBm16TWCe5qhJuSfkJ5NXQcTp:MbL2DTDNpPCCekhgS8J5NXx9"
15.  
16. [*] Process Execution: [
17. "WINWORD.EXE",
18. "iIHbaNy.exe",
19. "services.exe",
20. "svchost.exe",
21. "WmiPrvSE.exe",
22. "iexplore.exe",
23. "iexplore.exe",
24. "iexplore.exe",
25. "iexplore.exe",
26. "iexplore.exe",
27. "iexplore.exe",
28. "iexplore.exe",
29. "iexplore.exe",
30. "iexplore.exe",
31. "iexplore.exe",
32. "iexplore.exe",
33. "iexplore.exe",
34. "iexplore.exe",
35. "iexplore.exe",
36. "iexplore.exe",
37. "iexplore.exe",
38. "iexplore.exe",
39. "iexplore.exe",
40. "iexplore.exe",
41. "iexplore.exe",
42. "iexplore.exe",
43. "iexplore.exe",
44. "iexplore.exe",
45. "iexplore.exe",
46. "iexplore.exe",
47. "iexplore.exe",
48. "iexplore.exe",
49. "iexplore.exe",
50. "iexplore.exe",
51. "iexplore.exe",
52. "iexplore.exe",
53. "iexplore.exe",
54. "iexplore.exe",
55. "iexplore.exe",
56. "iexplore.exe",
57. "iexplore.exe",
58. "iexplore.exe",
59. "iexplore.exe",
60. "WmiPrvSE.exe",
61. "iexplore.exe",
62. "iexplore.exe",
63. "svchost.exe",
64. "taskeng.exe",
65. "GoogleUpdate.exe",
66. "taskeng.exe",
67. "GoogleUpdate.exe",
68. "GoogleUpdate.exe",
69. "GoogleUpdate.exe",
70. "GoogleCrashHandler.exe",
71. "GoogleCrashHandler64.exe",
72. "taskeng.exe",
73. "msoia.exe",
74. "AdobeARM.exe",
75. "msoia.exe",
76. "FlashUtil32_29_0_0_171_Plugin.exe",
77. "taskeng.exe",
78. "WMIADAP.exe",
79. "taskeng.exe",
80. "GoogleUpdate.exe"
81. ]
82.  
83. [*] Signatures Detected: [
84. {
85. "Description": "A process attempted to delay the analysis task.",
86. "Details": [
87. {
88. "Process": "WINWORD.EXE tried to sleep 356 seconds, actually delayed analysis time by 0 seconds"
89. },
90. {
91. "Process": "iIHbaNy.exe tried to sleep 1643 seconds, actually delayed analysis time by 0 seconds"
92. },
93. {
94. "Process": "WmiPrvSE.exe tried to sleep 480 seconds, actually delayed analysis time by 0 seconds"
95. },
96. {
97. "Process": "taskeng.exe tried to sleep 720 seconds, actually delayed analysis time by 0 seconds"
98. }
99. ]
100. },
101. {
102. "Description": "Attempts to connect to a dead IP:Port (16 unique times)",
103. "Details": [
104. {
105. "IP": "52.109.20.1:443"
106. },
107. {
108. "IP": "52.109.20.4:443"
109. },
110. {
111. "IP": "205.185.216.10:80"
112. },
113. {
114. "IP": "65.52.98.231:443"
115. },
116. {
117. "IP": "23.36.176.37:443"
118. },
119. {
120. "IP": "104.18.24.243:80"
121. },
122. {
123. "IP": "23.59.154.34:80"
124. },
125. {
126. "IP": "204.79.197.200:80"
127. },
128. {
129. "IP": "23.101.123.81:80"
130. },
131. {
132. "IP": "216.58.194.174:443"
133. },
134. {
135. "IP": "23.96.39.148:443"
136. },
137. {
138. "IP": "47.254.82.18:80"
139. },
140. {
141. "IP": "72.21.91.29:80"
142. },
143. {
144. "IP": "184.86.204.7:443"
145. },
146. {
147. "IP": "172.217.0.35:443"
148. },
149. {
150. "IP": "192.35.177.64:80"
151. }
152. ]
153. },
154. {
155. "Description": "At least one IP Address, Domain, or File Name was found in a crypto call",
156. "Details": [
157. {
158. "ioc": "ist.glox"
159. },
160. {
161. "ioc": "ontent.inf"
162. },
163. {
164. "ioc": "iso690.xsl"
165. },
166. {
167. "ioc": "ext.glox"
168. },
169. {
170. "ioc": "mlaseventheditionofficeonline.xsl"
171. },
172. {
173. "ioc": "iso690nmerical.xsl"
174. },
175. {
176. "ioc": "nline.xsl"
177. },
178. {
179. "ioc": "gostname.xsl"
180. },
181. {
182. "ioc": "chicago.xsl"
183. },
184. {
185. "ioc": "ccent.glox"
186. },
187. {
188. "ioc": "adial.glox"
189. },
190. {
191. "ioc": "quations.dotx"
192. },
193. {
194. "ioc": "gb.xsl"
195. },
196. {
197. "ioc": "ieee2006officeonline.xsl"
198. },
199. {
200. "ioc": "e.gu"
201. },
202. {
203. "ioc": "gosttitle.xsl"
204. },
205. {
206. "ioc": "rocess.glox"
207. },
208. {
209. "ioc": "pictureorgchart.glox"
210. },
211. {
212. "ioc": "rings.glox"
213. },
214. {
215. "ioc": "turabian.xsl"
216. },
217. {
218. "ioc": "architecture.glox"
219. },
220. {
221. "ioc": "harvardanglia2008officeonline.xsl"
222. },
223. {
224. "ioc": "rame.glox"
225. },
226. {
227. "ioc": "set.dotx"
228. },
229. {
230. "ioc": "content.inf"
231. },
232. {
233. "ioc": "etropolitan.thmx"
234. },
235. {
236. "ioc": "rame.thmx"
237. },
238. {
239. "ioc": "eadlines.thmx"
240. },
241. {
242. "ioc": "ircuit.thmx"
243. },
244. {
245. "ioc": "g.n9"
246. },
247. {
248. "ioc": "roplet.thmx"
249. },
250. {
251. "ioc": "amask.thmx"
252. },
253. {
254. "ioc": "rail.thmx"
255. },
256. {
257. "ioc": "http://crl.globalsign.net/root-r2.crl0"
258. }
259. ]
260. },
261. {
262. "Description": "A process created a hidden window",
263. "Details": [
264. {
265. "Process": "svchost.exe -> \\\\?\\C:\\Windows\\system32\\wbem\\WMIADAP.EXE"
266. }
267. ]
268. },
269. {
270. "Description": "HTTP traffic contains suspicious features which may be indicative of malware related traffic",
271. "Details": [
272. {
273. "post_no_referer": "HTTP traffic contains a POST request with no referer header"
274. },
275. {
276. "ip_hostname": "HTTP connection was made to an IP address rather than domain name"
277. },
278. {
279. "suspicious_request": "http://api.frame303.at/index.htm"
280. },
281. {
282. "suspicious_request": "http://www.bing.com/favicon.ico"
283. },
284. {
285. "suspicious_request": "http://47.254.82.18/favicon.ico"
286. },
287. {
288. "suspicious_request": "http://cde.frame303.at/index.htm"
289. }
290. ]
291. },
292. {
293. "Description": "Performs some HTTP requests",
294. "Details": [
295. {
296. "url": "http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAi4elAbvpzaLRZNPjlRv1U%3D"
297. },
298. {
299. "url": "http://ocsp.msocsp.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBRPC1vZt9qvn7bzY3Iidtbhla4mKQQUWIif1tycSCK3FD7%2FhIjo5oX%2F%2Bn0CE3sAAGyvV14%2FmEPDgh0AAAAAbK8%3D"
300. },
301. {
302. "url": "http://apps.identrust.com/roots/dstrootcax3.p7c"
303. },
304. {
305. "url": "http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab"
306. },
307. {
308. "url": "http://storage.alfaeducation.mk/file/crypt_2_7000.exe"
309. },
310. {
311. "url": "http://api.frame303.at/index.htm"
312. },
313. {
314. "url": "http://www.bing.com/favicon.ico"
315. },
316. {
317. "url": "http://47.254.82.18/favicon.ico"
318. },
319. {
320. "url": "http://cde.frame303.at/index.htm"
321. }
322. ]
323. },
324. {
325. "Description": "The office file has 2 macros.",
326. "Details": []
327. },
328. {
329. "Description": "Attempts to restart the guest VM",
330. "Details": []
331. },
332. {
333. "Description": "Crashed cuckoomon during analysis. Report this error to the Github repo.",
334. "Details": [
335. {
336. "pid": 328
337. },
338. {
339. "message": "Exception reported at offset 0x1967e in cuckoomon itself while accessing 0x32d5f8 from hook RtlDispatchException"
340. },
341. {
342. "pid": 328
343. },
344. {
345. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
346. },
347. {
348. "pid": 328
349. },
350. {
351. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x32d5fc from hook RtlDispatchException"
352. },
353. {
354. "pid": 328
355. },
356. {
357. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
358. },
359. {
360. "pid": 328
361. },
362. {
363. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x32d5f4 from hook RtlDispatchException"
364. },
365. {
366. "pid": 328
367. },
368. {
369. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
370. },
371. {
372. "pid": 328
373. },
374. {
375. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x32d5f0 from hook RtlDispatchException"
376. },
377. {
378. "pid": 328
379. },
380. {
381. "message": "Exception reported at offset 0x19689 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
382. },
383. {
384. "pid": 328
385. },
386. {
387. "message": "Exception reported at offset 0x19699 in cuckoomon itself while accessing 0x32d600 from hook RtlDispatchException"
388. },
389. {
390. "pid": 328
391. },
392. {
393. "message": "Exception reported at offset 0x1969b in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
394. },
395. {
396. "pid": 328
397. },
398. {
399. "message": "Exception reported at offset 0x1969f in cuckoomon itself while accessing 0x32d604 from hook RtlDispatchException"
400. },
401. {
402. "pid": 328
403. },
404. {
405. "message": "Exception reported at offset 0x196a2 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
406. },
407. {
408. "pid": 328
409. },
410. {
411. "message": "Exception reported at offset 0x196aa in cuckoomon itself while accessing 0x32d608 from hook RtlDispatchException"
412. },
413. {
414. "pid": 328
415. },
416. {
417. "message": "Exception reported at offset 0x196ad in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
418. },
419. {
420. "pid": 328
421. },
422. {
423. "message": "Exception reported at offset 0x196bd in cuckoomon itself while accessing 0x32d60c from hook RtlDispatchException"
424. },
425. {
426. "pid": 328
427. },
428. {
429. "message": "Exception reported at offset 0x196c0 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
430. },
431. {
432. "pid": 328
433. },
434. {
435. "message": "Exception reported at offset 0x19bfc in cuckoomon itself while accessing 0x32d5f0 from hook RtlDispatchException"
436. },
437. {
438. "pid": 328
439. },
440. {
441. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
442. },
443. {
444. "pid": 328
445. },
446. {
447. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x32d5f4 from hook RtlDispatchException"
448. },
449. {
450. "pid": 328
451. },
452. {
453. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
454. },
455. {
456. "pid": 328
457. },
458. {
459. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x32d5f8 from hook RtlDispatchException"
460. },
461. {
462. "pid": 328
463. },
464. {
465. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
466. },
467. {
468. "pid": 328
469. },
470. {
471. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x32d5fc from hook RtlDispatchException"
472. },
473. {
474. "pid": 328
475. },
476. {
477. "message": "Exception reported at offset 0x19c07 in cuckoomon itself while accessing 0x0 from hook RtlDispatchException"
478. },
479. {
480. "pid": 328
481. },
482. {
483. "message": "Exception reported at offset 0x1967e in cuckoomon itself while accessing 0x32d678 from hook RtlDispatchException"
484. },
485. {
486. "pid": 328
487. },
488. {
489. "message": "Exception reported at offset 0x19681 in cuckoomon itself while accessing 0x32d67c from hook RtlDispatchException"
490. },
491. {
492. "pid": 328
493. },
494. {
495. "message": "Exception reported at offset 0x19684 in cuckoomon itself while accessing 0x32d674 from hook RtlDispatchException"
496. },
497. {
498. "pid": 328
499. },
500. {
501. "message": "Exception reported at offset 0x19687 in cuckoomon itself while accessing 0x32d670 from hook RtlDispatchException"
502. },
503. {
504. "pid": 328
505. },
506. {
507. "message": "Exception reported at offset 0x19699 in cuckoomon itself while accessing 0x32d630 from hook RtlDispatchException"
508. },
509. {
510. "pid": 328
511. },
512. {
513. "message": "Exception reported at offset 0x1969f in cuckoomon itself while accessing 0x32d634 from hook RtlDispatchException"
514. },
515. {
516. "pid": 328
517. },
518. {
519. "message": "Exception reported at offset 0x196aa in cuckoomon itself while accessing 0x32d638 from hook RtlDispatchException"
520. },
521. {
522. "pid": 328
523. },
524. {
525. "message": "Exception reported at offset 0x196bd in cuckoomon itself while accessing 0x32d63c from hook RtlDispatchException"
526. },
527. {
528. "pid": 328
529. },
530. {
531. "message": "Exception reported at offset 0x19bfc in cuckoomon itself while accessing 0x32d670 from hook RtlDispatchException"
532. },
533. {
534. "pid": 328
535. },
536. {
537. "message": "Exception reported at offset 0x19bfe in cuckoomon itself while accessing 0x32d674 from hook RtlDispatchException"
538. },
539. {
540. "pid": 328
541. },
542. {
543. "message": "Exception reported at offset 0x19c01 in cuckoomon itself while accessing 0x32d678 from hook RtlDispatchException"
544. },
545. {
546. "pid": 328
547. },
548. {
549. "message": "Exception reported at offset 0x19c04 in cuckoomon itself while accessing 0x32d67c from hook RtlDispatchException"
550. }
551. ]
552. },
553. {
554. "Description": "Attempts to repeatedly call a single API many times in order to delay analysis time",
555. "Details": [
556. {
557. "Spam": "services.exe (500) called API GetSystemTimeAsFileTime 8475900 times"
558. }
559. ]
560. },
561. {
562. "Description": "A document file initiated network communications indicative of a potential exploit or payload download",
563. "Details": [
564. {
565. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x81\\xcf\\x9cj\\x00a\\x9a\\xa3\\xe8\t\\xd3\\xb9%t ]\\xc868\\xebm<\\x96\\x81:\\xc7\\x9e\\xd41\\x83\\xa1 \\x1f\\xc41\\x93\\xc9\\x17`o\\xd1\\xc3\\xc3g\\x94k\\xc3\\x82\\x90\\xaf\\lzj\\x02\\x8d7\\x95qgu\\xe0\\xd7u\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x0c#\\ }u,\\x19\\x95e\\x9c\\xe9\\x04e:\\xf3.?\\xf0\\x1cg;n42&\"{\\xabo %\\xcb \\xe2o\\xcehsi\\x1c\\x96cfw\\x14\\xee\\x98"
566. },
567. {
568. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01pw\\xf6\\xb7\\x93\\x08\\xd2:\\xbc\\x1f\\x96\\x01\\x97~\\x06xyx\\xd3k\\xb2\\xb4\\x9d\\xde\\xdc\\x15r4e\t\\xc9b\\xde>\\x16wic\\x15!\\xe6\\xbf\\xa2\\xff\n@}y\\xbf<\\x91\\xa9\\x1c\\x90e^-\\xc4[\\xd6'\\x1a\\x82\\xb4\\x9c=\\xf0\\xa1&\\xa1x\\x91\\x9a\\x81\\x8exn\\x01\\x84\\x8f\\xcd\\xd5+:\\x11kn-\\xdb\\xe5v\\xa3\\xcd\n\\xde\\x8e}\\xfa\\x89\\xed\\x1b^\\x97\\xb1\\xcf\\x06\\xf9<fe\\x0e\\x16s\\xef\\xefnv\\xa6\\x8by\\xec\\x08\\xa9\\xd73$*\\xf5g\\xae|\\xee6\\x01\\xd6n\\xd6\tx8t\\x8d \\xc5\\x8d\\xf4\\x18\\xffx\\x95$\\xd9g\\xcf\\xdb\\xa6\\xbaf\\xde\\xbc/\\x8bu\\x160~\\xb9\\xbfm$kx\\xbdte\\x9e\\xe4o\\xb2\\x91w.r\\x9c\\x19\\xbe\\x86\\x14\\x8d\\x18h7t\\x96\\xf2[v\\xd7l\\xc4@\\xe9\\xa5\\xb3\\x08\\xa7r\\xf9#o\\xcb:o\\xf8p\\x12\n\\xb0 p\\xcd\\xb7/\\x9a\\x90\\x85~d\\x08>^\\xcfc\\x97\\x88\\xeek\\xa8pk\\xce\\xd1\\xc5\\xacvuc5\\xb4q\\x19\t"
569. },
570. {
571. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00~\\x01\\x00\\x00z\\x03\\x01]\\x077\\xe9u\\xaa\\xf3\\xdcs5\\x05g\\xcds\\x8dp6 \\xbf_l\\xa3s{\\x991\\x07\\xcb\\x10%\\xedx\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x009\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00 \\x00\\x1e\\x00\\x00\\x1broaming.officeapps.live.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
572. },
573. {
574. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00z\\x01\\x00\\x00v\\x03\\x01]\\x077\\xe9\\xb7\\x1b\\x066\\xe1\\xa0\\x88\\x07\\xf5\\x9e\\xf1\\xcds\\x8af\\xed\\x055\\x16\\xfe8\\x91\\x8c>\\xe6k\\xb0\\x17\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x005\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1c\\x00\\x1a\\x00\\x00\\x17odc.officeapps.live.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
575. },
576. {
577. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd9h\\xdd\\x18\\x84{\\xc4.lhw\\xcf\\x9a\\x12\\xeeic\\xfb\r\\x0f\\xa3\\xd3\\xefkm\\xaa*\\xdd73(\\xb6\\xcd\\x99\\xd1\\xd1\\x1e\\s\\xc1\\?\\xacn\\xeb\\x9b\\x9dn\\xc0\\x0f\\x14\\x90\\x0f\\xd1\\xa3\\x99>\\xd66w\\x9fn\\xc7\\xfc\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000j\\xc2\\xd2\\xc1\\x02\\xa7*\\xa8\\xa3+\\xbf\\x88\\xf4\"\\xadb\\x9b 5\\x85\\xdd\\x10\t*\\x99\\xaf\\x81\\xcf\\xc2hdua\\xa4\\xafdw\\xcbw\\\\xc9\t\\xa0up8!\\xe8"
578. },
579. {
580. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04r\\xca\\x1e{g\\xfe1w>\\x12de\\xfe\\xbd`\\x16\\x87\\x9a(\\xce\\x03$\\xbe'\t\\xe5\\xea\\xce\\x03{\\xcb\\xf5\\xba\\x08\\x17\\xaf\\xf5\\x82z\\x82\\xd3\\x13&tr>{\\x83w\\xc7\\xd0\\xca\\xcd\\x92\\xb4\\x87\\xbc\\x81m\\xb3h&\\x11\\xac\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xb2z\\xb9\\xdfo\\xee\\xd34\\xbf\\xa9\\x94\\x1e&\\x10r\\x8a\\x7f\th 5 \\xe7w\\x04\\xcb\\xa9ub\\xae\\xfac\\x92w\\xdf\\x11y\\xde\\x84tm\\xb0\\xab\\xbbt\\xf1r\\x0e"
581. },
582. {
583. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01p5\\x83)\\xc5\\x96\\xb6\\xb5\\xa5}\\xf7\\xdc\\x7f7\\xa9\\x9d\\xe5\\xed\\x94\\xce\\x9e\\x\\xb73\\x1f]\\xc2\\xa9\\xc76\\xeb6\\xd9\\x8a\r\\xe3\\\\x97\\xf4$\\xb4\\xf4ut\\x02|@\\x15\\xe1k\\xae]i\\xd8\\x9a\\x0cti\r\\xc1\\xf8\\x01\\xb6\\xfb\\xe6\\xcfr\r\\xfe\\xbe\\xea?\\xdb;\\xd8\\xa6m_\\xa80s\\x96\\xb4]\\x12\\xa4to\\xcc\\x9a\\x1c\\xf6z\\xdcg\\xd5\\x18\\xefn\\xba\\xe4|\\xa1r8\r\\x9b\n\\x914\\xc3vz\\xdc\\x85y\\xbb\\xe5i.!\\xb2\\xb8\\x9b\nw]\\xdau\\x13?q\r\\xa1m5\\xec\\x02\\xb4\\xd3\"\\x10\\xb1\\xb2;\\x9f\\xa5b-\\xdax\\x9d\\xe5\\x1e\\x0f\\xf33\\xf1\\x91\\xade\\xe8,\\x11#]\\xd5\\xf8e\\x03m=\\xcc)\r\\xd7\\xe9@\\xde\\xf9\\xd3)cs\\xb6jv\\xaco\\xa8\\xd9\\xd7\\x1fbo\\xe9/\\x0b\\xf5)\\xdf\\x8b\\xf20\\x94%\\xa3\\xd7\\x10\\x90\\x18(\\xaa\\x1e\\xads\\xdc\r\\x08%\\xfb\\xae\\x8c\\xe9\\x896q\\xb3bn$/\\x14\\xcc\\x00\r\\xf3;\\x16\\x05\\x1a\\x8d!\\x05\\x7fm\\xfa\\xd0xe%"
584. },
585. {
586. "http_request": "winword.exe_WSASend_get /mfewtzbnmeswstajbgurdgmcgguabbtbl0v27rvz7lbduom%2fnyb45spuewqu5z1zmijhwmys%2bghunoz7oruetfaceai4elabvpzalrznpjlrv1u%3d http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nuser-agent: microsoft-cryptoapi/6.1\r\nhost: ocsp.digicert.com\r\n\r\n"
587. },
588. {
589. "http_request": "winword.exe_WSASend_get /mfqwujbqme4wtdajbgurdgmcgguabbrpc1vzt9qvn7bzy3iidtbhla4mkqquwiif1tycsck3fd7%2fhijo5ox%2f%2bn0ce3saagyvv14%2fmepdgh0aaaaabk8%3d http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: sat, 23 mar 2019 17:46:18 gmt\r\nif-none-match: \"dd54d75d468"
590. },
591. {
592. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01p\\xa7\\xce\\x92fr\\x13\\x0b\\x81\\x989j\\x8b\\xfai4\\x9f\\xb4\\xe5\\xd4(\\xc2g\\xab0\\x18\\xae+\\xaa\\xbfw\\x89=\\xe5\\x08\\xb5\\xce\\xd1o\\xec\\x9c\\xd4\\x0f|\\xba\\xf0b\negz.q\\xaa\\x1a\\xf5l\\x7f\\xb53\\xc6\\xa6\\xb2s.\\x8a\\x08|\\xb0\\xe47\\xc1x\\xac\\xe6\\xcc\\xf9\\x84\\xb5]\\xa2\\xd9\\x99$\\xda^g\\xd0\\x05\\x988o\\xe3\\xfb%\\xf3\\x870\\xd9\\x98\\xc2\n\\xbesuq{p\\x05\\xb5-\\xf5\\xb9v\\x91\\xe8(b\\xd1.\\xb0\\x19p\\xd0\\xb6\\xd5oa\\x01d\\xcc\\x8a\\xe6\\xa6\\xc1\\xf4\\xa4\\xd1\\x9e\\xe5\\x03\\xf5\\x9db\\xa7\\xf2#\\xe0!d\\x1ci9t\\xc4\\xff\\x17/\\xff\\x9d.4\\xd0\\x03q\\:\\xf1 \\xdaw\\xd5\\xf0l5\\x7f\\x08\\xe6o\\xc2\\xdb\\x18\\x18\\x84\\xb5\\xd8>n\\x8c1ma*\\xac\t\\x83r\\x1a\\x93\\x0e\\xe4\\xef\\x05\\xd6\"\\x93x\\xcb\\x18\\xe2\\xaa\\x08\\x94\\-\\x98\\xf4\\x91\\xa8\\xc4t`\\xf3\\xac\\xf1\\xb0s~/w<\\xe0\\xb2\\xbfhxl\\x85#\\xa5\\xfa?\\xf8\\x9f\t\\x14\\x11\n\\xbek\\xde\\x9e"
593. },
594. {
595. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x02 eg\\xa4\\xd6\\x06\\x06o^\\xb9x\\x84\\x85\\xa6\\x14>\\xe5'\\xd9l\\xfc\\xa6\\x9er!f\\xdf\\x12\\xb7?\\xb5\\xd5wh\r\\xd8\\x7f\\xd6e\\x87\\xc8\\xcf|\\xdd\\x1e[d\\x1a\"\\x8b\\x1a\\xe5\\xa0`9r\\x8e\\xc3\\xe6\\xf8\\xd1\\x01\\x84o\\x04\\xa2\\x7f\\x9a\\xdf\\xe1\\xc7\\xf2wh\\xab\\xf0\\xedc/fr\\xf0\\xbd\\xa4(s\\x85\\x0ez.\\x08\\x93\\xc9*`\\xd0\\xa5\\xac\\x84\\x1b&\\xc7\\x91\\x1aa\\xab\\x1d\\xa5\\xb2\\xcc\\xa6+3\\x9f@ \\xbf\\x89\\x90\\xaf\\x86`\\xeb\\x8b\\x1f\\xd8\\xd5l&\\x90\\x88'\\x05z\\xd4\\xf0\\xf0\\xe76de\\x8e\\x9e\\xc0\\xeeb\\xaaq\\xcd\\x8b\\xbc\\xc8\\xfc\\x1ff\\x9b\\xe3\t\\x7fx\\xe6v\\x0c_\\xb7\\xf1\\xe7\\x9f\\xf4\\x03\\x0ee\\x97\\xff\\xa2p'\\xa0\\xa7\\xc7\\xd8(\\xdf;\\x12\\xae\\xb5\\xce/s\\xba\\xb7\\x84\\xd6\\xd9\\x0bg\\x19\\x08\\xf7\\x1dm0\\x1cxb9\\x07\\xde\\xafp\\xee~\\x85\\xbe\\xe4\\xdc]k1\\xa8\\x00\\xfb\\x08\\x8b\\xdcwf\\xf9u\\xbe\r\\xf7\\x9b;\\xb0\\xc7\\xe2\\xfc\\xb8.x\\x82r\\xe0+>\\xaf\\xbft^+"
596. },
597. {
598. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00y\\x01\\x00\\x00u\\x03\\x01]\\x077\\xeb\\x84o\\xba\\x05t\\x97\\xbdix\\xfd\\x95\\xc8|\\xcdf\\xffw\\xb1\\x00\\x8c\\xf0\\x86p\\xad\\xed\\x86\\x7f\\x89\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x004\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1b\\x00\\x19\\x00\\x00\\x16crm.theberriesblog.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
599. },
600. {
601. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x01\\x06\\x10\\x00\\x01\\x02\\x01\\x00\\xa9b\\xf4w\\x96i\\xb9\\xc6sw{\\x9b\\x97(\\x11\\xab\\x1ec\\x0e\\x9b\\x9f\\xa9\\x91\\xc7\\xb5\\x97\\xb3\\xb3\\x8c\\xa8\\xe1)\\xe6\\xd2p\\x8c]\\xcf\\xd0\\xcd?j\\x82\\xbcf\\xc7\\x0c\\xdcl\\xf9ao\\x08\\xbe\\xc2&\\x0c\\x00\\xaf\\xb1\\x06\\xfa!ww!vi\\xade^\\x06\\xd9!\\xdd\\x0b\\xa4\\xcd\\xcf\\x867\r\\xa4\\xc0l\\x12\\xa5f\\xf9]a;\\x88d\\xfb+f\r\\xd7\\xb7.\\xc1\\x82\\xa9s\\xe0\\xb9\\x13\\x0b#:r\\x106\\xaf\\xcc\\xdf\\x12%@\\xc8\\xc4l\\xee\\xe5\\xc2\\x13uh'^\"a\\xe7\\xfc\\x99\\xc5\\xed\\xe85hm\\x88\\xe3\\xd2\\xa7\\xc2\\xabb_\\xc5%a\\xebh\\xfb@\tr\\xe0\\x01o\\x87)k_\\x9f\\x1a\\xa4\\x19x\\x86\\xc6\\x03\\x85\\xea\\xda\"b\\x14<\\xec\\x03\\x0414\\x9f1+\\\\x95c\\xa8\\x16\\xc8~%\\x19ai2\\xa9\\xaa\\xcd\\xb9t%![\\xcaya\\x88\\xfa\\x0c\\xfd\\xf2xx\\xfc\\x98\\xf9\\xa69r\\x1ci%\\xe6\\xe0\\xe0\\xe3\\x15#\\x9f\\x8f\\x0et\\x8e\\x86\\xbf\\x1a\\xc1\\x89\\x97"
602. },
603. {
604. "http_request": "winword.exe_WSASend_get /roots/dstrootcax3.p7c http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nuser-agent: microsoft-cryptoapi/6.1\r\nhost: apps.identrust.com\r\n\r\n"
605. },
606. {
607. "http_request": "winword.exe_WSASend_get /msdownload/update/v3/static/trustedr/en/authrootstl.cab http/1.1\r\ncache-control: max-age = 86402\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: fri, 22 feb 2019 16:53:13 gmt\r\nif-none-match: \"80e22c19cfcad41:0\"\r\nuser-agent: microsoft-cryptoap"
608. },
609. {
610. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x00\\xf0\\x84\\xca\\x004@\\xc0\\xca\"\\xda\\x87\\x08\\x03\\xeb\\x8bw\\xa8le \\x9c\\xb4\\xc4m*\\xb1\\xad\\xc9\\xa9>j\\x14\\xfd\\xd2\\xb1\\xa5mm\\xc1\\xf3c\\x8a\\x8eu\\x92\\xd6t\\xcc\\xd0?\\xdb\\xba\\xea~\\xafs\\xa0j\\xcc\\xc9\\xa2h\\xf7\\xe9p\\xac\\xe8c\\x1e\\x84q\\xd5,\\xc2'\\x16b\\xa4\\xb7\\xa6\\x1e\\xd5\\xf1+\\xa2\\x83\\x8a\\x17\\x1f4\\xff\\x0e\\xcc|\\xf9\\x82\\xd8\\x8a\r\\xf6\\x1a\\x1dq\\xa5\\xff\\xf4\\xf2\\xfa'~\\x8dsy\\xb4\\x85\\xeb\\x0f\\x04\\x88\\x11\\x11d\\xa2\\xf81\\x95\\xc7f\\xfa\\xf8\\xe5\\x03\\xa3z\\x82\\x91\\xbb3\\xf5\\x93\\xad\\x1b\\xbc\\xa2\\xdb@\\xf3\\xfb\\x1cl~\\x99\\xf4\\x95#\\x0bu\\x1b\\x1brl!\\x14u\\xac\\x94\\xb7\\xa1\\xd8i\\xf4u\\xa9;\\xae5)yq\\xa8\\x138\\x11\\x9bf_\\xed\t\\x04~g\\xf1\\xa0\\xbe\\xdcm\\x90\\xa2h\\x80\\xbd\\xfct.u>*\\xa38\\x8d\\x89\\x02*n\\xc9\\xe2\\xca\\x8c20\\xfavns\\xa0\\x1b\\xf3\\xc3b@\\xf3\\x90\\xae\\x9dya\\x82j\\xb7\\xad="
611. },
612. {
613. "http_request": "winword.exe_WSASend_get /file/crypt_2_7000.exe http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\naccept-language: en-us\r\nuser-agent: mozilla/4.0 (compatible; win32; winhttp.winhttprequest.5)\r\nhost: storage.alfaeducation.mk\r\n\r\n"
614. },
615. {
616. "http_request": "winword.exe_WSASend_\\x15\\x03\\x01\\x00 )6\\x9d\\x03\\xffb\\x0c\\xc7\\xc6\\x1a\\xe0z\\xe8\\xe5\\xd0'\\xa6\\xeef\\xb6\\xa4\\x0ex?-\\xeed\\xe0\\xa4q\\x04\\xfd"
617. },
618. {
619. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00}\\x01\\x00\\x00y\\x03\\x01]\\x077\\xf5,ka\\xe3^}|xs\\xd98\\xb6k!\\xff\\xe7u\\x85\\x96\\xd2\\x85y\\x16\\xfc\\xe1e\\x07\\xc3\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x008\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00\\x1f\\x00\\x1d\\x00\\x00\\x1atemplateservice.office.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
620. },
621. {
622. "http_request": "winword.exe_WSASend_\\xff\\xff\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x889>\\xa6qv\\xe6l,\no/\\x99#\\xbf\\xa0x\\xcf!\\xbeh\\xf2\\xbd\\xed@c\\x87\\xba\\x88\\x0e\\x03\\x84.\\xf9.\\xfa-\\xf7\\x1avz\\xbf\\x8e&\\xb0\\xcc)\\xdc\\xc5\\xa6\\x04\\x1a\\xcb\\xbd\t\\xf3\\xb9\\xde\\xb74\\xcfu\\xe4\\x9d\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe5\\x82\\xd7\\x8a}\\x8f\\xbc\\xc1\\x9e \\xdf\\xb4t\\xd6\\xc9j9\\x86\\x9f8v\\x00\\xf0n3m\\x05\\xe0\\xf3\\x12\\x88n\\xff\\xe3\\xa7bwz\\x1c\\x95\\xc6\\x1c\\x9b\\xd7\\xa0\\xc3i\\x8f"
623. },
624. {
625. "http_request": "winword.exe_WSASend_@\\x0e\\x82\\x08x\\xcez\\x08\\xac>\"hqw\\x1fl\\xb4\\xba\\x0b\\xee\\xab\\xe3\\x8bg\\x1bh\\xef\\x9e\\xa9\\x97\txmo\\xf7\\xba.z;\\xba(7\\xbe\\xf6\\xb6#\\xf6;o\\x8c;\\x83\\xdd\\x7fjs\\xc3js\\xbea\\xef\\xf9\\xcf\\xee\\xf7\\xad\\x99\\xd8\\xb8\\xd1\\x0b\\x83\\xd3\\xc7$a\\x8ec\\x9a\\xab]\\x1a\\x9d\\xad\\xeb\\x9e\\x85d\\xb5\\xee\\x97\\xd9\\x10}\\xe0#\\x16\\x85\\x90\\xa7\\x06q\\xeb\\x00s\\xa7\\x95\\xbb\\x14k$\\xe2\\xd51e\\xa1\\xc5\\xf6\\x99\\xe1igy7\\xd0)2m\\x05y9\\x84\\x82\\x8c\\x07d\\x0f\\x01\\xe4\\xc3\\xc1\\xc1\\xfc\\xd9\\x93\\xf2kf\\xbf\\x87-%gs\\xb2\t\\x8a\\x8d\\x10g\\xb3[xf7$\"\\x8c\\x0f\\x0f\\xda\\xe4\\xe1;\\xbc\\xe9\\xe7\\xd8\\xbc\\xfe>\\xfb\\xac3\\xd2\\x11\\x05\\x8b]\\xaa\\xe1\\x06\\xac\\xad\t4\\xf4\\xfc\\xd1*\\x1a}~\\x80\\xe7\\x10\\x15\\xbb>\\x0e\\xa5](ky\\x00e=\\xbe@{\\xf9$\\xf7\\x8a\\x1be\\xecy\\xb7\\xa7z\\xe7\\x93\\x1dw\\x1f^\\xbb\\x8a\\xab\\x9dk\\xf7u\\xb1aw\\x10+/\\x9e^n\\xf9"
626. },
627. {
628. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x1a\\x9er\\x05\\xca\\xb7l}q\\xb4\\xd2\\xe7\\xef\r\\x04j\\xb2\\xe4f\\xef\\x1c\\x8a\\x90)\r\\x8b\\xba\\xf2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
629. },
630. {
631. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7f\\xd1\\x17ry\\x91p\\x0e)\\xe2p\\x1f\r\\x0cog)\\xda@ynol\\xb1\\x16\\xb0\\x84e\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
632. },
633. {
634. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7,\\xee\\xf3\\xc5!t\\xc8%\\xbf\\x08\\x1b\\xf4\\xf5\\xc6\\xa3;\\x99\\x8am\t&\\x170\\x94\\x95\\xd9\\x0e~\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
635. },
636. {
637. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x86\\xf5\t.\\x1f\\x8f\\xf7\\x12+\\xdf\\xf3c\\xaf<z\\xde\\x9d\\xaf'\\xfa\\x8bf\\x06r\\x1b\\xce\\xc6\\x12\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
638. },
639. {
640. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xa0\\x9fu\\xb64b#uv\\xae0\\xc9\\xcd\\xa95\\xc4\\xa0\\xaab\\x14\\xcf^\\xc1\\x8d\\x01'\\x03d\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
641. },
642. {
643. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xb9\\x8c\\xd8\\xf9nb\\xdb\\xf3c\\xf2\\x88\\xfb\\xf6\\xc8s\\x8d\\xfby\\xf7vm\\xab\\x99tc(\\x0c\\x9a\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
644. },
645. {
646. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xe4t\\xe8\\xae\\xc6\\xc3\\xa3\\xb7\\xe7\\x1d\\xfc<\"\\xac\\xc7v\\x06\\x1ak\\xab\\xb3\\xd7\\xa8~\\xb4m\\x1e\\xd8\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
647. },
648. {
649. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x97\\xba/\\x9ec\\xbe'\\xd3\\x86 \\xe2\\xca\\\\xc4j\\xfb\\xc1o]\\xf9\\x15\\xdf\\xba\\xb8#&_\\x85\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
650. },
651. {
652. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf78\\xe8\\xd8\\xf9\\x9f|ae\\xd3\\x81\\xb8!\\x13\\xdae\\xcf\\x1b\\xf3\\x82\\x9dr!\\xafc\\xcfx\\xc06\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
653. },
654. {
655. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x95\\xd13%\\x97\\xe74\\xfc%\\xf9\\xec\\xdao\\xff1\\xe3\\x13\\xef\\xf82\\x19ru\\x1bd\\x9c\\xa6\\xc9\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
656. },
657. {
658. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xd2g\\x1dk.\\xefy\\xb50\\xe2|\\xab\\xae\\x90_\\x17_\\xd2\\xa8:\\xa6q\\x95o\\x003\\x95\\x91\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
659. },
660. {
661. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x10\\xc8\\xd4\\xb6\\xff\\xcdy\\x10\\x9au\\xe4\\xb2\\xe2f\\xe5\\xbe\\x87l7)\\x1a+\\xb9\\xe0\\x8c\\xbe\\xcba\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
662. },
663. {
664. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x92y\\x0f\\xea\\xedx\\xa8{\\xd2\\x85\\xbd\\xf9\\xa7\\x92~)\\xb2\\x06u\\xd2\\x9bc\\x0f&\\xef6g\\x84\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
665. },
666. {
667. "http_request": "winword.exe_WSASend_\\xff\\xff\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xf51\\xfa6b\\x8c\\x1a\\x06\\xf6\\xa6$y/\\x8awhq\\xf2\\x03)\\x88\\x13\\xab!%\\xbel\\xd4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
668. },
669. {
670. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7,\\xc0\\xc8\\xc9\\2\\xb3\\xc3[\\x8da@\\xaf\\x06q\r^\\xb8\\x9eg\\xeb\\x98\\x7f:\\xbb\\x00\\xcc\\xda\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
671. },
672. {
673. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xce\\xe2\\xb3x\\xd1\\xb5jh\\xe2\\x97<\\xe7w\\xd4l \\x90\\x12\\x04lb\\x8ah1\\x96\\xa1\\x13\\xf0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
674. },
675. {
676. "http_request": "winword.exe_WSASend_\\xff\\xff\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x8e\\xd9-\\x92\\xb4ua\\x1e\\x1f<m\\xbc\\x04\\x81?\\x9e\\x0f\\x08g\\x91\\x7f\\x90\\x82[b?\\x95k\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
677. },
678. {
679. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x0e\\x08\\xc3\\xa1:-l(\\x93\\x0etm\\x0bl\\xb7\\xbd\\xfea\\xaf\\x89\\xa1a\\xce\\xa28\\x9c<w\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
680. },
681. {
682. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x96&\\x81\\\\xdb\r\\xf3\\x9av\\xa4\\xad\\xa6\\xe9\\x1e\\x89s\\x19\\xb0\\xb7\\xaec\\x8du\\x13\t\\xb5\\xc2\n\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
683. },
684. {
685. "http_request": "winword.exe_WSASend_\\xff\\xff\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x1a\\x03\\xe1\\x14\\xf5\\xdb\\xb5\\x90\\x15\\x13\\xb2\\x04\\x12c\\xe30\\xe3,\\xad\\x0e\\xfez\\x1f\\x05\\xfe\\xa9\\x8d\\xd7\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
686. },
687. {
688. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xc4\\xb6~\\xb9j\\x83\\xb6\\xde\\xa0\\x91\\xb4\\xa6\\xa0)\\x1f@g\\x1b\\xc0o\\x82^\\xb4h\\xd7\\x1a\\xac\\xf0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
689. },
690. {
691. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x00 \\xde\t_39\\x0flhak\\\\x89q\\x9cd\\x80v\\xa2\\x1bwx\\xbfi\\xf1i\\x15\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
692. },
693. {
694. "http_request": "winword.exe_WSASend_r\\x05\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7g\\x93\\x17\\x05\\xbc\\x94\\x10+p\\x1a(\\x9d\\x10\\xc9\\x14yz\\x99;\\xae\\x99\\xb9\\x98k\\xcb+\\x1eu\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
695. },
696. {
697. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7(\\x1c\\x0c\\xac?/0\\xb0u\\x8c@\\x97\\x1b\\x8d\\xdd\\xb2bb\\xe3\\x0b\\x05z\\xb2+\\x9d\\x8e{\\xae\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
698. },
699. {
700. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7o\\x9c\\xa8\\xa5\\xf6\\x89\\xbb\\xdd\\x85\\x1a9\t\\xd1\\xc2q\\xa8>\\xb4j\\x86\\xb9\\xba\\x16\\x13h+\\xbd\\x1c\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
701. },
702. {
703. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7y[\\xd2\\xe7\\x867vu\\\\xfe\\xd2`\\xca\\xeb\\x0f\\x19::\\xc3\\xeey?\\x1d\\x02\\xc7\\x03\\xf7*\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
704. },
705. {
706. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\tc\\xb5>b\\xb6t\\x19\\xdfi4\\xfffi\\x0f\\x90\\x1etw\\xeb:\\xc1&t\\xfar\t\\x1f\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
707. },
708. {
709. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xcfw\\xaf\\xa9m#\\xdd:p&\\x12z\\x8f~\\xc7\\xe2\\xe7\\xa2\\xa5\\x9f8\\x92\\xe4v\\x8b\\xc9\\xb7\\xc0\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
710. },
711. {
712. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7)}\\xbd\\xf6\\xc23\\xd6\\xa7\\x9c\\xc43d\\xaa\\xe4\\xeaboj|\\xce\\xd4\\x82 \\xc0\\xa0\\x065(\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
713. },
714. {
715. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7co\\xb0\\x83\\xf1\\x88@4\\x9d\\x92\\xae\\xcb\\xda\\x8fw\\xfd:\\x83\\xc0\\xf7t\\xf9\\x0b\\xa3\\xda\\xc0g\\xb1\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
716. },
717. {
718. "http_request": "winword.exe_WSASend_r\\x05\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7$\\x83k3\t\\xfb\\xe4!\\x8e\\x02\\xe8b\\xbd&(\\xb5t1u\\xe6]\\x1a\\x8d\"p\\x80\\x12\\x1c\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
719. },
720. {
721. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x045\\xebo#\\x85i\\xec\\xee\\xc92\\x15\\x84\\x98\\xa7e8\\xfa\r4\\xba$\\x10<\\x93\\xf5\\x7fi\\x87\\xfbgn|\\x1e\\x9a\\x0f \\x83x\\xf0\\xa1\n\\x92/\\x92\\xcf\\xc8\\xa5\\x9c^\\x9b\\x86\\x8d\\xc1c`\\xbd\\x187\\xd0\\xde\\xa1\\x8a\\x0fj\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xb1\\x85\\x83\\x1a\\xa5\\x05\\x02\\xd7\\xfc\\xad\\xeb\\xc1\\x92\\xb0\\x05\\xa4\\xa4\\xecp\\x0e\\xaaqqj\\xa8\\x18\\xc2}\\xc4\\xae\\xde\\x00]\\x82\\x92\\x1279\\xacb\\xa2\\xc0f\\x8fk\\xba2*"
722. },
723. {
724. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xdb\\x9e\\x7ff\\xc9\\xe3\\xc8h\\xcb\\x1d\\xa6\\xf9\\xdcj3\\x9f\\xc9\\x1am\\xca+1\\x9e\\xc6\\x87\\xea\\x9e\\xec\\xe1\\x11\\xa9\\xf2o\\xf8\\xa0m\\xf9\\x9d\\xa3\\xbe\r\\xc6\\xbd~\\x86d\\x8f\\xdb\\xcby\\xd5\\xe0\\xa9\\x9b\\xffy\\x01ls\\xb6\\x13)\\xb5\\x87\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000h3\\x10\\xed\\x86\\xbc\\xb9\\xff$\\xea\\x91\\xa9\\xf8\\x0b\\xaa\\xfb\\xa5i\\xa6y\\x11\\xbdz\\xdc\\x93\\xe9\\x8ez\\xe7\\x93\\x0f4\\x12\\xce\\x1f\\xf3\\xce%\\x1fq\\xb1\\x11\\xa8\\xf5\t\\x9b\\x812"
725. },
726. {
727. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04.\\xc4i\\xe1r\\xcb\\xe8\\x88\\x07\\xaau\\x04\\x84\\xe2\\x1f\\xcc\\xd1\\xc6\\xed\\x83\\xcd\\xbc9\\x1f\\x8d\\xd9\\x0b\\xc1k\\xba4\\x17\\xc1f\\xcdj\\xda\\xac\\xe3du\\x83t2b\\xd4d\\x03$\\x1f\\xe0\\x1dx\\x11\\x01\\xb0c\\x98y\\x9a]-\\x12\\x94\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x05\\x9f\\xb5\\xce\\xbe<\\xea|h\\x9ezun=\"\\xc9\\xff\\xde\\x9ag\\xc5\\x9a\\xf4\\xe0\\x98\\xbb\\x85\\x04\\xac\\xf3@\\xa53\\xc6\\x80\\xf4\\xd8\\xbc\\x97+,#\\x998e\\xa8\\x8ak"
728. },
729. {
730. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xe2h\\xf3$\\xf2\\xf9\\x95p\\x8a\\xb6g\\x1a\\xd8\\xb7\\xd9\\xd9\\x1b\\x86d\\x08g\\xab~ \\xc1\\x86_d\\xe8gj\\xaf6j\\x86\\xf7\\xf1\\x11m\\x15.\\xdbm;{6\\xb4\\x99\t[]\"x\\xb7'\\xdfa\\x14\\xe9\\xc3`\\x95k\\xbe\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8b\\\\xfa\\xb9\\xc2~y\\xb5\\x07d\\xf4\\xc5~rm&\\xd7z\\xcc\\xd7\\x9d\\xd2,\\xee\\x8f9\\xc8\\xee\\xfd\\xae;\\xe7\\xb9z4\\xe7\\x19\\xea\\x15\\x81\\xfc\\xf3\\xe6u\\x18\\x02\\x07%"
731. },
732. {
733. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04|\\xd3\\x18\\x05\"g\\xfcc\\xf8yf\\xee\\xbb,\\xe5*\\x03\\xea^\\xe7\\xafd\\x1cu\\x08\\xf63\\x90\\xe9\\x97o\\xf2\\x18\\xe3\\xe4\\xf2\n\\xd8\\x85n\\xdc\\xd7\\xe0/k\\x89m\\x12.\\xc26\\xc1\\x14\\x95\\xb6i9`\\x07\\xd5\\xb96\\xa9\\xb9\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\r\\xea\\xe5\\x07\\xd7\\xd6\\xf0\\xc7\\x97\\x13viz\\xdf\\x9a!q\\x00,\\xb8\\x96\\x7f\\xfe\\x04\\x92\\x01\\xc3\\x0c\\xd2u#\\x82\\x80n\\xd6\\x98\\xa7\\x93a\\x88\\xb6\\x9ec\\xb4}\\xecby"
734. },
735. {
736. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xf3\\xbf\\xad\\x8a\\xff}p\\x9cr\\x91q,\\x07\\xb3\\x91\\xe2.r\\xbc>\\x0e\\xab\\xc9d\\xe1z\\x82h\\xdb\\xff\\x0b|z\\xdb\\xc2\\xb8\t\\xe9\\x96\\x1am\\xd9(t\\xa1\\xa7y\\x86\\x91\\x96^\\x9b\\xc9eb\\xa4\\xec\\xf6\\xc2\\x0e5\\x9a\\xa0y\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x12\\xb2q\\xc7\rml@gx\\x01r\\x18x\\xb2\\xdck\\xf6\\xb1\\x9f\\xf3\\x98\\xbcc\\x1bj\\x9eex\\x87(o\\x96\\xa9\\x17\\xc7'\\x84i\\x01@\\x07j\\x9bk\\x90\\x9b\\xae"
737. },
738. {
739. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04d\\xfdr\\x8b\\x9b\\xc5,\\x90\\xc2$d*\\x8d\\x8e\\xb1'\\xb8\\xb5\\x80\\xe5\r z\\x14\\x7f\\x8dg\\xa2@\\xfcr\\xecf2\\x01\\x01\\xc0^u\\x9c$2\\x97y?x\\x9f(\\xcd\\x97\\xd7\\j\\xaa\\x86\\x7f\\xeb`\\xa9g\\xe3\\x8f]\\xaa\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xc2\\x0e0f\\xcf\\xd3\\xce\\xf7\\xe0.f\\xaa\\x19?\\x99\\xfdme!)y&\\x97\\x07gm\\xbd\\x1f~\\x05\\x186\\xb1\\xda\\x9d\\xff\\xb5y\\xf5\\xe7o\\xf7h\\xb7\\x85\\xd3.\\xb3"
740. },
741. {
742. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7[\\xca-\\x82\\x89o\\xf1\\x18)\\xc7\\x89\\xc2p\\x83\\xf2\\xdd,\\xe9\\xa9\\xb4\\xc9vys\\xea\\xa8\\xf7\\x8a\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
743. },
744. {
745. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xb1g6\\xd1\\xd5\\xab\\x0e_{?q\\x18i\\xc5w;_\\x87gr\\xcf>\\xee#h\\xb3\\x10\\x10\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
746. },
747. {
748. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7 c\\x86\\xffo2\\xbb\\xba\\xbe;\\xf4\\xfc\\x00:r\\xf0\\xd4\\xa5\\xc3\\xff\\xcak\\xb4\\xda\\x12\\x0b\\xf0\\xc7\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
749. },
750. {
751. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd9\\xdc\\xd8[\\x9f\\xa3\\x16\\xberd@\\xf9\\x8eh\\xado|\\xdcex\\x87a\\xdb\\xd9\\xce\\xf3\\x18\\x04]\\xda)\\x1e\\x19\\xff\\xac)^cw\\xf2\\xb2\\x91%\\xa7mr\\xe7\\x8c\\xd7jo\\x94j\\x8d~\\xc1\\x82\\xb6\\xf7\\xe7\\xbd\t*\\xc7\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe5\\xdc\\x80j3\\xe5\\xe5 \\xad-2\\x13\\xc2=\\x9bd\\x97m\\x10\\x81\\xe1\\xd2\ry\\xd2<~\\xb0q\\x9c/\\xc2j$\\xbe\\xc7\\xc6\\x97\\xcd\\x0e\\xef;\\xc5\\x93\\xe8f~\\xef"
752. },
753. {
754. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04a\\xe8\\xfb\\xf7e\\xc3\\xea\\xb7\\x88\\xf5\\xdc\\x8c\\x1c*\\xf6\\xc3?wc\\xb8\\x1di\\xda}c\\xdd&\\xf0\\x03\\x0br>\\xeay\\xd8\\xd8\\xb3\\xb8\\xd8\\x96\\xc9\\x8c\\x87\\xc7n\\xb8\\x18j\\xe7\\xf9\"!r\\xa2\\xec\\xb8\\x00\\xe9\\x9b\\xbb=\\xddq\\xf2\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000j\\xb6\\xc3\\x17j\\xbcq\\x98\\xc1\\x94q\\x03\\xdc6\\x99\\xd7\\x8b\\x9a\\x8fy\\xb4\\xba\\x00\\x06\\x8f\\x15d\\xa0~y\\xaa\\xe0\\xf1\\xebc_\\xcdk\\x0c\\xb7\\x0b8\\x8bno\\x04;\\xc2"
755. },
756. {
757. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xfa\\xd6'\\xb7k\\x98\\xbcs\\x021\\xaa\\xd7\\xf6\\x9b\\xa7\\x91i\\xd0_\\xec\\\\xcb\\xb3\\x03\\x87c\\xe9\\xde\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
758. },
759. {
760. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xbf\\xa2f\\xcb\\xb6\\x14\\xe8\\x80\\xbe\\x1bg\\xb7\\xf5\\xa6m*\\x81\\xe7\\xb9&\\xd4\\x021\\xbe\\x8cb\\xe8\\xf4\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
761. },
762. {
763. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xfc\\xfal(\\xee\\xf4\\x84c\n\\x8d\\x18\\x02\\x06\\xa5n\\xda\\x8f\\xc7\\xbf7\\xcb\\xed\\xc2t\\xd6\\xc3(\\x9b\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
764. },
765. {
766. "http_request": "winword.exe_WSASend_>\\x05\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7h\\xb6\\xab\\xcf\\xefy>\\xc3s\\x85\\xcd\\xee\\xa1\\x9d\\x88\\xf3\\xf1\"s\\xf61\\xc5p]\\x00j[y\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
767. },
768. {
769. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x9bo\\xd9oq\\x96fzg\\x80]\\xcb3\\xe9?\\xb6\\xdb\\xb5\\xf7%/\\x8f(\\xdf\\xfa\\x88\\xd4\\xc0\\x93\\xf3l\\xa4@\\xfa+i\\x11\\xda\\xfat\\x8a\\xa0\\x99s\\xb2i\\xc5?\\xfc\\x1b\\xfc:\\x90\\xc0r\\xb0p\\x97\\xeb\\xdd\\xb5\\xbf3 \\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x18z\\xc3\\x96m\\xa0\\xa3!)\\xa5\\x01\\xf4\\xfdu\\xa6\\xa1\\xdb\\xe7\\xe5{\\xab^\r\\xac$\\x05\\xe9}k4q\\\\x0c\\x98\\x91\\xec\\xfd\\xe7\\xb8\\xa2p'p\\xe8mu\\x15,"
770. },
771. {
772. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04pav\\x8d\\xbb\\x8c\\xc5\\x96\\xa44\\x9f\\xb6\\xcc\\xd4\\xb3\\xb5\\x1d!l\\xeb'\\x7fw\t\\x82\\xd2\\x0c\\xe7\\x90@\\x80\\xc9\\x9c\t\\xf6q\\xd0\\x08\\x06\\xec\\xb2\\x85\\xd6\\xd1m\\x8f|\\xf7\\xa2\\x13o\\n\\xe1\\xee\\xbc\\xaf7\\x11i\\xc1\\xa6\\xed\\xdb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xca\\x88\\xc6\\xb8hn`\\x14\\x08bf\\xc4\\xdb\\x13\\xc7a\\xa8\\xd3iw\\x85\\xf8\\xf2\\x86~\\xd2\\xe2mbb\\x8c9\\x1c\\x90\\xa0-(\\xd6@\\xd9\\xafx\\xf0\\x1d/\\xd2\\x96\\xbf"
773. },
774. {
775. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x88zti\\xb4\\x1fg\\xdf\\x0f\\xac>\\xdb\\x9a\\xdbrrl&\r.i\\xf2]~-bj4\\xa6\\x98wl+\\xce\\x0bs+\\xc0\\x1e\\xed\\xa4k\\xc2t:\\xa2\\x93\\xe8\\xa0s\\x1dy\\xdf=\\xb5\\xc5o\n\\x9d\\xa7\\x18e,\\xa7\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000k\\xe6\\x9e\\xcc\\x7f\\xe5\\xf9s\\x03\\xd1\\xe8\\xd0\\xcexp\\x92\\xb9\\x8f\\x8b\\x95?#\"\\xb5\\x98j\\x1c\\xa0|x|\\xe6[\\x02\\xaa%\\x86\\xc2\\x8c\\xfb\\x8c\\x15\t\\x1df]n\\xe1"
776. },
777. {
778. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04(\\xe9\\xc9\\xb9n\\x8a\\xb3\\x9e\\xa8\\xa9\\xd7\\xbf:\\x7f\\xed`\\x12\\xcfc@\\x83\\xbe\\xd3u\\xd64\\xed9p\\xab\\xc0;\\x01\r\\x7ft\\x18\\x9ah\\xb7\\x07x\\xd7w\\x11\\x8eo\\xfb*\\x88\\xd7\\xa0\\xfaa|\\xc3~\\xd5\\x88\\xaaqq\\xb4'\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8c\\xf3\\x11*\\x17p\\xc4\\xe7|\\xc7\\xbav\\xc7\\x832?\\xeb\\x0f\\xa2\\xca>0\\x8f{j\\xa2\\xe4\\xf5\\xa1\\xb3u\\xf4a8fi\\x9fk\t\\xec\\xe4y\\x96\\x1f\\xa2\\xc3\\xdb\\xe3"
779. },
780. {
781. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04[\\x8eh\\xf5\\xab*i\\x80\\x99g\\xd4\\x93)\\x1f\\x0f\t\\xb2\\x86\\x1c\\x1a\r\\x99\\xc1\\xc5\\xd4\\xdc_\\x06\\x8f\\xde6'\\x120\\x7f\\x8f\\x8b\\xac\\x91\\x10z\\xd5\\x0e6\\xb8\\xa7\\xd4\\xeb\\xfb\\x9f\\x12\\xb0\\x17\\xe4\\x95-\\xe1\\x06b\\xc3kbq[\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xcbq\\xfb\\xc7i\\x01\\xed\\xaf!\\x88\\x01y\\x8f\\xf7b\\xdc\\x93\\xb2u\\x99\\xbe\\x08\\xec\\x0b\\x04\\x12\\x13-\\x90\\xf8\\x15\\xb0~\\xd0\\xd0\\x1bis\\x13m\\x90\n4~\\xb5w\\x04\\x8b"
782. },
783. {
784. "http_request": "winword.exe_WSASend_r\\x05\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xb7\r,h'>$dl\\x16\\x0f&\\x00\\xa9\\x15\tg\\x8d\\xc7\\x8a\\xd8\\x94\\x99\\xa2c\\xf0\\xdb\\xbf>\\xe5\\xb3\\xd4\\xf4\\x0f(\\x8d\\x02(\\xbc\\xcfwtao#\\x81c\\x11\\x86\\xa3kh\\x18x\\x05ke\\x15\\xae{\\xd4\\x1c\\xe8\\xe6\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe1\\xf5\\xc2\\x19\\xc5\\x18kx\\xdb\\x89z\\x03\\xe6\\xd4\\xc5^,k\\xac\\xaf\\x85k\\xf7\\xb8>80-\\xf0\\xd8fx\\x1f\\x9c{\\x9e\r7 zk\\x11(\\x05\\x88&\\xfe@"
785. },
786. {
787. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04$ya \\xde4u\\xe8\\xc3\\x0f\\xa5e\\x1c\\xf1\t\\x80\\xa2\\x04~\\x86\\xf2\\x8b\\xfd\\x9f\\xb6j\\x89\\x9a\\xaa\\xc3\\xafb\\x8cijgu\\xd7]b\\x19\\xd4\\xcc4\\xbd0\\x86\"\\xa2}\\xecp\\xb7d>\\xe1\\xa5\\x13\t\\xd4\\x92\\x08x\\xd7\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xd8\\x9f.\\xcb\\x9d\\xe07a\\xe7h)\\x99y`\\x89=\\x06\tvz/\\x9bw4\\x88no\\xfa\\xc4\t\\x9f\\x95z\\x03y7h\\x16n6p\\xa3\\xd4\\xe3\\xe3\\xdft\\x97"
788. },
789. {
790. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x01b{e\t\\xc3\\x009\\xb6\\x0e\\xf8\\x82m;+\\xf8\\xd3\\xbe27\\xc6\\x92j\\x9dn\n\\xce\\x14\\x0b\\xba\\x8e!\\xb9\\xed\\x88\\xf7\\x18p\\xbb\\xb3\\x9d\\xe6\\xc9\n\\x0fo\\xeb\\xd5\\xcf\\x8c\\x1e-w7\\xc5\\xdeqb\\xdb\\xc9mhy\\xfd\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x86\\xc9q\"\\xf7\\x8a\\xbb\\x00\\x1a;t\\xcb6>\\xd7\\xbb2u\\xda4}\\xe0\\xe5\\xcbi\\x19\\x88\\x17\\x81y\\x89\\x1bt\\x947\\x96\\xef>\\xef\\x80\\xbd\\xc1\\x02\\x80\\x80o\\x0c\\x95"
791. },
792. {
793. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x97\\xce\\xc4g\\x00v\\x94\\xbf3\\x8eu]\\xa1v\\x9a\\xe0\\x04\\x0b\\xd0\\x11\\x8d\\xfe;\\x84\\xb8\\xec\\x18\\xa0\\xdc,\\x06\\x1div\\x0fcr^&\\xed\\x18\n\\x88\\x10\\xeex\\xcb\\x9f\\xe5w\\x8fgxi\\x061ehpq\\x80i\\xd7\\x7f\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000|\\xea\\x07\\xa1\\x07m\\xb3\\x87a\\x0f5\\x01\\xd5\\x89\\x18f\\x05\\x8a\\xa5\\x97\\xda3-\\xb0\\xf6\\x96\\x0f\\x91\\x1c\\xdd\\xc9\\x13\\xa1/\\x9c\\x90y)\\x91\\xf3\t\\xc2\\xc7\\x86ak\\x98\\x1f"
794. },
795. {
796. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x9f:\\x98\\x8a\\xae\\x13i\\x8d8\\xdb\\xcc\\x95\\xcd\\xd6\\xc2\\xeck\\xb9\\xd6\\xfae\\xac\\x8b\\x10~\\x1f\\x0c\\xfcwc1\\xae\\x9e\\xcf\\xf2\\xe4\\xf6\\x14\\xe8\\x803e\\x02:\\x82l^\\xd4\r\\\n\\xd2\\xcd\\xbf(\\x10%e\\xa9\\x13\\xe5a\\xcc#\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000ch\\xd4q\\x96\\x9b\\xafv\\x05\n\\xd0\\x03)4\\x85\\xf9\\x1fu\\x15\\x86in#,1]\\xee!\\x06^\\xb4z\\xb5\\x1f^\\x7f(\\x1e\\x93\\x0c\\x7f>\\xdc\\x89\\x96\\x84y\\x83"
797. },
798. {
799. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xa3u\\x85\\x9f\\x95ms\\x17\\xb5\\xf5\\xd3\\x19;\\xd7\\xf8\\xa8\\xf6\\x8d\\xa3\\x8d)\\x87stqj\\xd2zt\\xede\\x83\\x9d\\xab\\xd9\\xde(g\\xbcu\\xf6\r\\xad\\xa5\\xe5#+e\\x14\\x7f\\x9f\\xd6:\\xd5\\xbe\\xf6\\xc6\\x97\\xc3\\x1b\\x9c\\xd4\\xcb\\xb8\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000s\\xc4\\xe5{x\\xacd\\xf6{usq\\x7f\\xbc\\xcb\\xf0d-$y\\xc7\\xf7\\x1f\\x99\\xd7=\\xb3.9\\xcf\\xda\\x89\\xad\\xf1-?&\\x8b\\xf6\\x95\\x92\\xfd\\x01\\xfb,\\xf9y\\x8f"
800. },
801. {
802. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x9b\\x02a\\xf4~d\\xa8\\x0f\\xf5_r \\x03p\\x91\\x05b\\xdb\\xdc!\\xb2\\xbf(\\xa85\\x14j\\xc5n\"\\xc5\\x12\\x0e\\xc8[\\xc3\\xa3\\xa2\\xb3\\xea\\x91\\xf0\\x9f\\xef\\xbdh\\x15r\\x1e\\x95\\x0bw\\x06\\x7f\\xcax\\xf1\\xfe\\xcf\\xd8f\\x0c4n\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x0e\\x7f2\\xefzvi\\x05\\xd9\\x14\\xa8mg\"w?\\xf8\\xecn\\x1dq\\xafk\\xfaw\\x81x\\x85\\x9c\\xc3\\xd3\\x91\\xea\\x07\\xab\\x89\\xe5<x\\xff7\\xbbzj\\xa9\\xbd\\x8d\\x8c"
803. },
804. {
805. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04b(d\\xbdt\\xfd\\xe2\\x1bw>^\\x803\\xc4\\xcb\\xb19\\xa9\\xd2\\x0b\\xa5ch\\x80\\x89#\\xbe\\xe4u\\xae\\xfd\\x04\\x12\\xbcx\\xdfd\\xbb.\\xdf\\xce\\x9d\\xf4\\x07e\\xa6|}\\xf7\\xf8u\\x01\\xcd\\xc3\\xc5=\\xcc\\xe5\\x96*j\\x0bp\\x8b\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\r\\x1c\\x0b\\x96-\\xc2\\xc6\\xf0\\xe1\\xf4\\x16n\\xe097\t[u'\\xc8i:\\x1c\\x873\\xd2\\xc4\\xdb\\xe4'\\xc0\\xec\\xc6 \\x96-\\x80k\\xef\\xe1b\\xabq\n]n\\xd8,"
806. },
807. {
808. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04;\\xe6\\xfc[\\x89\\xe3\\xa5\\x18y\\xab\\xdb(<\\xcey\\xf8a\\x97\\xa6+\\xfaa\\xc1\\xaa)p\\x9c\\x8a\\x08zk#\\x8c\\x02\\xc6\\x06\\xfczz\\xc9dz\\xbc\\x8e_&\\xec\\xba\\xfd\\xbe\\xe9\\x0e\\xae\\xad\\x10\\xbek\\xb2\\x8e\\xcd\\xa5\\x9as\\x81\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000:a`\\x11\\x129\\xad\\x1b\\5\\x93\\x01g\\xd3\\x1f\\x9d\\x1e\\xf9f{s\\xc8\\x8d\\x8a\\xe7\\xa2\\xe5o\\xb8k\\x93\\xfd\\xcd\\xde\\xcc\\xbc|g\\x99\\xcb\\xf4-jusg\\xe7\\xc5"
809. },
810. {
811. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x8c\\xe9g\\xd4\\xef*\\x97l<\\xcc\\xc8\\xe6\\x18\\xd7\\xa6f\\xcf\\xe5\\xcf-\\xfb\\xd9\\xe4\\x9dj\\xac\\x92$l\\x93}\\x9c/\\x9fa\\xaf\\xdd\\xe4ea\\xb1\\x16\\xa1u\\\\x07\\x03\\x9fsr6\\x83\\x00\\xa8\\x87c\\x08m,\\xe5\\xa1\\xe3\\xa6\\xd1\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000a\\xe7ts\\x15\\x16\\x83~\\xd1\\xe4\\xa5e\\xbe\\x92'b!\\xef\\xbefj\\x0b\\x1c\\xb0p*/\\xd3\\xd8'1\"\\x92\\xa3n\\x90\\xe6\\xbe\\x99\\xe0\\xeds\\xa2\\x91\\xa3\\x1f\\x15o"
812. },
813. {
814. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04mq\\x91\\x9c\\x99\\xc9\\x0c\\xa4r\\xe4'\\xff[\\xfe<\\x8fm\\xac^\\x08_\\xee\\xe7rz%\\x03s\\xba\\xad\\xa9\\x08\\xbb\\xaa\\xff+\\x00,\\xe7\\xd6\nc\\xc5q\\xeb\"\\x9ev^\\x1f\\x05\t\\xf0\\x9a\\x13\\x98\\x86s*ibh%\\x8a\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000d*\\xa3\\xa1\\xde\\xaa]\\xbc*\\xa2\\x89\\x1f\\xc1`q\\x8e\\xae~ag\\xf9\\xb5\\xdb\\xc0#\\xa9\\xdexip\\xae@\\x17\\xcd\\x96\\x95\\xa2$\\xa1\\x16\\x9b\\x14\\x95k\\x951\\xa1m"
815. },
816. {
817. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xa7\\x94\\xb5!~\\xab\\xd9^\\xe2\\x93f\\xe7\\xc4f#\\x81\r[c {\\x88<f\\xf6_:\\xa9\\x1b\\xe1 z\\x7f\\x0cj\\xbd\\\\x85\\xfd\\xa8\\xee5\\xbd\\xe0\\x12a\\xefb\\x8a\\x1b|:\\xdbe\\xdf@k\\x85\"\\xfb\\xdf\\xcd\\x16y\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x83\\xa4\\xc2r\\xfdf7rva\\xbe\\x02\\x95\\x86[t%\\xfa\\xda,\\xef'd\\x8e\\x89\\xae\\xc1\\x0bus\\xdb\\xea@u\\x04r))\\xdb\t-\\xd4\\xfe^\\xf7\\xad\\x03m"
818. },
819. {
820. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x043\\x90\\x80\\xb8^\\xc9k3\\x9a\\xd7\\xa9\\x0b@oo\\xb0*n\\xa2\\x98\\xf9\\x04\\xad\\x05\\x0eub\\xaa\\x7f\\xabp\\x86a\\x03\\xa8]x{\\x11;\\xd9\\xe4~\\xa4\\x16\\x14\\x8d^\\x89!\\xa8\\xa9\\xefezpy\\\\x9fp\\x07\\x02\\x05^\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x94\\xa4\\xday\\x99\\x1f\\xado\\x14\\x9d\\x01\\x82\\x1f\\x9c\\xd5\\xf12\\x0ev\\x8c\\xd5\\xc2:h\\xb2\\xad|\\x1e}\\x1b\\x04i@\\x01\\xb7 mm\\x93`\\xbe\\xf1\\xa3\\x96`?\\xf2\\x0f"
821. },
822. {
823. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04x~\\xf4ta\\x02\\xba#\\xd2\\x85(\\xa6k<\\x16a\\xfap_j\\x1f\\xaaq\\xde\\x0f+\\x9e}\\x8d68v\\xcc7\\x1b8/ee\\x85\\x7fx\\xb1\\xca\\xc0=tth|\\x84$;\\x12\\x9c\\xb8\\xa3\\xfc\\x9f\\xded\\x04\t\\xdd\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x9d\\x9ei\\x04\\xab\\xcd\\x8e\\xcf\\x88\\xf1\\xc5p\\xa2|^?k\\x81\\x00\\x1a\\xd0!2\\xd2\\xecc\\x05\\xfd\\xb4yn\\xcc\\x10\\x1dl\\x97-og\\xa7\\x9e-\\xf7l\\xa7%\\x14\\xad"
824. },
825. {
826. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04 \\x9d-(\\xe2_\\xf5\\xb7;\\xcd\\xdb\\x83zn\\xbf\\x99\\x10\\xcf9\\x05%\\xf3\\x08\n\\x94#\\xadq\\xd1\\xa4\\xfdz>\\xb60\\x87\\xe8e\\xe2yodc\\xce\\xa7\\x11kq\\xd2<\\xa6r3h\\xda\\x93gh!\\xd20\\x8e:j\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000jb\\x97\\xa0\\x18h\\x89\\xa59\\x1c\\xd3'\\xa9\"|v\\x0f;r5\\xf0\\xba\\x9b\\x0e\\xfas\\x80\\xae%\\xb0:h\\xbe\\xe0f`\\xd0\\x9a\\xe4\\x1e\\xcbh\\x17\\xab\\xb6\\xb4:\\xf9"
827. },
828. {
829. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa5\\x07\\x01,\\xf2\\x12\\x1e\\xeef\\xd9\\xe5r\\xe8\\xbaq?\\x85n\\x06~\\x9cj\\xe2{\\xbb\\xa7\\xa0#\\xe8\\xc3\\xb3\\x8e\\xd1\\xe1c\\xb6\\xd3\\xd3\\x8cr\\x86\\x9b\\x17\\x9eg'c\\x12\\x14\\x02/\\x9e\\x06u\\x17+\\xb7t\\x19)\\xfa@\n q3\\x87\\xfa\\xd9#\\xfe\\xd4\\x9as\\xe1=\\x9dy\\xffwo\\xc1\\x84\\xb2\\x85\\xb6\\x0b\\xbe$\\xb3\\x91\\xd6\\x9en\\x16\\xd0\\xd8\\xdf\\xaf\\x9b\\x95\\x96x\\x8fj\\x87x\\xb2w\\xaa[\\xe0\\xe1\\xcf.f\\xb2\\xbau\\xf2r\\xd90\\xc9\\xdc\\x99\\x0cazg\\x91(>9xee\\x1bf\\x8c\\x07\\xec\\x02p\\xdd%a\\xba\\xc4b)e\\x15\\x80\\x1f'\\xf5oz\\x85\\xcd\\xc0.0\\xcb)a\\xb6o\\xab\ry?rw\\xbb\\xb8)\\xaa\\xc1\\xcc\\xfc\\xe4d\\x96j\\x07p\\xd1\\x05\\xa0\\x80\\xdby$1\\x10\\x07\\xf3\\xf0\\x88<w\\xb2d\\xa1y\\xda\\\\x9b\\x88\r\\x04\\xeb43\\xa9\\x8dyd\\x06\\xfb~\\xbf\\xa3\\xa1\\xcf\\x18>\\xf2\\xf0io\\xf2\\xb0s\\x1e\\x85\\xd1e\\x18h\\xdc\\x8d\\xd1\\x92\\\\x0e\\xb6\\xd7\\xde"
830. },
831. {
832. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010d\\xc6\\x86\\x10\\xd0\\xce@\\xf6@\\xc69\"\\xc2i\\x07p\\xd6\\xd22\\x08\\x1d/\\xf6\\xe6\\xcb\\x88\\xa8\\x07\\xb3\\x9d\\xf2\\\\xf5\\x93\\x94\\xf2\\xa2\\x04r0\\xdb\\xfd\\xf0\\x9e\tv\\xcbuke\\xb8y\\xebt\\x92\\xb7]\\x1f\\xb6\\x7f\\x99\\xd0\\xfdp\\x8a\\x9bwg\\x08\\x03\\xa2f\\x02j\\xfa\r+\\xe9yz\\x93tq\\x00{\\x87\\xb2\\xe3\\xf5\\x9f\\xc31?pb\\xc2\\xe7t\\xea\\xcb\\xe3i\\xac{\\xfe\\x1d\\x16\\x8c\\xber\\x9b\\xc2\\x91\\x01\\xf3\\xcdu5\\x1a\\xa8 n\\xcc\\x86\\x0fl\\xd1!tn\\x01uzm\\x95\\x801\\xa9\\xd5\\xb2\\xd2\\xaf\\xfe\\xf6;g\\x07\\xa5\\xcbv\\xc8\\xf97\\xe64\\xdd\\x86g\\x86w\\xf6\\x98\\x95\\x04\\x8e\\x0f\\xebq\\x87\\x19\\xc8\\x03\\xbc\\xd9\\x01z\\xa2_\\xf43g-\\x8d\\x11\n\\x19\\x9bl\\x13z~f\\x17n[\\x10\\xc8\\x06\\x1a!\\x8cw\\xdbc<t\\xb2\\x06\\x9f \\x1dr\\x05\\\\xae\\x01\\xed\\xdf\\xa2\\\\x08,\\xa4\\|\\x8d\\xc1`\\x92\\x1a\\xe7\\x92`#\\xe0i\\x85\\xd5\\x92'\\xe9\\xda\\xb8nl\r\\xc7\\xfe\\xb4\\x9d\\xec"
833. },
834. {
835. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04h\\xf0p\\xe7\\xa15*\\x1f\\x1ev\\xee\\xdf\\xa0\\x82`4\\x95\\xed1\\xf8\\x82\\xd61\n\\xd4ene\\x03h.\\xf6e6\\x85\\xafmw\\x11\\x81\\x8d\\xed}\\xeb\\x05n\\xa8\\xff\\x98b?,\\x97t\\x0e&1\\xe6l\\xab\\xf2\\x1d\\xcd\\xf6\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8eyn\\x11\\xffe#[a\\xdf\\xc1\\x8c4a\\x14\\xa83\\x8f\\xc7\\x9f\\x98\\xdb}\\xb6]rch\\x9f\\x0b\\x02\\x14\\x8a|r\t\\x05\\xd8\\x9f\\xe0\\xf8\\xc4\\x90\\xcf\\xed\\x93wk"
836. },
837. {
838. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xdce`\\xbap\\x04\\x89\\xad{\\xc0\\x98\\xbc2\\x95@\\xa0\\xec3z\\x9d\\xd2g\\x87\t\\x18(\\x13\\xce\\xc9\\xd8\\xdbh\\xe8\\xb7\\xa0\\xd2d\\xc0\\x99\\xab\\xac\\xeapc\\xa9\"\\x1a\\x86f\\xf8\\xb8w\\xc8uqf\\xb4\\x95c\\xc6\\x1f\\xcf0\\xc2\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xfe\\x02~\\xbc\\xcf\\xea`t\\x97\\xf5\\xa0\\x1fr\\xea\\xb1zu\\xf8\\xa9\\xfbdb\\xa4a\\x0c\\x9d\\x8d\\xc0\\xb2\\xc3:km\\xc4a\\x1ab\\xd5'\\x19\\xab?\\xd0\\xaeg\\xe7\"\\x13"
839. },
840. {
841. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xdc\\xd0\\xab\\x89\\xb6\\xb6\\x1c\\xd7q\\x08\\x07\\xbf\\xc6\\xc8\\x83\\xa4w\\x82\\xcc_\\xf8\\x8b\\x0b\\xdd0~\\xe0k2\\x90&\\x89w\\x88(\\xa6\\x887a\\x0e\\x14\\xd7\\xdd\\x9ar\\x16\n\\xe3\\x7ft\\xb4shz\\x92\\x90\\x93\\x1ci,s\\xf6\\xde\\x99i!\\xf27_\\x1a\\xd6\\x|\\xf2a\\xc7\\x11/\\x83\\xe1x\t\\xd9\\xffl\\x81c\\xeca\\x93\\xab\\xaf\\x9f\\x85\\x86tb$\\xa1\\x9d\\x03\\xc0\\xd6\\xe2\\x84\\xb29\\x96\\x97\\x99p\\xb3l\\xd1\\x11\\x82_\\x11\\x91#\\x07p\\xf1\\xd7\\xe5z\\x9ek\\x9e\\x1f\\xfe\\xb3\\xa8\\x93\\xcb\\xfex\\x92)d\\xef5\\x1e<m0\\xd9\\xe7w\\xaa\\x9c\\xf1x\\xe8\\xc6q\\xc8\\xd6\\xe8\\x01'w<\\xd6\\x06v\\x00\\x88y)\\xbaq6\\xc7]\\xe5\\x06\\x1f\\xb6\\xd0\\xfc\\x1d\\xd9\\xa4\\xads\\x8b0\\x15\\x17\\xbe{\\x9e\\x96\\xda\\x0c\\xd4[c\\xdc\\x00\\x10\\xb0m\\xda \\x1c}?\\xea\\xff\\xff\\xae\\xea\\xcd?o\\xaf\\xfc&vjji\\x9ef\\x17\\x1b\\xad=n\\x94^g'\\x95\\xdcj\\xc9\\xf6\\x90\\x81l!\\xb6u#\\x9c\\xd7n"
842. },
843. {
844. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd6\\x03\\x9bce\\x00\\xd4w\\xd5\\xc0\\x1b=n\\x90\\xa9\\xc0\\xd8j\\xbf\\xe4,6\\x14a\\x8cq\\x9d\\x19\\xe2\\x8d\\xa3l\\xbe{`(\\x98\\x14\\xd7*\\xb6\\x14\\xdf\\xef\\xcb\\xfc\\xdd\\xd6\\x9a\\xcfe\\x1a\\xa2\\x0c!\\xfd\\xd0\\x19\\xb4\\xf2\\x1d\\xaf\\xc1\\xb3\\xa0\t_q\\x13\\xe2l\\xb5\\xfb:\\xd9+\\x82 \\xda\\xee\\v\\xaa\\x8an\\xbennf<g\\x92\\x1c^\\xf9\\xd1\t\\xb2\\xc8\\xf3o\\xe8\\x9b\\x83\\x96\\xd5\\xa9\\xf0\\x89j\\x03\\x92a\\xbd\\x80/x\\x07\\xb8d\\x89\\x1c\\xc3\\xa6\\xa0\\x05\\xa7|\\xd1\\x89\\x84\\x84\\xaco\\xe9\\x0b\\x88gb\\x9eh\\xc1q0\\x98\\x00\\xc0\\x93\\xeb\\xc1f\\x9b\\xe7\\x84\\xc4|f\\x12(\\x1d\\xf4\\xf5\\x0b@\\xb1\\xea]\\x97\\x08\\xac\\xb1\\xa4\\x13ch8#y5kv\\xa1\\x86\\x8ag\\xff\\x1c\\x8c\\x11\\xe5\\xa9\\xb3\\xd6\\xeas\\xb8k~g\\xab\\xa1q\\x94\\x8be\\xde\\xe6\\x1c\\x14c\\xd6\\xe4\\xcc\\xf4\\x8a\\xfb?\\x82w\\x1d\\xf0\\xb3*\rf\\xf1\\xa4\\xf1h\\xd9\\xfajb\\xad\\xf8\\xe1\\xd2\\x960cp\\xb4\t%\\xfc\\xd5jhx\\x1c0"
845. },
846. {
847. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x1a\\xcbx\\xf6\\x1b\\xfe\\xb4\\x12\\xf3\\x8e\\x8dn&z\\xc2xp\\xe5\\x9bd\\xf0_{\\x19\\xeeu\\xd4q(+kf0\\xbe\\xf61|h\\x10\\xafyj\\x95\\xed\\x10\\x90\\xec\\xaf\\xcc\\x84\\xdamw\t\\x8a\t\\xb55\\xab\\xde\\x87@\\xfc\\xf2\\x0eo\\x17\\xb9\\x8dy\\x95\\xf2\\xce\\xa1\\x16\\xa2m\\xc1#\\x08{cn\\xa7\\xfe/\\x08\\x01ed\\x84c\\xf4\\xcb\\x86\\xc0\\xe8\\xde\\xaf\nha`i \\xde\\x1a\\xb8%uk\\x16r\\x81\\xcft\\xfb%y\\x02\\x01h\\xa7\"\\x8a\\x04\\x0e\\xfb\\xdc\\x9fj\\x14\\x9cvo\\x84\\x1b\\xca\\xd8\\xb5\\xf3\\xcezl\\xcd\\xfc\\xc3u\\x7f\\xca\\xe9<\\xfee7\\xcb\\xd8\\x1a\\x1e\\xb2p6<\\x0b\\xa1njd\\xecu\\x91\n\\x0ed\\x14\\x9d\\x16\\x05%x\\x04\\xae\\xb0\\xd8\\xe7\\xe1\\xa4\\xe0\\x9e\\,\\x1d:\\x12\\xdc\\xf9|6}\\x88v\\xb6\\x8a\\xa4\\x05t\\xcc\\x8d\\xb9l\\xa8\\xb8\\xe49\\x06fi\\xf7\\xb0w\\x8d\\x97\\xea\\x84\\xc7\\xd6\\xe8\\xe1]u\\x88\\xd8\\x0c\\xce\\xbcc\\xc9\\xc1\\x93\\xe83\\x11=\\xe2df\\x02\\x97\\xdf\\x1d\\x9d"
848. },
849. {
850. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010/\\xb0\\xa1\\x06\\x9a\t\\x06\\xa2\\x982^\\x0cc\\x943-\\xaa\\xc9\\xfc+_\\xa3\\x8ee0\\xc9w\\xa3?\\xc6,\\x1d\\x15\\xb9n\\x0c\\xf0/}\\xf0\\xf0\\xbc1\\x16\\x12\\xa7\\xa3\\xa3\\x16\\x9d\\xba\\xab?hw\\xf0j\\xb3\\x92\\xfa\\xa6ix\\xaa)\\xe6i\\xb0\\xc1\\xc6\\xa05\\xfd\\x07\\xe0\\x1a\\xb9\\xb3\\xc1\\xb1\\\\xf8\\x8f\\x88(\\x94.l\\xb4\\xe0s\\xd5\\xcc\\xaa\\xe5\\x99\\x00\\xf6\\xb5\\xff\\x88\\x10\\x8e\\xd2\\x7f\\xb0lm\\xaf/w\\x7fc\\x8a\\xcf\\x0e\\x1e\\xdbf\\x9e\\xba\\x0c\\x00]tm\\xa0\\xee\\xf6\\xd1\\xddpp\\x81\\xc7\\xfeqq\\xa0#\\xba\\x19\\xad7]\\xe3\\xed}\\x8c\\xde#\\xeete\\x0e\\x8d=\\x13\\x9a\\x82\\xc5\\xf4\\xc9\\xf3\nu\\xcc\\x95\\xc3\\x9b\\x1f\\xb64\\x08\\x83r\\xdac\\xfa_\\xf5\\i\\xaf\\xc6\\xb4\\x80\\x95[\\xb3\\xe8\\xc5\\xed\\x85\\xe9k\\x0f\\x10\r\\xddis\\xe1\\xf8\\xbad\\x18ow\\xa6z\\xa6\\xcbcb\\xd4\\xed\\xa1\\x13\\x7fx\\xe6v\\xa0u\\xb4}\\xf6\\xe4\\xcb14>l\\xf7\\xef\\x97>\\xa6\\xb3\\x9de5\\x138\\x88\\x15p\\xae\\xec\\x9e"
851. },
852. {
853. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010*'$\\x1b\\x8d\\xc3x\\xc4\r\\xcd\\x1a\\xc7\\xa7\\xb2o\\x08#)\\xf7\\x8d\\xeb\\xa0t\\x101\\x0f\\xd1\\x84\\x95\\xa1\\xdeu\\xae\\xe1xy\\x98\\x04\\xa2\\xd4g\\x1d\\x01\\xf1\\xd4\\xebz\\x86 \\x92 \\xff\\xb2x\\x83\\x9ema\\xab=\\xb5\\x9b\\xae\\x06\\x7f\\xf8ww\\xc2\\xb7-\\x0c2\\xb6!\\xf2\\xe0#\\x1c\\xe0\nc\\xb6\\x9f$\\xc4o\\xc3r\\x80\\x05\\x8a\\x00\\xe7\\x91\\xf1\n\\xf0\\xe8\\xea\\x8c\\xf1[\\xf7\\xbf\\xde\\xd6_\\xbe\\xe9\\x15\\xaf\\xfd$t\t\\xd4\\x88\\xa3\\xe7\\x00\\x18\\xf7@\\x1b\t\\xf6\\x1d\\x8a\\xc4\\x9bd\\xc2\\xea\\x86\\x95\\x1f\\x03\\x14}[\\xfe\\xe9\\xd3\\xe1\\xc5k\\xdd\\x0f\\x92\\x95:\\xed\\xe0-\\xbd(\\xa6r\\x9cv^\\x08\\xcb{\\xca\\xab]\\x03\\xa0\\xbc:>\\xdb:\\xb5\\x06o\\x97\\x99de\\xbc \\xc3\\x01\\xc8\\x92\\x07v7\\xd9\\xba\\xef\\xd9f\\xea]\\xe1\\xb0\\xf1\\xb4\\xae\\xd8\\x03c_p\\x89\\xb7\\x19\\xb9z(r\\x1az\\xdc\\xf8\\x17s\\xc7\\x8d\\x8f\\x1elh\\x02\\x18as#\\xb0\\x88\\x9bo\\x12\\x9ax\\xb9vq\\x08!\\x18d\\x02\\xf3q\\x0f\\xa7"
854. },
855. {
856. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x02\\xddd\\xa1\\xc5\\x19\\x80\\x1ebxy\\x01\\xd3\\xe2\\xbb\\x7f\\x81xjt[\\xae{\\xe2\\x93\\xba\\x1eb\\xac\\xf8\\x12\\x13h\\x88\\x96\\x1e\rv&\\x152y$\\xc1o\\xdd\\xc7\\xac3\\xf1\\x05\\x14\\xca#\\xe4\\xc1m\\xfa\\x01\\x83\\x1ce(\\xf6b\\xee\\x88_j\\xb5\\xb4x\\xbdt\\xfd\\xa3\\xc3\\xef\\xbce\\xe1^n\\x1fabn\\x90\\x00#\\xa1\\xf0k\\x1a!(\\x8d\\xa3\\xb3\\x9f?\\x04\\xc5\\x81\\xa6wm\\xfb\\x88\\xcc\\xdd\\x0e\\x07\\x10egjbqj\\xde\\x07\\x99\\x7f\\xe0\\x8f\\xfd\\x86\\xae\\xfbl\\x02e\\xa3\\x94\\x9d\\xb7\\xf4)\\x0ft\\\\x84\\xc3y\\xc7(\\xe3p0\\xf5\"]o\\x9e\\xb5d>{\\x1f-;\\x84m{\\xa9\\xc8(\\x03q\\x84\\xecx\\x83\\xe7\\xc3\\x81\\x86\\xc3\\x8c\\xf4%zx\\xe8\\x1c;fv\\x90b\\xe8\\xe6e3\\x19t\\x0c\\xaaqv\\x7f\\xb9*\\xf2s[\\x88\r\\x81h\\xff\\xd1_@\\x0b\\x85\\xf6y\\xa6\\xd0\\x02\\x0c\\xce\\xdc*b1\\xa6\\xfd\\xe8\\x93\\xab]\\x7f\\xd3@k\\x9d9\\x9ch\\x14w\\xeem\\xc0\\x19\\xb8j\\xdb"
857. },
858. {
859. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010o\\x01\\x9c\\x10j9\\xa69\\xcd\\xa1>\\xbb+h\\x98\\x97\\xb5\\x98ps\\xd2\\xb4\\x1cz\\xc1y\\xb7\\x86\n9\\xea\\xf6\\xf1\\xcd#\\xf2m\\xd4\\x1e\\xcf\\xaa'\\xb3\\xc1\\xcf#\\xe43_\\xf2\\x98\\x01\\xab\\x94\\x03\\xaa\\xdf\\x9f!w\\x81y\\xa0g\\x10m\\xd3lxp\\xfa xg\\xc0\\xc5\\xb6\\xcbj\\xa7\\xf8\\x12\\xb4\\xdbq5\\xa3\\xeb.g;\\xe0\\xeb\\xcf\\xcc8d\\xa0\\x1f\\x84\\x85\\xb3\\xca\\xbb\\xea@\\x0b&h\t\\x9c\\x07\\x1a\\x9d\\xe8s\\xc0vut\\x97m\\xe3\\x14n\\xba\\xbc\\xc3k\\x85\\xec\\xf6o\\xa7\\xb1\\x7f\\xf3\\xd1y\\xa9\\xf9q\\xac%\\x809_\\xe9\\xd0a\\xb4\ropf2\\x17r\\xae\\x16\\x9ca\\xcc\\xb9\\xc22\r\\xaf\\x1b\\x7f\\xe3\\x7f\\xc2\\xec\\x17\\xa7\\xfe\\xcf\\x8e\\xb8\\xce\\xe3\\x1d\\xaf\\x92\\xceb\\xf2/\\xb0\\x8f>k\\xb9\\xd7\\x91\\x89\\x04b\\xe6s\\xebf\\xb7\\x8f\\xb6}_8v\\xcco\\x9e\\xd1\\xa0 \\xd03!a\\x04b\\x83z~\\xa3\\x1e*\\x9bb\\xf0\\x80)\\x837t\\x01;a\\xe2wfl\\xf2\\xd5wt^ `\\xa6"
860. },
861. {
862. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04cfp\\xce[;q#\\xf9\\x8b\\xbc\\x7f\\x85\\x93\\xd6\\xea\\xf2\\xde\\xae\\x9c\\xff1\\x81\\xd4\\x8e{\\xbf\\xf4,\\xb4\\xee\\xa8\\xdfg@\\xc0\\xbf\\xd7cn\\xf4]:w\\x9a\\xe9\\o\\x8f\\xe1[\\x1dx\\x8f\\xe7\\xc6\\xd2\\xf6\\x16\\xa0z\\x14\\x04_\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000v?\\xa1/&\\xcf\\xd5 \\xaa\\xc2\\x9bn~u\\xb5\\xfd\\xab\\x1bk\\x86\\xf2p\\xd2\\xbaryi\\x84,3#\\xb6\\xb5\\x04q\\x9b\\x92\\xab;4_p@h2\\xfc\\xac\\x14"
863. },
864. {
865. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04g\\xc6\\xec\\xe6\\xc4\\xad\\xd6yi\\xe9z\\x97e\\x80\\xac\\x04\\x0c\\xd1\\xff\\x04\\xe5k\\x96\\xf3^y\\x91\\xa3\\xa4\\xe6\\x97\\xcbv\\xfawg\\xabh6p2 \\xaf\\xe7\\x9b6o\\x1f&>2 \\xf1sy\\xfcp\\xd1\\xfe\\xf6\\xe6\\xd6\\xb2\\x06\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x0006e\\xb4?\\xc66\\xb8f\\x81b\\xeb\\x1b+u\\xb5\\xe6\\xda\\x94c\\x0b\\x1ft\\x1a\\xa4\\x8fr\\xf9\\x8dh\\xca\\x1c\\xd0\\xbc\\xb3\\xdfz\\xbdo\\xb4tf\\xd1\\x1c\\xb7>\\xc9\\xfd)"
866. },
867. {
868. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\x92\\x94\\xcf\\x17\\xe0\\xc3\\x1c\\x00\\xd0\\x15\\xa2 \\x95\\x18\\x15\\xecye \\x04k\\x86al\\xb2h\\x82\\xef\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
869. },
870. {
871. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xc5[-\\xa9\\xa3\\xb5\\x02\\x87v\\x96+wb\\x1cf\\xdd\\x85\\x88\\x1d\\x1av\\x1cr\\x95a\\x1a\\xcfl\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
872. },
873. {
874. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xca+{\\xfd\\x19\\x96\\x04x\\xb8r1\\xff\\xb5\r-\\xb1)\\xfd\\xc8\\xb4e\\x04\\xb6!\\x17\\xe1\\x12f/\\xff~\\x13e!\\x1d\\x17\\xe2\\xdf\\xb8\\x1c\\xcf\\xb9\\xd2m\\x87\\xc8\\x86!\\xa3\\xb5\\xab\\xa0\\\\xa2\\xa4\\x05*\\x8d\\xfb\\xb4orx\\xb1\\x88w9\\xd6l\\x88\\xae\\xff-vm9\\x9e\\x9frk(\\xdew+\\x96\t[!\\x89\\xfb\\xa4\\x7f\\xe2\\x0ejj\\xcb\\xfc0\\xe1u\\x88s\\x9c8\\x84\\x81<h\\xf0\\x9b\\x9f\\xda\\xb5w7o\\xe1\\x88u\\x91k\\xe4$\\xfe\\x01\\xf6i\\x8a\\xe7\r\\xf4\\xdb\\xf4\\'\\x8f\\xf5\\x99\\x11b\\x11\\xdf\\xec\\x90\\xf8\\x8f\\xf4\\xa6\\xd1vu\\xd5\\x86\\xc7\\xd7r\\xf0\\xa1\\xb0\\xcatu\\x9d\\xad7\\xa7\\x86$\\x97z\\xday\\xd7\\xfa\\xb1p&\\xb7\\x8d=.\\xe0\\xe4\\xe8)x\\xd6\\xc2\\x1e^\\x9e\\x7f\\xbbs\\xcbg\\xf3]2\\xa2\\xf7\\xc7\\xa0\\xa7\\x05\\xa9w\\xe40\\xf90(c\\x17\\x88\\x08\\x9f\\xa7\\xcd\\xfc\\xab\\xa9\\xbf\\x99u\\x97'\\x08i[u\\x8d\\xa8\\xe2\\xfai\\xacw~j\\x04&\\xcef\\xc2\\xc0\\x0b-~<"
875. },
876. {
877. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7<\\xc7\\x94mr`\\x8c\\x03\\x0b\\xf3(\\xc9i\\xba\\x16\\xc5\\x07hoa-\\xa4f\\xd1\\x81\\xd0\\xcc\\xa2\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
878. },
879. {
880. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xf8\\xc4a\\x8cm\\xf1lx\\x1f`jw\t\\xfc\\x80\\xfe\\xe9e\\x83{\\xba\\x15\\x0c\\xc75\\x08\\xc5\\xcf\\xaa\\x86\\xce\\x1e\\x8c\\xf2@\\x1e\\xe8i\\xb9\\x01\\x8daw\\x1a\\xceu\\x88]o\\x05\\x9d;+bt\\x81\\x18\\x1b\\xa3\\xd24v\\x92n\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000u,\\xb7\\xff\\x82\\x922(\\xe21\\xe1\\x84t\\xa8m>\\xfe\\xe1#`\\xf4v##\\xae?\\xcc<n\\xfa\\x88\\xf7?g\\xe6 \\xed\\xc5r\\xca\\x0c\\x8c\\xcc,\\x8btb0"
881. },
882. {
883. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xb5\\x1d*\\x9e'o\\xaf\\x84\\xbe\t\\xd5\\x8a[%\\x81\\x02\\x0eea\\xa4dg\\x060\\xc1\\x97\\x02\\xfc\\xe0\\xa5`w\\x93\\x95:\\xcbk\\x157\\x9f\\xac{w\\xe5m\\x17\\xf4\\xa5l\\x98g\\xef\\x01\\xc2\\xbc\\xb4\\x9e\\xb4`\\xbc@\\xa7\\xa5\\xc0\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000p\\xb6\\xfb*j%\\xdf\\x04\\xa1q!\\xf8\\xe2\\xf6g\\x19\\xe9}\\x9e\\x1e\\x1e\\xb6\\x1b\\xd9\\xe0c\\x84g\\xde&b\\xf6\\x10\\xd7\"<ws\\xd4\\x87/\\xe0<w3\\xc3\\xbf\\x83"
884. },
885. {
886. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xd1\"\\xab\\xcb\\xefw\\xee$\\x95\\x08\\x93\\x99\t\\xdc\\xc6\\xcb\\xfd\\x99|99\\x11\\x99q\\xa6l8\\xcce\\x8du\\xcceb\\xc6)2\\x1dh\\x86\\x80n\\xe1\\x9d\\\\xd3`\\xdco*u~\\x17\t\\x06#\\xde\\x15\\xd5\\xf9y\\xf8b\\xef\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xb4\\xb4f\\xc52\\xda\\xbfs\\xe7@/\\xb8.\"\\xaaz\\xefo\\xaa\\x9f\\xd7-\\x1b\\x84%>d\\xfb\\x95\\x91}\\xfe\\xa0\\xdd\\xa9\\xcef\\x86\\xc38\\xfe\\x8e\\xa6\\x01/\\x91\\xb1\""
887. },
888. {
889. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x0c0[\\xb9x\\x1d\\xaam\\x8f\\x8c\\xce\\x85\\x1f\\xff\\xd7\\xfcl\\xf3l\\xfa)\\xb99\\xed\\xa5\\xe1\n\\xc2;\\x9b\\xf6*\\x13\\xd6j\\x92r\\x11\\xf0\\x00\\xa8\\xee\\xf8h:\\xfa\\x1c\\x1di\\xa7%\\xdctmy0h\\xc5\\xf4\\x02uy2\\xeb\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000c,\\x87\t\\x02\\xf3\\xd4\\x11\\x80\\xc3\\xe9\\xc1\\xc8c\\x80\\xf1\\xb0,\\xf3 r\\xeb:)\\xdb\\xcd\\xbf\\x0c\\x9c\\x9a\\x87\\x98\\xbc\\x91\\xb8sd\\xdb\\xec\\x87\\xe3\\xa4\\x0c\\xba\\xe6\\x14\\xfa\\x84"
890. },
891. {
892. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010jt\\x0cw2\\xa7\\x83\\xd7g8\\xfaj|>@\\xc3\\x91\\xa2w\\x00\\xe02\\xd5{|4\\x8e\\x02\\xdd\\x02q\\x19vg\\xc0\\xdd\\x96\\x0b\\x08\\xa7s\\xfa=\\xe1\\xa1.\\x02p\\xb9t\\xe8\\xe1\\x0ed\\xfb\\xd6\\x00y\\x92g\\xc2g\\xb6\\xbav\\x9e\\xed\\xcem\n4\\xdf\\xfa\\xc8}\\xe2\\x1d1\\x8b\\x8f\\xebz\\x86\\xf0\\xc7m7<\\x05\\xc7d\\xcd\\x88\\xb8-\\x1d\\x8a\\x9a\\xd0\\x9d;8\\xa1\"\\xf5\\xac\\x1d6:\\xd5z\\xb3x+\\xfe\\x91\\xa9\\x82i\\x89\\x08\\xdd(\\x03\\x9e\\x98\\xcdb\\xe9\\xbdy`\r\\x16\\x9e\\x9e\\xe9`\\x08`'\\x82`g{.z\\xd1u\\x84\\xd7\\xe1\\x9b-+b\\x06'\\xc9\\x98\\xd0\\xf5\\x9e\\xb8q\\x14\\xbf\\x80\\x00y\\x9f\\x03\\xa8\\xde\\x19\\xe2@\r\\xafg\\x83/\\x1c\\xf0\\xfak\\xf3\\xd2\\xf1\\x96*r{[k8\\x88\\x1d\\xc5n%\\xd0b{\\xf5r\\xa6\\xaf\\x99\\xa4\"t\t\\x99j\\xf0o\\xf0)+\\x01\\xc0w\t\\x12\\x01\tao\\xd9\\xb3n\\x96\\xbd\\x9c+\\xaf\\xf3\\xd6\\xb7u\\x96\\x13[\\xe3\\x923\\x16\\x07.k"
893. },
894. {
895. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x17\\xc1\\xd1\\xb8\\xa8v\\x13\\xb8=b\\xa6\\x827g'*\\x83bx'\\x81\\xf64\\xbfy4\\xec\\xfb\\xde\\x91f[\\xc3\\x92\\x1cx\\xc8\\x06\\x96\\xd6\\xb1%\\xb2va\\x8b\\xc2\\xac\\xbf?\\xf5\\x84\\xd8\\xa3w\\xd3\\x08\\xae\\xc1>\\xf6\\x07=\\x9b\\xe2\\x1f\\xeb\\xfb\\x8d\\xc0\\xa4\\xf6\\xbc\\\n\\xca \\x96\\xe7\\xebb@l)\\x8c\\x9fx'\\x17o\\x14t\\xe4k$sa\\xd5\\xc0\\xd9\\xa5\\xc5$x\\xd9\\xf9'g\\x92w\\xef\\x82la\\x86z\\x96eo\\x81\\xa3s\\xc7\ts\\xfe\\xdf\\xff\\xed\\xf6u\\x15\\x1d\\xfb\\xd4o<\\xa0\"\\xc5\\xf7\\xae\\x18o\\x85nq\\x81b\\xad\\xf7\\xcd(\\xe8\\xbc\\xfe\\xc4\\xfcx&8a\\x9c\\xb40r\\xb8a\\xb1|\\xe9\\xc1o\\xe8\\xaf1\\xb76\\x015\\xce3\\xc8\\xf3j\\xdf\\xcb\\xdd=;\\x9f^j\\xd8\\xac\\x08\\xbfs\\xfd\\x88^\\x86hd\\x06}\\xc5\\xe5\\xef\\xb6&\\x19q\\x105\\xb0\t\\x03\\x12\\x13^\rf\\xac.\\xdd\\xcc\\xad\\x8az\\x9b`'\\x8e/1gc\\xed\\xbd\\xb6\\xa3\\x82\\xd3\\xf43\\x986\\xd7\\xb8\\xeb"
896. },
897. {
898. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7\\xdf p(\\xc0n\\xd46\\x07\\x83u\\x86\"\\xd0\\x16m0\\x8et\\xe1k\\xad\\xe8\\xc0v\\xea\\x82\\xa3\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
899. },
900. {
901. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04d\\x05{+\\xb5\\xaf\\x1f\\x96\ngs]\\x856,o\\xb8\\xb9\\xd9\\x97\\x83v\\xc2\\x81\\x04y\\xdd?\\x0e)\\xba)\\xb2\\xb66+=\\xb4&+y\\x95)\\xdfyk\\xe2\n%\\xede.\\x82\\x10\\xe7\\x1f\\x97\\xae[\\xf4\\xf5\\x03\\xf7h\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000r\\xaf\\xd3\\x10@\\x1fp\\xff\\xc1\\xcdk\\x7f\\x05\\xa1\\xf2\\x82[$.\\xc5\\xbf7\\x8f\\x0bky/\\xbb\\xcbgcoi\\x97rj\\xf4\\xe7\\xa9\\xd8\\xff\\xad\\xcd\\x89\\xfc\\xda\\x10\\xf8"
902. },
903. {
904. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010^s\\x1f\\xd8k\\xaa\\xa8\\x9f\\xde\\xf3\\x94z\\x88\\xf9\\xb7\\x95\\x03/\\xa8\\xb6z\\x0fy\\xafp?\\x16s\\xf2zue\\xf3\\x99\\xbc\\xa0\\xf2\\x7f\\xf4\\x90\\x1c\\xeb\\xbf\\x00\\x86\\xbe\\xfc\\x81s\\xb6\\xado=}\\xf5a_\\xb3t\\xe3cg]cyik\\x97\\x87\\xfa\\xb4\\xa2\\xc0-\\xbb\\x97\\x80s@\\xa1.\\xd4\\x87\\xa6\\x1d6\\xf9\\xea\\x04\\xf13\\x1b\\x80\\xcaa\\xe0\\xba\\xa2qo\\xdfe\\xe8\\xd6\\x9d0\\xa1%\\xe63\\x9c6\\xe7.\\x9d\r\\x0b_\\xcf\\x9bl\\xd0\\xc2\\xba\t\\xda\\xf1\\x81\\x83\\xa3\\xa8c\\xa3\\xd2\\xa0 \\x9a\\xa8#\\x16~}\\x86\\xca\\x9f\\xdfj:\\xbbj\\x88c\\x15\\x87^\\xf0\\xb8\\xef\\xea\\xb0\\x1at\\xbb\\x1d\\x1d5\\x19b\\x00\\xcd]\\x0fh\\xdc\\xaec\\x9e\\x81s\\xc7\\x9eja bau\\xd6\\xa6\\x93\\xde\\x93.&\\xa7\\xba\\xad\\xe3\\xb1\\xa80\\xcdd\\x86\\x8b\\xe3\\xf7\\xe6\\xf5\\xe7\\x8d\\x9f\\xf0\\x95r\\xa5kd\no&\\xd3%\\x8d\\xbb\\xfb\\xe2\\x8f\\x1a\\x16a@\\xbd\\xfe\\xb34{\\xc5j\\x91\\x86\\xba\\x12\\x9b\\x10\\xf9!\\xfcr\\xc8\\x92"
905. },
906. {
907. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xdce\\x06j^;$\\x94\\x15\\xd9\\x1ae\\xf1\\xc7\\xf0\\xbfu\\xf8\\xaa\\xf2\\xc6\\xfc\\x92%$\\x9b\\x86\\xcb\\xf3qr\\xd0\\x80\\xb3\\x15\\xaeq\\x15\\xbdw(fd\\xe6lu\\xb4\\xef\\xe5\\xc7b\\xee\\x8a7\\xbc\\xce\\xf4\\xc1\\x1e\\xf9\\x9av\\x15\\x02\\x17\\x05\\ki\\x0ba\\xa8\\x87n\\xff\\xcb5\\x1a\\xf2\\xdd\nh\\xf8\\xf7o\\x08\\x95\\x89\\xab\\xae\\xa7\\xd1m3\\x17\\xe9\\x9e\\x8b'\\xb0\\x18u\\xbb\\x0e\\xea\\x19\\x04\\xd7\\x1ej\\xdd\\xc0\\x15\t\\xd3d\\xa4\\x90r\\x96\\xbb\\xf7v\\x00f\\xbb\\xae\\xb9\\xe5\\x00\\xc5\\x91\\xd5<\\xd0\\xeb\\xf4\\x02\\xd9\\xb2:\\xfa\\xef\\xf5q\\x02\\x9e\\x87\\x96j\\x86:\\xea\\xcac4g\\xa7\\x9d\\x17\\xc2\\x01\\x81\\x82\\xb1\\xaf\\xd2v\\x97\\xca\\x0c\\xfaf\\x10\\x8ba\\xe208qoa\\xd8\\xc8mi]z\\x13\\x19f\\xdb\\x80r+\\xfb \\xbax\\xd1n\\xd2\\xc9\\x91x\\xdd\\x08<\\x98\\xecnx\\xc2t0\\xac\\xe7\\xd7\\xac\\xedl\\xe9b/\\x99\\xa10\\x1af\\xad1\\xaf\\x9bo\\x17o\\xf7{x\\x15\\xf6\\x98\\xb9zch\\xb1\\xab\\x8b\\xe4%"
908. },
909. {
910. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x0103\\xd7]\\xc7\\xe7\\x89\\xb5+\\x0e$\\xcc\\x85\\xb6\\xca\\xb1\\xcc\\xce\\x05\\x87g;>\\xe5l|\\xd6\\x8b,r`@l\\xa2d\\xe4d\\x98\\x845\\xf4\\xe4\\xa8\\xeak\\x94\\xb5\\xa4f5\\xb5\\x1b\\xd0\\x05l\\xd1\\x803\\xccxu%\\xb5{u\\v\\x96{_\\xe5\\xa0$v\\x1ez\\xb7\\x9f\\x8cg\\x9a\\x07ft_\\xa9\\xe3\\x1d\\x8e\\xac\\x13\\xf2z\\xdc\\xd5\\xe5o9u\\xcb=\\xf7lvvt\\xff\\xc0\\xd8c&\\x15)\\xf89\\xfa\\xce\\x8c\\x1f\\x8a\\xe4\\x92\\x07\\xbe7\\x9a8\\x82\\xfe~.2\\x92h\\x12\\x8d2\\xe7\\xe0\\xf2\\xca\\xbd\\xfd\\xfc\\xa7\\x15a\\x7f\\xc0h\\x80v\\x89\\x8bwn<\\xcb\\xa3\\x98n\"\\xb2\\x1c\\xf7\\x92\\xab!\\x86\\xb7\\xf3\\xf6j\\x86h2,\\xdf\\x06\\xc6]\\xda\\xd0\\x9c\\x017.;o)\\xeds >76u}\\xb2(\\x03\\xd4\\xc4\\xc6ij\\xa3\\xb2\\xe0\\\\xcb\\xce\\xdf\\xc3\\x8a\\x08\\xae\\xef\\x9cf\\x12\\xf6=\\xd7=7\\xfd@`\\xc6\\xfaper\\xfd\\xafb\\xb9\\xce\\x1f\\xa46\\xc6c\\xbb\\xcc\\xac\"\\x90c\\xcb\\x17"
911. },
912. {
913. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x0ca#\\x80\"\\xfbj\\xc9\\xabe\\x94\\xf8$\\xfd\\xfa\\xabb\\x8c\\xd6\\xe2\\x85\\xb9~\\x1f\\x88\\x0c\\x04\\xb6{\\x8b\\xb2\\xe9\\x06\\xe6po\\xf5\\x0e\\xd5\\xc6,\\xd2\\xa6rj6t\\xeb\\xbd\\xecj\\x8e\\x84d\\xf5g8q\\xa9\\x9d\\xab\\xa9e\\xac\\x7f\\xe0<]j\\x1c\\xd9\\xac\\x05\\xa7\\x99\\xbb\\x05\\xb5\\x8b\\x1e\\xadr\\xbd8z\\xef^\\xbaq/\\xbbr\\x03\\xa4\\xea\\xff\\x16\\xef\\xd9\\xe0\\x85\\xf8l\\x00$\\xbf\\x01\\xf2\\xde\nz\\xfa\\x1d\\xb6\\x06\\xfe\\xf2y\\x03\\xe4\\x9c\\x02\\xeb\\xce7mw\\x98b}\\x92qb\\xbc\\xd8e\\xa1\\x98\\x0e_\\xb5g\\xbcr\\x8b7\\xfe:\\xccy\\x90\\xea\\xe0?x\\xea\\xf7\\xc5\\x82\\x07\\xcd\\x91\\xe3\\x18\\x9c\\x97\\x89\\xf4\\x12\n\\x8atr\\xa5l\\xaaad\\xc7\\x19\\xed\\x0156\\xe4)a\\x93\\x1cl\\x01^\\x0f\\xc3\\xa9\\x9e\\x80r\\xa0\\x9b&rzzy\\xbb\\xdb\\x8d7\\xd5\\xc2n\\xfc\\x1b_\\xd4z\\xb7\\xc0\\xf3\\x94\\x16f:\\xf8\\xfcd\\x1a2%\\x16\\x07\\xe9\\x0b\\x10'm\\x8d\\x92\\xd0~\\xb4\\x85\\xee\\xd8\\x0c@o:{d"
914. },
915. {
916. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x90\\x82\\xd5\\xb4u:\\x0f\\xd7o\\xa3\\xdb\\xff\\xe3\\x17\\xc1]\\x186\\xa6\\xd3q\r\\xbd\\xad\\x18\\xe3>n\\x04\\x9b\\x92vyy\\xb6u\\xbbh\\xe3\\x1c~\\xbe\\x08\\xde\\x17d>\\x0f\\x04$\\xf9$~\\xf0\\x83a\n\\xfdu\\x9b\\xc2pet\\xaau\\xf7\\xb7c?a\\x1cyi\\x0c_\\xef\\xadmv\\xfenu3\\xae\\x1bn\\xef\\xd9\t@\\x1a@\\xed:\\xf6\\x00\\x89\\xe1\\x90+\\x82\\x80\\xb4\\x95\\xcc\\xbc\\x12)\\xa9\\x87e(\\x0c\\xf0\\xda\\x06\\xbf\\xbb<q\\xfc\\xf2\\xc8cd\\x97w~\\xc2\\xc34)]\\x8b\\xd3\\xfb\\xe4o\\xcba\\x97\\\\xde\\xec\\xe0^r\\x07\\x1e\\xc13\\xd8\\xce@\\xf9&t\\xa5t\\x11\\xbf+\\xa5\\xef\\xb5\n_\\xc9\\xeb\\xe2\\x08ju':\\xb8ox\\xad\\xf8~6\\x1f\\xfcg\\x1e^37\\xdc\\xa5$i\\xb1\\xccwr\\xea\\xb2\\xf8\\xb8m\\x8b!\\x85s\\x8d\\x06\\x95\\xc6eq\\xe5\\xbdz\\xe1\\xd4/\\x04\\xba\\xdej\\x1b\\xed[\\x9ev\\xa2\\x97t41\\xdf\\xfavy\\xcf\\x15\\xe4\\xb4\n\\x7f\\xf6\\x16t\\xce\\x94w\\xee\\xf6"
917. },
918. {
919. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x10\\xa7gg\\x01\\xdf\\xf3\\xdef;\\x02+(\\xa74\\xce\\xb9x\\xdb\\x0f\\xd2k\\xdc\\x17\\x17a\\x91\\xea\\xa3/}\\xddfg\\xf4\\x8d\\x89\\xf2\\xdd\\\\x9c$b[\\xbd\\xc2/eea\\xb1>;\\x0cz/z=\\x9f\\xd8\\xc1u/c\\x88d\\xe0\\xb0\\xa2\\xf2-\\xcb\\x9fb\\xf1\\x9cq\\xb4c\\xe3\\x8f=.ii\\x83\\x87\\xba\\x1a\\xbf8\\xab\\x8a\\xfd\\x8f\\xae\\x7f\\x90l\\x82%\\x9ap\\xaa\\xd1\\xb8\\x0b\\x17\\xfax\\xdbs\\xd6vqw#4\\x14m\\x84(\\xc7\\x9b\\xd0u\\xc7\\xfa\\x8cd, ptrk\\xa1ol~a\\xdbd\\x86o\\xa3\\xd6.\\xcah+\\x01\\x8cec\\xe3\\x14\\x89\\x8f\\xf4\\x90\\x87\\xe3\\xe3\\x9c=\\x8e\\xf8\\x1b4\\xa41\\xf7;\\xc35[\\x9dv\\xed\\\\xda\\xe1*x\\x90\\xb1i\\xc7\\x9dx\\xc9\\xcd\\x92b\\x17qm\\x10\\xb2\\xfcx\\xd2\\xd3\\xa5\\xfe\\x86\\xc3n\\x93\\xaa\\xc1-\\xf5\\xc2n\\x8d\\xd3\"\\xb9\\x99z\\xf9\\xc8\\xa6\\x1c\\xd6\\xc6\\x8e\\x16x\\xb5e|\\x856$\\xeap\\xb5\\x84\\x86\\x14\\xd2s\\x88\\x82\\xae\\x14.\\x9e"
920. },
921. {
922. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010d\\xac\tu n\\x8d\\xa2\t\\xeb\\xa1m\\x84\\xcd\\xfb2\\xbe\\xc8\\x9d\\xc3<\\xcd?y\\xd3\\x83\\xc16\\x12\\xf3\\xf8\\xc7<\\xdc\\x13@\\xd9cj\\xaaf\\xdc\\x9b\\xcb\\xfcomd\\x90bc\\xb75{\\xd9,\\xc9\\xae\\xae1\\x89\\x1a!\\xfdm\\x1a/\\x13%\\xea\\x02\\xafn\\xbbw^q+\\xe0) ~\\xe7o\\x8aw\\xben(g\\xe8\\xbb`\\x0c2tk\\xfa\n\\x13{\\xc0`\\xe3\\xdb\\xa0\\xbe\\xd1hnwk\\xe9\\x8d\\xe7w/ktu\\x15+\\xbe\\xd9\\xe2`\\xb6\\x0e@z\\xb0\\xaco\\xc3\\xe1s\\x9c\\x0f\\xa4\\xf6\\xfe\\xb7\\xd3\\xaes\\s'\\xfd\\x0e\\xcd\r\\x18zy\\xd1\\x13l,\\xc8\\xfc\\x9bn\\xcc\\xd1\\x1a\\x8d\\xb9\\xbe\\xe7\\x83\\xf8w \\xb3j\\x1fc\\xfe(\\xca\\xb8w\\xc0<\\x06ep%-q\\xf5\\xf6:5\r\\x91m\\x8f\\x04\\xaf\\x81\\xc0\\x0e\\x89\\xc9\\xde\\x1d\\xa2h\\xe5\\xf1\\xa5\\xde\\xc8\\x87\\xaf\\xf41v\"\\xd2\\xa0\\xa7\\xd6\\x89gn\\xa0\\x96\\x16f%j\\xe6\\x96\\x91\\xfa\\x03ux\\x13\r\\x9c\\x83v\\xf8p/\\xc0\\x00"
923. },
924. {
925. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x0101o\\x01\nb\\xcf\\xbf\r\\x83\\xd2a\\xfb\\xb3s!b\\xdf\\xc0\\x94\\xb1sk\\xf7\\xe3\\xe7\\xe5\\xabz\\xccwu\\x98\\xa9\\x1a\\xe2g\\xf8\\xad\\x84\\x1e\\xb5\\xe0\\xd1\\x15-\\x93\\x8e\\x14\\xf8w\\xfa\\xb1\\xb3\\x01\\xc8\\x84,\\x8a\\xcd\\xd3\\xd8*\\xb6\\xe0s\\x0e\\xa5\\xd7\\x00\\x06\\x8d\\xabc\\xbfh\\xfdx\\x87a\\xf7\\x9c/\\x82q\\x96\\xab\\xd1|\\xd5\\xba\\xd13=\\xc7\"\\xa3\\x8a\\x1cc\\xcb2\\xa3\\xc9\\xaf\\x88\\xd6(:d\\xc9t6d\r\\x08_\\xf5n\\xf5\\xfb\\xcc\\xd5/t\\xeb\\xe3\\xf4\\x11y\\xdb\\xb4i\\x85\\xc9|-\\x17#a\\xab\\xe6i\\xa9\\xfa\\x1ab~\\xc3d\\x049\\xb3<t\\xa3\\x9a\\xc1\\x90n\\x93\n\\x1bm\\xea\\xa5\\xb0\\xd8yg\\xc0\\xbb\\xe11w\\xab\\xfd\\xb4\\x80g1\\xe7y4\\xd2\\xef\\xe1\\xc5\\xb4\\xf9\\xa8i.\\xaf\\x99do\\xe4\\x89\\xbd\\x17\\xca\\xda\\x1d*>\\xd5\\x84\\xe4\\xc5\t\\xbe\\xbc\\xdbs\\x99\\xdb\\xd9 >9\\xba-\\xe7\\xef\\xf29\\xd7\\xc7\\x0b\\xced\\xf7\\x91\\x1c\\x9c\\xd30\\xce\\xd4\\xb7\\xffo\\x987\\xeb\\xe2\\xb7\t\\xf1\\xef\\xbf"
926. },
927. {
928. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010yz\\x17\\x9f\\xba\t\\xc3\\1\\x9ajv\\xf1\\xed<\\xfd\\x89\\xa8v\\xc4ucrhc\\x9f~\\x9e]>\\x81o\\x07v\\x9b\\xfc\\xc5\\x9el?\\x8e4\\xd7j\\xf8a:\\xdb\\x86|\\xc04\\xe3'\\x99\\xe2+\\xab\\xe9'\\x99\\xbf\\x85-\\xfa\\x82\\xdee*}\\x99\\xd9\\xf7\\xd3i\\xdcw\\xab``\\xdc\\x8f\\xdaf\\x03 b\\x02\\x92\\xb3l\\xba\\xf4\\x89\\xc299\\x15\\xe0\"\\x8e\\xe1+\\x13v\\x0c\\xcc\\xf6\\xd5\\xeb\\x7f\\xf9qd\\xb7@#g\\xa7\\xdc\\xe6f\\x9c\\xb3y\\xe9f\\xfe\\xee\\x19)v\\xbe\\x19\\x8b\\xa2(\\xf0\\xcf2\\x97\\xf66\\x02\\x876)4\\x1f\\xddm\\xa7\\xc3\\xd0j2m&w\\xc4\\x9c\\xf3\\x9a\\xa1(x]\\xfbvj\t\\xa4ob\\xeb#\\xbcx\\xb2r\\x0ci\\xe0\\x9f\\xf8\\xa1\\x82\\xb3f\\xe4\\xe5\\xaa\\x81$\\x19\\xeb\\xc7\\x95\\xb4u\\x87\\xcf\"\\x96\\xbck5\\xff}n~\\xfc\\x08ff)\\xd6\\xfcu\\x0f\\xdc#x\\xa6\\xa3\\xd3>r\\xb6j=#\\x0b\\x8a\\xd5\\xaa\\xe6\\x96\\x19\\xa4\\x90\\xb4w_\\xf5ut\\xf8\\xa4\\xf9\\xcd"
929. },
930. {
931. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x82\\x9b?%bi\\xc8\\x97,\\x99f\\xca\\xbaa\\xaelj\\x89\\xec\\xf7u[\\x8b\\xc5\\x80 \\x1ch\\x14\\xfa\\x95\\xf4`\\x8b\\x18{\\xf63\\xf1z\\x1dp\\x82\\xc7d\\x07c\\x83f\\x1e\\xbc\\x1f>.\\x85\\x98\\x96\\x0f\\x8a\\xb6\\xffw>\\xcd\\xba:\\x99'\\xd8\\xa2\\x8f\\x16+\\x0c\\xb4\\x01iq\\xd3s'w\\xc2!)\\xd2\\x99~\\xa1w\\x9d\\x82\\xcdb\\xb3jc\\xc6\\x9btm.g\\xe7!z\\xbd\\x00\\xc3\\xc49yk\\x92\\xa0gj\\\\x83\\xb6\\xe3lo\\xf8\\x1b\\xf0\\xc8\\xed\\xf3\\xc7\\xae\\xa7\\xf5\\xc8\\xf7\\x8fk\\x16o\\xc2\n2\\x9d\\x05\\x91\\x9d\\x176u\\xba{w\\x14\\xd2j\\x85\\x90\\x00:\\xaa<\\xd1\\xb9\\xc3\\xb7\\xc3\\x0c\\xf6\\x81\\x0ei\\xce\\x93~j!t\\x8c\\x84\\xd9zy\\x1d\\x06\\xbe\\xe4\\xfa\\x19\\xa3\\xa4\\x14\"b\\x9e#\\x91\\x83f\\xe7\\xec\\xa3\\x872\\xaef\\xb3\\xcf\\xe4;\\xaf5te2s\\x8cf(\\x89\\x11\\x83\t\\xa45\\xbb\\x16'y\\xb1\\xc5$\\x04\\x1c\\x93[&u\\xb7\\x94\\x1ec\\xba~\\x02b\\xd5\\x05\\xd1\\xef\\xcb\\x19"
932. },
933. {
934. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xcb\\xcf\\xf7l\\xa2x\\xe4\\xdf]v\\xbd\\x1f\\x9bp\\xba\\xaf\\xbc\\x89h\\xea[1\\xdb\\xbd\\xf1\\x81\\xe6\\x9e\\x9e\\xd6\\xda\\xba\\x93\\x90\\xde\\xa0\\x16\\xe0z\\x05cj{\\xf20(\\xa5\\x03\\xa3\\xd9q\\x97\\xa3\\xe9\\xa2\\x87\\xd64g\\x11\\xcd\\xf5\\xda8t\\x01g\\o\\xd0\\x18-\\x9bw\\x9f\\xed:j\\xa1\\xf06\\xef\\x1bs\\x9b\\xd30\\xc2\\x8f\\x0e\\xd7v\\xf7\\xc1\\xf1\\xebu\\x8de?\\x8bbg\\x14\\xde\\xef\\x92\"\t\\xd5m\\xa3\\xeb\\xaa\\xf6\\xa8\\x95-\\x0c@y\\xb8ge\\xda]\\xa4\\xa2\\xe5_\\xd7t\\x9f\\x12\\x88\\xd9\\xe5\\xe5}+ \\xab\\x82\\x18\\xb3\\xfd\\xf5\\xde\\x1f\\xe3\\x91)\tb\\xea\\xb5\\x83\\x80y\ri\\xbd\\x0c\\xc1\\x98\\xbe\\xdf\\x93\\xdc\\xb8\\x8f\\x80\\xd5\\xech\\x95g\\x0b\\xe1\\x04m\\x19\\x8fi\\xfe\\x8ba~]f\\xd1u_\\xef\\xcd\\xd0\\x8dqp/u\\x1e\\x85\\xe820 \\x10\\xf2\\xa3\\xda\\xbdr\\x07\\x7fo\\x9cv\\x8c\\xb7\\xe7|8\\x9e\\x91\\xfd\\x8a\\x1fp2\\xcb\\xe9\\xf5u\\x9e^}\\xbde\\x0c?\\x9e\\x11\\xb5\n\\x91v\\xf0\\xff\\xda\\xa8"
935. },
936. {
937. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x0109[\\xb5\\xa8d\\xbas\\xe9\\x16t\\x1d~]\\xa1 -\\xd7d8\\xc8\\xf2\\xdd5\\x84k\\xd2i\\xd0\\xbc\\x9d\\xa4*#06\\x0c5\\x06o\\xff?\\x05|9\\xce4\\xc5~v\\xd6\\xbfl\\x02>\\xdf\\x076\\xf3\\xedyd50\\xf8\\x12\\xc9\\xbcw\\x82\\x84>} \\xb5`\\x00\\xa0\\x9e\\xc5\\xcf\\x02x\\xf6\\xfavsn f\\xbe\\xba|\\xd9\\xf6\\x96\\xf5\\xff\\xef\n\\xdf.\\xa0\\xaa\\x88sz\\xcep\\xa7\\x0fk\\x08\\x0b\\x91\\x94q}\\xf4\t|\\xc2q\\x945\\x97]\\x98j\\xad5\\xff\\xbf\\x9b\\x11a]ue\\xdd\\xd3&\\xfe\\x85:\\x06\\x8ee\\x1e\\xea\\xcd\\x7f\\xde\\x87z\\xc2\\xf2\\xce\\x9d\\x94`\\x1fa\\xb3&\\xc9\\x07s\\xebu\\xe7\\xdc\\x9c\\x18\\xbd`\\xbd0d\\x0c\\xa4\\xe8\\x8d_\\x19?h\\x10\\x98\\xeaj\\xe5:8\\xf0&\\xdc\\x92\\xb9\\xa1\\x95\\xe3\\xa2\\x1a\\x06\\x99%*y\\x8f\\x90g\\xfej\\xb2u:0\\x11\\xe4\\xcc\\x90\\x00\\x1b\\xbe\\x8e\\x99\\xaa@\"\\xe3\\xd1\\x91\\xban\\x88z\\xf8\\xc4\\xa7\\x8bs\\xe9\\xf5r\\x19r\\x8b._\\x11\\x88"
938. },
939. {
940. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xca\\x07\\x9e\\xfe2\\xc8\\xc0\\xf2\\xec\\x865k\\x02\\x1e\\xf0<\\xeb\\xac\\xe3w\\xb4\r\\x14\\xa6.m\\x8bm\\x10d\\x05\\xbb>\\xc9v\\xd8\\xad\\xb7@\\x82\\xec%\\xdcod7\\x94\\xf5\\x1b\\x97\\x1bb\\xef#m\\xf7\\x15\\xfem2o\\x80%o\\xb4\\xcbk8\\xfc\\xdc\\xb1f\\xb2\"c+\\x84&s\\xc7\\xcf/\\x8a\\xde9`?\\x1dg)nt\\xee|\\xab\\xf7\\x08\\xc8hy\\x90\\x92i\\xec\\xb3\\xda\\x17\\x81\\xac>\\x06\\xa2\\xdb\\x04\\xbf\\xbe\\xfa\\x9d\\x92\\xb7s\\x0c~\\xa1\\x95\\xd3+p`\\xf2cp\"\\xcduy`\\x9f\\xb1\\xba\\xd7\\x8d\\xaa\\xcc\\xc4\\xb4m\\xc3\\x9a\\x07?&\\x17u\\x1f*)$-\\x8cp\\xed\\x11\\xdc\\xfbvpc\\xae\\xa4\\xfbsd2\\xae\\xbe\\xe9\\x01\\xfd3\\x84\\xa0\\xe5)q\\xbbx\\x8b\\x13g\\x1b\\xb8\\xd2\\x8a\\x91}\\xf8\\xec\\xdb\\x9e\\x83otk\\xb4\\xcd\\xf6\\xbb~\\x0bu\\xb1\\x8f,\\xe8\\xdcw\\x04lf\\xd1\\x11\\x1aao.\\x1e`\\xcf\\xf5'\\x87h^m\\xa0lx:c\\x83\\x90|\n\\xcedj3=\\xa1m"
941. },
942. {
943. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010n_\\xb8\\xe7\\xe6\\xba\\x02\\x94pb\\xe7\\x81\\x8d%\\xeb_\\x87\\x98\\xf9\\xe2\\xc0]\\xa2\\xee\\xaef\\xc5\\xb3\\xc7\\xd2d\\xcf\\xe9\\x8b\\x11\\xb1b\\xab-\\xe0$i\\xae\\x85\\xcd)h[\\x15\\x9cb\\xb4a\\xd4o\\xed\\x82\\xda$c\\xa8\\x00\\x9fz\\xd5\\xaf\\x1f\\x85m(l\\xc5\\xc7\\x93\\xd6b\\xa7\\xd7\\xcbo[\\x0b\\x95\\xc7\\xd6\\x83\\x0cnd\\xca\\x8eec(r\\xbc)\\xe2q\\xf6\\x14\\xa6\\x96s\\x01\\x91@\\x91!\\xf4{'\\x99p\\xb1\\xf5\\\\xd7\\xce\\xb9\\x91\\xaa\\xf8\\x0e\\x1d(h\\x1c\\xd4\\xda<\\xdd\\xca\\xe9\\\\xb2\\x1a{\\xdc\\xd9g\\x81ia{&\\xdd\\xd7\\xc1\\xfa)(\\x10`\\xd5\\xb9\\xb4\\x13\\x00y\\x0b\\x8c6+h\\xf6\\x11h\\xe7\\xd7\\x90h\\x138k\\xba\\xce7\\xe5\\xf6\\x96z\\x11\\xa0q2)%+\\xbc\\x03\\xba\t\\xa6?#\\xd2\\xda\\x843\\x94[\\xb1\\xd70%vbr\\xa1\\xdf\\xc8\\x86\\x1f\\xd3`\\xd3\\x9a\\xb85\\xa3\\xb8_\\xeb\\xe4\\x1f\\xd81x\\xc6\\xe7s\\x8bl^\\x0c\\xb6\\x11!wg\\x04#qb7\n\\xa3\\x0c\\x8b\\x08"
944. },
945. {
946. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xd7#b\\xd4\\xd1\\x92\\x9d]\\xfb\\xf9k\\xe5\\xc1\rr\\xcd\\xbf@\\x02\\xed\\xfe\\xfe\\xdc\\x06\\xdf\\xa27\\x8f\\xe3\\x06-f\\xb4\\xb7p\\xaf\\xe2\\xf2\\x06i\\x06\\xdb\\xa3\\x18g\\xde\\xfa\\x19\\xfc\\x0f\\x97\\xd5\\x07\\xf8\\xbc[\\xad\\xec\\x97\\x14\\xea]\\xf5\\xb4+w\\x7f\\x90^\\xb2 \\x11b\\xbf\t\\xe0\\xd7\\xcf\\xe5@\t\\xc8\\xd3\\x85\\xa42anf>\\xd6\\xc2\\x87o{\\xdf\\xa7\\x05\\x12\\xa8qm\\xe2q\\x03/.\\x16\\x00e\\xdd\\xf6\\xfc\\xf6\\x0b8\\xf6\\x1d\\xd3\\x17\\xc6\\xe5\\xe9\\x99/\\xd3\\xa6\\x8e\\xf1\\xd5\\x86d7+\\x0eb@;\\xe1aw\\x87m\\x98\\x1e\\x01\\x9c.\\xbe\\x80\\xfem\\xc3\\xfe\\xa8::i\\xccp\\xa5y\\xff\\xbfb\\xb3\\x1b\\xfd\\xd8\\xaav/\\x85mw\\xec\\xa2uy\\x94\\xe1\\\\xa1\\xb1\\xceg\\x9f\\xb0\\x91gpk\\x17b\\xc0\\xc9\\x8b\\xb8\\x97a\\x93\\xf0\\x00\\xbf`^\\x91mp\\x8d\\x9f\\xf1a\\xf4\\x94\\xb2}\\x97\\x0erb\\xb8\\xe4\\x8fa8k\\xbe\\x18\\x14ci\\xd1g!%\\x94k>\\xfd\\xaa\\xea|\\xb84\\x9f\\xaf\\x95\\xa2\\x82\\x88"
947. },
948. {
949. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa7\\xb5pow\\xc5&\\x94k\\xf2|\\x89\\x9d:m\\xe4\\x96\\x8dd\\x86qy\\xa1h-\\x87}s\\xf1_\\x81\\xa5\\x8cs\\x8d\\x9f\\x1c\\xdd\\xaa\\xb9?\\x87\\xe55\\xbf\\xb6\\xd6\\xc3\\\\x94\\x88z\\x97w\\xa1u\\x8ct\\x03\\x10\\xf1'\\xd9\\x92-\\x94ey\\xc9s\\xb0\\xf3\\xd5\\x03\\xec/t\\x8a\\x89@\\xfc\\xb1s\\xaa\\x8b\\x7fu\\x17\\xe6zm\nyz\\x0b\\xd5)\\xcb*l\\x8e\\xa0[\\x8f\\xec\\xa6\\xc7\\x8dg.\\x8a\\xfe-(\\x88\\xb2\\xa5\\x9a\\x85ujr\\x0bh)~\\xb0\\xbf\\x9e\\xba\\xd3\\x94\\x86/kq\\xfb\\xd3'\\xb3b\\x06\\xa5\\x88]\\x1c\\xef\\xf2\\xd6\\x1c\\xc2gu<!\\xb9\\xfb6\\x04\\xac0\\x97\npv\\x19\\x0e_\\x89g\\xb8\\x8dhym \\x10\\xe3\\xb5\\x8c\\x88d\"\\xce\\xa6\n\\x1b\\xf3\\xae\\xcabh\\x87pb\\x96bq\\xf4?\\xd6\\x94\\xe5:z\t\\x11~\\x83'\\x7f\\xeb:\\x10\\xa2\\xdf\\xf8k\\xba\\xcba\\xd7hn%\\xa04\\xa6\\xc0\\x8c\\x9b\\x13\\x99\\xaa\\xa0\\xaeo\\x96\\x9dum\\xa4\\xb1\\xb6\\xfd3\\xbdj\\x86*g"
950. },
951. {
952. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa7z\\x91j\\xa0crj\\x80\\xd2i\\x94\\x91w\\xdb\\x81\\x02v\\xf2\\x82\\xdap\\xe7v;\\xc2\\xe5\\x0et\\xaf\\xeb\"\\xc7\\xdeo=d1\\xdc\\xe3ff\\xc6kdr\\x07\\x97\\xed4\\x96n\\xac\\xf9\\x9d\\xe4i2\\xdd\\x9d\\x93kw\\xec\\xdar\\x0e\\xdbl\\xc1\\xf5\\xec\\x11\\xa3\\x8e\\x8a'\\xbd\\x9d'\\x97\\xee4\\x14\\xa0\\xe4\\x9d0\\xf5a\\xfe\\xb5\\xbd\\x01\\x82\\xeb\\xa5\\xa7\\x0c!8\\xcd\\xf0&\\xd2\\xd5\\x04j\\x9f\\xa1\\x94\\xcf\\xb9\\xbf\\x93b\\xe6\\xc7[\\xb71bt\\xe4\\x01\\xf3\\xa8m\\xb0\\x80\\xac\\xeb&\\x14r\\x8c.\\x9f\\x8f\\xcf\\xe1\\xc3\\xa9\\x88\\xe8>\\xfd\\x98\\xf7y\\xb6\\xfb\\xe2\\x92\\x1c\r\\x94\\xfa\\xac\\xf0\\xdef}\\xac\\xfb}tv\\x87\\xad\\x0e\\xcb\\xcc\\xc3x\\x04\\xb6\\xb1c\\xa4\\x81\\xa3\\xda<\\xa5\\xb6\\x93ry\\xbf>\t\\x0b\\xfe\\x85\\xed\\xac0\\xe3\\xae\\xe4\\x99\\xd2;\\xf8\\x07$y\\x82\\xb0\\xce\\x89q\\xed*\\x1el\\xe0\\x88\\xfcy\\xc2n.\\xab,i\\xf6!=\\x187\\x8dv\\xcf\\xbb:0\\x07\\xd8l<\\x12\\x7f\\x1a\\x9ee\\xde\\xdca`"
953. },
954. {
955. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf8cn\\xd8za_\\xfc\\xf3z\\xdbg\\xdc\\xea\\xca\\xcb\\xbe\\xde\\x8a\\xa9a\\xb2q\\xb5e\\xa2\\xf9cy\\xa2\\xa1o\\xfet\\xb6\\x10\\x07\\x85\\xb0|\\xfb\\xec.w\\x94n?\\xd2q\\xdb\\x940\\xba\\x7f\\xe5q\\x045>_\\xe1\\xd4\\x99e\\x11\\x00\\xf7\\xea\\xe2i\\xfa(\\xe5\\xe46 \n\\xbd\\xb1\\xf8.\\xff\\xa4-\\x04\\x9e\\x1b\\x89\\xcf\\xf5:\\x04>\\x98\\xbe*\\xa8\\x0b=\\xa7\\x10\\x8b\\x17\r1\\xbd\\xf6\\xc9\\xc7\\xa5\\x10\\x9b\\x11$\\xbf>\\xd0\\xcf{\\x9e\\xce\\xba-\\x89\\x9c\\x05\\x1e\\x82g`\\xad\\xf3q\\xee\\x9fa\\xf2#z#z\\x83st\\x1d\\xe5\\x87\\x97\\x7f\\xc7h2i;\\x01/\\xaa\\xce\\x0b\\xeadm\\x96e%\n\\xc8\\xcf\\x99\\x10xp\\x0f\\xd8\\xe4\\xf1\\x9f\\xc8\\x8e\\xf9v\\xcd\\xf53#\\xe3\\x0b\\xaf\\xda\\xa5\\x05d\\xe8\\xbcx7s&\\xa8e\\xaa\\x82\\x9c\\x15\\xb9f\\xbb\\xf1\\xcb_\\xff\\xb5q\\xbf=\\x97h%u3\\xfb\\xb2\\xec\\xab\\x17\\x98\\xa0\\xc3=\\\\xb3\\x15\np\\xb5\\x81\\x13\\x98\\xb1\\xc9\\xc8u\\xdf\\x9d\\x9f\\xf7\\x95\\xffu\\xc2\r"
956. },
957. {
958. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xe7\\x8d\\xa2\\x95%\\x1b\\xab\\x80\\x03\\xb3\\x0c\\xef\\x87\\xde\\x85\\x99\\xa1\\xa2\\x9c\\xb4\\x04\\xb9\\xd2\\xfby\\xd3\\xbd\\x9d\\xdd{\\xdf(\\x92 \\xac\\xcb'n\\xf8~\\xdb\\xa6\\x1d9]\\x8d\\xca\\xe9\\x88f+\\xd8\\x066\\x80\\xf55\\x1cy\\xba\\x8ac\\xd2ho\\xfak\\x1c9:\\xe6\\\\x89\\x10h\\x97\"\\xb2j\\xd8\\l7\\xd5\\x02\\x07)<\\xf9\\xc2s\\x96\\x0fj\\x14\\xd7\\x950y\\x93{ru\\x97s\\x08w\\xa0#\\xb9\\xe4j12\\xf9\\x08\\xc4\\xcc8\\x18\\x96y\\xef^f2\\xb5\\x10\\xaf\\xaf\\xd2\\xa9\\xac\\x8f\\xeb\\x7f\\xd5.\\xb1\\x8f%\\xe7\\xd8ao[\\x9b\\x8d\\x04\\xa8w5\\xa4=$\\x13b\\xcb\\xdc\\xa4\\xca\\x1d\\xa9\\x12~\\\\x7f\\xe3\\x89>]\\x88e\\xe3\\x06q\\xc5\\x81\\x93\\xb9\\xb1-\\xd1\\xd9l\\xd9'9*\\xa6\\xf6\\xcd\\xbdk\\xcahg\\x02rjan&\\x7f\\xdd\\\\xcf\\xfb\\xf4q\\\\x04\\xe6\\x9f^\\xcf\\xe5\\xa7\\xd7s\\x7f\\x19\\x12kf~v\\xee\\xcd\\x154\\x1f\\xcf\\x0c\\xc1\\x14\\xd3\\x9b\\x11\\xcd9*\\xce5\\xc4h\\xeai9\\x0c\\xb9"
959. },
960. {
961. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xec\\xa50\\xe1g\\xf4\\x0bi\\xa8\\x90s\\xb3\\xee\\x98\\x9ajv\\x0f\\xb98~\\x06\\xf7\\x1f,\"=\\x8d\\xb0\\xcf\\xb3\\xac\\xed[/y\\x93\\x00%\\w\\xc1t\\xcb\\xe9v\\xec\\xd5f\\xc7gf\\xe62\\x16\\x19\\xc1wug\\xfb\\x8bm\\xbd\\x91\\xa8\\xb6\\x0fl\\x82e\\xfe\\xc9q\\x86$\\x86\\x15a7>\\xd2\\xcaz\\xf4\\x97\\xea\\xfduv)6\\xde\\x1f\\xa5\\x87\\x96:\\xab>\\x99p\\x14/\\x9e\\x90?\\x89 \\xc3\\x8e\\x81s\\xb2pn\\xff\\xa2\\xddsl\\xcb\\x0b5\\xac\\xfe\\xb7gr\\xf3\\xd2\\xb4\\x99\\x06,\\x96\\x9e\\xaa\\x9f\\xc6p\\xab\\\\x9d\\xc9p\\xe1h?\\x84-a\\xd2\\x83\\x88\\x19\\x98?\\x81\\xa1\\x0e\\xd3\\x81\\xaa-\\x12#-q9e\\xc2\\x94\\x99\\xa8\\xd7>\\x13\\xb2\\x0b\\xaf_\\x85.\\x08\\xd8\\xfb\\x87\\xdc\\xbb5\\xc9\\xe0^4\\xd4\\xaa\\xe4z\\x8d~\\x8b\\xfa\\xc5\\x80\\xe4\\xbc \\xd8i!9n\\xcf>(4y\\xcfr\\xa9\\xc8\\x1cu\\xcdq^\\xe5\\xfea\\xdf\\xff\\xb9a4\\xc5\\xa2=\n\\x07\\xf7e\\x97r\\x18\\x9d\\x9dyc;\\x01"
962. },
963. {
964. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x01\\xa6da\\xb2\\xf2\\x83z\\x8bq\\x9d\\x15\\x9ab\\x91\\x16\\x18\\x8a/\\x86\\xbe{\\x1b\\x1c\\x88\\xf5\\xbdb\\xc1+\\xb0\\xc6\t7\\x06*\\xca)be\\xc6 \\xc0qr\\xa5\\xd7\\xaa\\xeb*\\xb8\\x0e'\\x96e\\xe45p]\\xcc#\\xc3gn\\xc6p\\xded\\x85\\x9eq\\xc2\\xdc\\xf3\\x00=\\x18\\xd9s\\xcc\\x85<\\xbf\\x08\\xc4\\x80\\x8e\\x1ev\\xb8\\x14\\x81nvq\\x99\\x9f\\x03 \\xd2\\x0b\\x94\\xb3\\xdfq\\x8c\\x1d}!\\xd3\\xd9i+\\x81\\x8e\\xc2\\xdbj\\xfezb\\xf1\\x80\\x9d\\x9cgk\\xd2\\xa4-\\x81tn)\\x99~9\\xc6\\xd7\\xfd\\xca&\\xa0\\xd1\\xc6\\x106\\xc1\\x92\\x04~\\x9a\\x9a\\xa6\\x97\\xea\\x1f\\xcb\\x7f\\xdf\\xaa\\xeb\\xb6\\xfb\\xb4\\xad\\x0e4u5\\xb3\\x85t\\xaf\\xae\\x03\\x93\\xe0o\\xe4\\x18\\x0e\\x01\\xcd\\xf2\\x81bm>\\x83'k\\xc6iv,\\x85_\\xb3\\x0b\\xb1c\\x92n\\xe1o\\x84\\xc6\\x14\\x89\\x19\\x17\\xf8b\\x15\\xf6\\x06\\x11\\xecny\\x8e\t\\xd3\\xa0k\\xab\\xca\\xb1\\x85\\x90h\\x19\\x0b\\x02\\xfa\\xcd\\xb3\\x18\\xb7\\xd0\\xc9\\x00\\xf3\\x88xc\\xf7\\x14\\x87>"
965. },
966. {
967. "http_request": "winword.exe_WSASend_>\\x05\\x01\\x00f\\x10\\x00\\x00ba\\x04g\\xcc\\xc6n\\x8b\\xe1\\x94f\\x87\\x0c\\xb7\\xab\\xc4\\x97\\x82t\\xd7\\x84\\x0c\\xa4[lj\\x98\\xcb\\xff8;\\x9e\\xdef\\x04\\x8a\\xe3\\xc6c\\xd4\\x0e\\xb9\\x07\\xb2$`?\\xce\\xcec\\x01b(\\x1f\\xf8\\x879\\x00\\x81\\xd1\\x9dc\\x04^h\\xd1g\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000v\\xbc\\xdf\\xafc\\xc1(*\\xa49\\xef\\xe0vs\\xf9\\xa2r!\\xc3\\x84\\xdcx\\xbc\\xd2\\xe2\\x7f\t\n\\x19\"\\x96\\x01\\x19n\\xaa\\x1c@\\xfdf\\xd7\\x9ff\\xaf\\xdc@\\x19\\x97\\xee"
968. },
969. {
970. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x95\\x01a\t\\xc8\\xc2p\\x16za\\xe1\\xd2\\x00\\xabq\\x15\\xc1r\\x94\\x88\\xac\\xb2\\xd3q\\x880\\x9e\\xd3\\x8d\\xb9\\xebo\\xdc\\x02\\x85\\x00}.96+\\xcb\\xb0mk\\x8a\\xf6lv\\xcc\\x05\\xf83k(\\x1a\\x99d\\xe3\\xd5\\x10\\x92t\\xb3\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x8c\\x03\\x90\\x0f\\xd3=m\\x85\\xcb\\x7f\\xaf\\x04\\x03x\\x97\\xc5\\xe7yb\\x95q@\\xa3\\xe5\\xca\\x9a\\xf9\\xdb\\x14\\xdf\\xeb\\x185\\xe9\\xba\\x91\\x9c\\xd0\\xdc\\xc6xu\\x97\\xca\\xcb\\x91\\xff\\x87"
971. },
972. {
973. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xc4(6;.\\x89ic|bx\\xdb\\xb9o\\x81\\x94g\\x8f\\x9ew\\x19\\x83e=\\xc59\\xad]\\xb8\\xb2?j\\x9f\\xba%\\xdf;p\\xeai.\\xc9\\xae\\xed\\x97\\x9da\\xc7#-4\\xcc#\\xfd\\x0f\\xb7\\x95\\x1c\\xaf\\x85[\\xb1\\xe3\\xa2\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\xe9_0l\\x1c\\xd57:\\xec\\x8er\\xa2-\\xbf\\xec\\xed\r\\xe7\\x12\\x8d\\xea\\xa9\n\\x86k\\x9d\\xca\\xa3\\x153\\xf9\\x00;\\x10lx\\xc3\\x1b\\x8a\\x1b ?}\\xbf\\xc8\\x8a\\x9c\\xef"
974. },
975. {
976. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010k\\xa6\\xfb\\x10b%\\x12\\x81\\x96t\\x8eq\\xe4\\x0b\\xba\\x91\\\\xafe\\xef\\xc8\\xcf\\xcd\\xf5\\x01\\xbd\\x96\\xc0\\xdax\\xf7\\xfa\\xf1\\x07\\xad\\xcfo\\x15\\x14c\\xc8'\\xce\\xcbby!wrq)e\\x84\\xfa\\xc8rq\\x7fhipb-\\x96\\xa9\\xe0\\xc0\\x9b\\xc5\\xd4\\xa2\\x81j\\xc1\\xe4x\\xa1a\\xabd\\x94y\\x15:\\xaee\\xeb\\x05v\\x8f\\xb0\\x00]>\\xce\\xda\\x1a\\x19\\xc4ne\\x85\\xa2\\x1djg\\x18\\xfd\\xab#{q\\x7f\\xaa\\x90\\xd4\\xc1\\xee\\x17n\\xe8\\xc7\\xbc\\xd8\\x1d\\xdcfh? '1\\x88\\x14\\xd9uu\\x08\\x80\\x92\"\\xd7\\xa5v\\xfc\\xe7l\\x12l\\x93*!\\xc8v=uw\\xc3\\xe1\\xb9\\xa1\\x80\\x12\\xbb1\\x82\\xd8\t\\x97\\xe9\\xaa\\x17\\x01{\\xbc\\x98!)\\xaa\\x02dhm\\xf6\\x9e\\xec\\xa7\\x1c\\xbd\\xfc\\x0b\\xd7\\xdc!\\xbc\\x11\\xc3\\x1d\\x04\\x82\\x86\\xc3\\xfa\\xcaz\\xc55\\xf1\\xf5\\x92a\\xd5pf\\xac\\x7f\\x95\\xb1\\xf6#\\xfcd\\xa9\\x18x_\\x7f\\x92mj<\\x97\\x92\\xc3#^\\xd4\\xe2\\xcf\\xe0\\x99-\\xd8\\x89\\xb0\\xbf\\x17\\x03*\\x0b?"
977. },
978. {
979. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x92\\xf8\\xbf\\xbe\\xd2u\\xbc\\x17\\xaa\\xc8\\xb5\\xf3sj\\x0cy\\x0ex`\\xf7\\x03\\x91m\\xb2\\xbb\\xc5g\nxx\\xc8\\xb7\\xff;\\x07\\x17\\xbd,\\xbd\\x81\\x1e\\x7f w.?\\xc7eq\\x9ch\\xcb\\x9f\\xd3\\xcc\\xae-j\\xc6\\x1a\\xd1\\xdb\\\\x1ce5\\x1e\\xder\\xf3\\xc4\\x8a\\xed\\xf9\\xd1\\x8amj\\xd0\\x9f\\xc0x5\\xb4k\\x80\\x9d\\x14\\x94:iiv\\x1ca\\xdc.\\xeb!w<\\xb0\\x07d\\xe4wg\\x07\\xf2\\x0e\\xb4\\xd8*m\\xf6\\x19!m\\xbe\\xef\\xac\"s\\x1c\\xe5\t\\x8a0,k(u\\xd65e\\x90\\x90x-\\xd6\\x13o\\xcd\\xa4\\xd5\\x10=\\x87\\xe1\\xe6\\xe4\\x9fs\\xb8\\x91\\x9e\t\\xd3\\x9c\\xa8{\\x1dm\\xf2\\xc0h\\x0b\\xbe\\xa5$\\xd9\\xd5\\x90*\\x18<\\xe2\\x8a\\x89xf\\xeb\\xf4\\xff.4\\xd00\\x03\\xc9i\\x12\\x86gc\\xd0\\xe9\\x94\\xdc\\xca\\xa7yq\\x07\\x852um\\x12j\\x92y\\xae\\xa5\\xa5\\x13\\xda/5\\x1cr\\x94\\x07\\x9e\\x9d\\xbes\\xf4\\x15e\\xc4:\\x12\\xc0\\x89\\x1aq\\x07\\x95'\\x9d\\xfc@\\xbf\\xc3l\\xc5$\\7\\xee"
980. },
981. {
982. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf4\\xeb-\\x1f\\xe3\\xa2\\xcb\\xfafz\\xd9\\xfa\\x90\\xe4j\\x99$\\xffi\\x07\\x7f\\xd6\"\\xfb\\x97\\xee\\xf1\\xc1\\xe1\\x86@k\\xab\\xd3\\xb1\\x02l\\xef\\x9a\\x91&\\x89k\\xf9\\x08\\xb9\\x96\\xd6\\xa8[\\xdfr\\x04hwt!^\\x95\\x08n,\\xa7\\xf1g]:\\x142y\\xe2\\x98x\t\\x85s\ryp\\xbf{\\x0b\\x80ld\\xcd\\xab\\xe5,e[\\xe8\\xbcu\\xa3\\xa7x\\xdbx\\xb2\\xb1\\x96)\\xf6\\xa6\\x83\\x15\\xc9\\xc2\\xed\\x9b\\xaf\\xf1\\x03\\x89\\xe3\\x02\\x89\\xbf\\xe8\\xc4\\xe0\\xf1m\\xf5\\xe3=r\\x9c\\xe3{ou\\xc5\\xb3\\x90\\x08\\xc0\\xec(kai\\x83\\x9c\\x07\\x85{\\xee\\xce\\xd7\\x84s\\xc1\\x0f\\x8b\\x01\\x90\\x03\\x96\\xcd&\\x1d\\xa8\\xc3\\xfc\\xd3\\xf4s\\x15\\x0fu\\x97\\x0e\\x9ac|r\\x90\\xaf\\xe6{\\xfa%\\xfe\\x9d\\xa1\\xa5v\r\\xd9k\\xdcf\\xbft\\xda)ey\\x83\\xe6=\\x03o_\\xaa\\xe0\\x8ft\\xc7io\\x99j*\\x19l\\xf0\\xba\\xaa\\xe5l(\\x153|w\\x18t\\x8c`\\xc2hvt\\xc64\\xb0\\x07m(%\\xb2\\xda\\x95kc\\xf8\\x91\\x98"
983. },
984. {
985. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\xc8\\xd2[\\xea\\xa9'\\x9bs'\\x16dn\\xacu(\\x1e]\\xf0b\\x15\\x94\\xf8\\xfdk\t-)$\\xda\\x0c:\\x8br\\x94\\xd6m\\xf27\\xf0s]\\x16n |&\\x04\\x8f\\x9d\\x0e\\x84d\\x9bt\\xa1\\xa0\\xba_y&\\xce/\\xfdz\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x92\\xf7\r\\xec\\x0c\\x123\\x1f\\x8e\\x8b\\xe1w9lg\\xcbq0\"\\xcf\\xb5\\x97+\\xd4s\\x9f7\\xa00)\\xc7\\xdfh\\xcb\\xd6\\x05\\xc2rv\\xa5m#k0\\x99\rz)"
986. },
987. {
988. "http_request": "winword.exe_WSASend_\\xb0\\xc9p\r`ep\r\\x9e \\x9f\\xde\\x04syz\\x81y^\\xd4\\x12k;\\xbc\\x8d\\x14\\xb1@5\\xadyq\\xc4*\\xdb\\xcb\\x0exb(\\xe6\\x8f\\xd2\\xd7\\xfe\\xa0\\xfe\\x91_nze5\\x8d\\x10\\x8c\\xbe\\xac\\x1b\\xc7\\xfa\\x14\\xef8f\\x8e\\x8d\\xbf\\xc4t\\x15\\x0e\\xec\\x9eq{>\\xack\\x00\\xf3\\x19\\xf5\\xf8\\xecm\\xb8\\xd69\\xc9\\x89\\xd8fq\\xd1d\\xeed\\xdc|\\xd8\\x98(\\x81q\\x97\\xe6\\x94\\x9a@\\xa8\\xa8\\x81_\\x02\\x91kixa\\xb3@\\xa9sw\\x14by\\x9d@c%e\\x14+k\\xbd\\xf6\\x01\\xf2\\xf3(\\x10c\\xfb>@\\x1f\\x1e\\x11c\\xab/\\xf0\\xe2\\xec\\x86\\x06b\\xd95\\xc5\\xa1\\xf4jw\\xaep\\xe5\\x0e\n\\xc6\\xa9\\xe8a\\xa5nn\\xd8f\\xd9\\xbd\\x1f\\xb93\\xc2\\xb5\\xd5\\x8d\\x9a\\xa7\\xff\\x04\\xef\\xf6)\\xa41_\\x16\\xeb\\x9b\\x91\\xb5\\xc0\\x1a@ym\\x05\\x91\\xae\\xca\\xf4\\x97l\\x860|\\x04\\xb4x\\x1e\\x88\\x9d\\xac}[\\x89\\xf7>\\xd4\\xa4\\xcc\\xbbt\\x98\\x13\\x85$8\\x16\\xb7%\\xd2\\xc9afg\\xb0\\xc1\n\\x86\\xf4\\xbf\\xa7"
989. },
990. {
991. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xa61\\xbe\\x92(\\xe2t\\xc7\\xa3\\xb9n\\xde(\\xb2lp\\xba\\x0f\\x12\\x85r\\xd4\\x0c\\xf8\\xc7\\xa6\\x1a\\xcd!il`\\xa80\\xccb\\xbc\\xbf\\xd4\\xd10\\x19j\\xf7nv\\xaa\\x9e;\\xc0\\xb6,\\xb28\\x92\\x91\\xef\\xdc\\xcb\\x85|\\x12\\xc0_*\\c\\x85z\\xae\\xc5z%\\x9e\\x17\\x95a\\xef+\\x84\\xde\\x04\\xc4\\xbf\\x85\\x98r\\xa4mo\\xba#\\xd9\\xb0`\\xd2\\xcc+\\xb32w\\xb3\\xa5\\xb7\\x1d\\xc2z\\xee0\\xbewh\\xdf\\x81\\xe8\\x1di\\xcbz\\x9a3m\\x9c\\x08\\x7f\\x87\\xaabb\\x0c\\xa4\\xbasz1l\\xd6\\x0bj\\xf3\\xe5\\xd2o\\x98\\xe8\\x03\\xd4$\\xd3\\x1a!\\x8c\\xf2u\\x9f\\xd4n/\\x9ao\\x0b\\x87\\xc5y\\x83\\xd3k\\xa3\\xa3\\xe5\\xb4\\xe9\\xda\\x10\\xf5/\\x03\\x10\\x199\\x9e\\x08\\xb7n\\xc2zp\\x12\\x0f\\xf9\\xf3\\xac\\x19\\x12\\xee\\x98\\xd8\\xc3\\xf1x{\\xf12\\xb5\\x84j\\xdb\\xc3_\\xb4:*\\xeb\\xff\\x9fo\\x06=\\xe6d\\x89\\x8e\\x85\\x1b\\x0c\\x01\\x0e\\xe2i\\xbb\\xc6\\xea\\xfb\\xad'/\\x16\\x8c\\x87\\x1db\\xd2\\xfa>\\xb0\\x9b\\x83)\\xae\\x11\\x90"
992. },
993. {
994. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010~\\xe2\\xe9\\x9f\\xc3e2 \\x99cp\\x84~i\\xf8\\x1e\\xc3e\\xb3\\xac\\xd1\\xec\\x03\\x8c\\xef1\\xcdu\\x98\\x95\\x1a<w\\xc4\\xd1\\xac\\xae(ty\\x18\\x02\\xdd\\xf0jw\\xee\\xce\t\\xa49\\x10a\\xd4q\\xac,\\xb3l\\x91\\xb3y\\x12\\xc49\\xf0\\xab\\xbb\\x17xk\\xa3'\\x0cz\\xff:\\xd9.v\\x05\\x04\\xca2jk\\xa1\\xc6\\x80*)wy@\\xd7\\x04\\x9ckgoy\\xb5\\xa6*\\xe7\\xd4\\x1a\\xcb\\xbe\\xe8\\xc9\\xef\\xb3\\xe7ssg\\x8f_\\x0f\\x1alm\\xd1y[\\x03\\xfal\\xb8g1[\\x8d\\x1bn\\x06\\x1b<$\\xf0\\x16\\x89\\xcb\\xd6f\\xef\\xbau\\x9a-\\x96f\\x13t\\xc8\\xdd\\xdf\\xdc\\\\xd2\\xed#\\xf2\\x84\\xe9\\x1e:\\y+#\\xd1\n?k:\\xac\\x8a\\x996\\xf04\\xb2\\xd4vc\\xa9\\x82\\xd9+o}\\xc2\\xc7\\x83\\x834hp1\\xa8t\\xb7\\xa0#\\xect9\\x02+\\x90u\\xf3\\xa6\\x17d\\xbf\\xf4\\xcc@\\x19u\\x1d&\\x85\\x07\\x88p\\x89\\\\xb1%\\x8dv\\xca'=\\x89\\x01\\x1e\\x84{\\xc7\\xa3\\xb26\\x18\\xf6#q"
995. },
996. {
997. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010w2\\x9d !\\xf5\\x92h<^\\xa6%w\\xd0\\x06\\x81\\x1c\\xddk\\x1df\\x11\\xe9\\x14w\\x05\\x8f)\\x17\\xe3#o\\x0f\\xea\\x14\\x95\\xe27|\\xa6v\\xa9\\xa0\\xab\\xd9\\x17\\x9d\\x1cwgc\\xa7mebb4\\xba\\xaa\\xad\\xf47\\xf6\\x86\\xdf@\\x88\\xe9\\x9a\\xc8s\\xe4\\x12\\x9f\\x15\\xf0\\x19\\xea\\x833\\xe7\\x0eiz\\xc6\\x94\\xe4\\x96*\\xa88\\x94\\x82\\x87k\\xd1\\xb1\\x8d\"q\\x8e\r\\xb7md\\x89\\xcc\\xd1\\xd6e;\\xd4\\xb4\\x83\t\\xf6m\\x10\\xdf:\\xba\\xd1\\x0f\\x1d\\xfa\\xe6\\xe3\\x9bn \\xce\\xd7\\xc6i\\x8c\\xcd\n\\xd7\\xff\\xad\\x8c\\x98\\x13d\\x88\\xd8\\xf6\\x0c\\x04[i#:=\\x0b\\xd6\\x84\\x81\\xc9z\\x19\\x94\\x19\\xd3v\\x9c\\xaf\\x90\\x1e\\xb3\\xe2\\xcb\\x935^\\x910\\x1b\\x8cc\\xc2-\\xc37\\x94\\xf1\\x9a\">x5\\xaadjxie\\x0fw\\xb6\\x9a6\\xb4\\x10u \\xc4c#\\xed\\x14\\xd1\\x92{(\\xff\\xe8w\\xee\\x87t\\xda%k\\xb8\\x14\\xc2$\\xc8\\xb3f\\x97\\x05\\xffyb\\x83\\x03m\\xc0\\xb0\\xff\\x8fe\\xd1\\xda\\xaf\\xd8i\\xb8:"
998. },
999. {
1000. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf1!\\xad<\\x8c\\xc3\\x04\\xd6k\\xc3\\xd7\\xbc\\xaf\\xf5g\\xea\\xcd\\x92\t$(\\xab\\x86\\xa7\\xe0\\xfde\\x15\\xca.\\xc2\\xe8\\xa0\\x06\\x8c\\xe6u\\x8al\\xe8\\xf0\\xf6\\xa2\\xf2\\xe8#\\xd9\\x1c\\x18\\xc2\\xaa\\xe6\\xd9c?\\xf1\\x0cja\\x10h\n8\\xd6\\x17\\x94\\xc6hy\\x01\\xc0\\x0e\\xfe\\xbb\\x10\\x13t\\xf9\\x8d\\xf3\\xa2\\xd1g\\xaf\\xf2\\x927p\\x88\\xf7\\xd1t/\\xb4^\\xea\\xf561\\xcb\\x7f\\xce \\xd1 _\\xf2r\\xba\\xe7\\xc7;\\xf9a\\xf5 \\xa5\\xaan#x{\\xf4x\\x1f_\\x83v(up\\x1ap\\xcd\"\\x84\\xbega\\xb1\\xe3-\\x17\\xae\\xfbl\\xc8\\x97\\x92\\xee\\xe0sr\\xa0\\xcdo\\x12\\xf9od\\x8eavy\\xd3\\xf9\\xeb)\\xeb\\x1a\\xcf\\x84\\xe2\\xce\\xe3\\xb9\\xae\\x03mc\\xfdkw\\xdf\\x1a\"^\\x05\\xc2\\xb3\\xc7k8ih\\x89\\xc5\\x1e\t0\\x8c\\xe8\\x15mm\\xe2\\xc87\\xc3\\xefpd\\xa5n\\x04\\xf8\\x11\\xd25\\x01\\xab\\x89\\xed>\\xfcl\\xc2\\xbfh\\xddt\\x03\\\\xc6\\x95\\x06\\xc0u\\x82\\x8e\\xd8p\\xe1\\xcc\\xe7\\xfb\\x0b-\\xc2\\xdd\\x0e"
1001. },
1002. {
1003. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010x\\xde\\x9c\\xa7\\x1c`\\x81n\\x02o\\xf5\\xfa\\x14\\x14kp\\xbe\nr(\\x1b\\xdd;}\\x12\\x8d\\x020\\x02oa!8q\\x12}\\xc8\\xb8.\rx\\x84,<\\x9d\\xc6\\xd5x\\xdb\\xb2\\x17\\xa1#\\xde\\xe8w8\\xe73\\xdc\\xb4\\x86\\x8b\\xff\\xd8r\\x1eq\\xdb2a\\x06\\x01\\x9b/\\x02t\\xd2u\\xe6\\x8f1\\x89\\xdc:\\x18\"\\x16\\xb5\\x16,\\xcc\\xf2ik\\x00\"\\xfdr\\xe5k\\xe6\\xcf\\xd6\\x85`\\xd4\\xd4\\xb4z\\xcahgv5\\x0b\\xc4\\xc7\\x92\\x18\\x92\\x10|s\\x1a\\xa6\\xe1\\xbal\\xfal\\xed\\x0b\\xce\\x92\\x0e\\xfb\\xfc\\x04\\xdbzy\\x9c\\x1e\\xe9\\x13\\xf8\\x0e\\xb8\\xb3\\xc5i\\xe6\\xc4\\xddhudc\\x12\\xb7\\xc6w\\x94\\xfd\\xe9\\xb0\\xe9\\xben+e6\\xec\\xd2\\x84\\x83\\x0b\\xcc\\xa2b\\xcb\\xb4e\\xe1\\xc6p\\xef\\x8d\\xa6z\\x11$%\\xd0\\xd2\\xfe\\xe5\\xe5>q\\x91\\x07\\x8b)\\xee<\\x01\\xbb\\xad&\\x03\\x07\\xac\\x0e:3|\\x96\\x12o7\\xa9\\x8em\\xc3\\xa1\\xe5(n\\x9d\\x8b\\x03=<\\x01\n\\xcc\\x01>\\xc0\\xb0\\x9ea\\xa7\\xdb\\xfc\\xe4\\xa7\\x00\\x7f"
1004. },
1005. {
1006. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf7h\\xe7\\x0c\\x94p\\xa3\\x01\\xa8\\xe7\\x88v\\x91\\xbe\\xd4\\x10;\\x0f\\xc21\\xdc\\xe5\\xa2\\xd6\\xe8\\xa1mqb\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1007. },
1008. {
1009. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf8\\xa4d\\xae\\xd7\\xc8i_\\xdb\\x9f\\x18\\x12\\xfa\\xa1\\xba\\xa0\\x92\\x80\\x12,\\xf8\\x1c\\xa4p\\x83i\\x90\\xf5\\xbf\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1010. },
1011. {
1012. "http_request": "winword.exe_WSASend_b\\x06\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf8\\xbd\\xfd4\\xf8\\x00\\x9a\\xd6\\xd6\\xfd\\x82\\x04\\xef\\x03\\xc9n\\xe8r-t-\\xa2\\x86\\x0c\\xb1\\xdd\\x99\\x86\\xe6\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1013. },
1014. {
1015. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x96\\xf1\\xfe\\xfd\\xc6~\\xea\r\\x11\\xc0\\xb7l\\xd1\\x85\\xfa\\x8eg\\x05\\xc0\\xe2x\\x9f\\xf6\\xac!(\\x04\\xd4\\x1bcb\\xf5+r\\xc0\\xfa$\\x85+\\x82\\xa6h\\x97re\\xd0\\xe2h\\xa1\\xacr\\xb0e\\xe0\\xd8k-\\xf4m\\x04\\xff\\xe7t\\x02\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000b\\x19\\x12o\\xd9\\x82\\xa7\\xb9(\\xeb\\x13\\xc2\\8\\xcd0 s\\xe61\\xc3\\x9dwr\\x80\\xc5\\xab\\xaa`z\\x96p\\xd6\\xdat[\\x8fql\\xd7\\xac\\x1c^\\x94\\xc0\\x8fd\\x00"
1016. },
1017. {
1018. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf8\\x17\\x8c\\x94\\xf4\\xd4,\\x1ba\\xce\\x9f*\n\\x02\\xdd\\xfd\\xf4\\x1epm@\\xa96\\xd0\\xd1i\\x9c\\xe0\\xc9\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1019. },
1020. {
1021. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x91l\\xeeao\\x10\\xcbr\\x98\\xe2\\xf5]\\x7f\\x93\\xb2\\xbcw\\xb4*\\xd2\\x15szv\\xf2\\xbe\\xcbr\\x9f$\\x9a\\x13\\xe4\\x96`\\x96\\xf9`\\x01\\xbd\\x9bf\\xf6(\\x8ely\\xccz&k\\x9bzr4\\x08\\xe9\\xbcz\\xae\\xaf\\xc0\\x06f\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x93\\xda\\x90kw\\xfd\\x04\\x08\\xe0\\xa0\\xfe\\xcb\\xd4v\\xf7n\\xf8j\\x96\\xee4f\\x89q\\x81^o\\xaa\\xa7\\xbf\\xf4\\xb9\\xb0\t\\xd1x\\xb8\\x14r\\xd9w\\xe3\\xba\\xa6d\\xb01\\xa4"
1022. },
1023. {
1024. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04e\\x197\\xec^\\xc6o\\xc2[nhg*\\x96\\xbd\\x96\\x96\\xc9\\x0bd\\xd4ys\\xffp\\xa8\\xed\\xb2{5\\x07\\x9ba8\\xdfn\\xfd\\xd7\\x1fi\\x9b\\x1f_+609fg^\\xd5\\xc6\\xf4\\xd0\\xb4h\\x10~\\xa5\\x04\\xc2o\\xa0!\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000 \\x19h\\xaa\\xb0h\\xb1\\xcfm\\xdc\\xab\\xf6f\\xde\\x1fui\\x80\\x0e\\x9b\\xa7\\xae\\x8a\\xf0\\x92d\\xda\\xdf\\xa7\\x18\\x0b\\x87\\xe3\\xa6'g\\xb2\\x13|9<x\\x06\\xfal\\xf9\\xef\\xb6"
1025. },
1026. {
1027. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010;\\xaf\\x17\\x98\\x9c\\xa9xi7@%ju7\\xaa5\\xb4\\xc1\\xc8\\x85\\x0e\\xae\\xd3\\x98;\\xdd\\xbft$z\\xbb&\\xc2]\\x92\\xcc\\xc3(\\xaf\\x17zi\\xcb#j\\xabm\\xf8a\\xa2d\\xdfw\\xf9\\xcf\\x8f\\xbcil\t\\x1b\\x1e\\x1a\\xb1i.\\xba\\xc4\\xed<\t\\x08\\x0b}\\xcc\\xfds-\\x86$\\xb8\\x9d4\\xf6\\xe4<\\xe6\\xb5\\x11\\xa6\\x99\\xb9\\xa2\\xfeh\\xca^\\x93j\\xdc\\xa8+\\x0bl\\x88\\x9f\\x91a\\x0b\\x803k\\xc2a\\xc0a\\x98\\xb1\\xa43iy\\xd1\\xcbf\\xc8\\xd7x\\xfc\\xd2w\\xd1\\xe2\\xa2x\re\\xd0yn\\x9423\\xa7\\x1e\\x0c\\xdc]\\x14\\xb2p\\x17\\xc0k!\\xed\\x9e\\x18_\\x17[\\xe3\\xe6[\\xe0s\\xc0\\x11\\xf6\\xa3o\\xdf^\\x83\\xf7\\xc5\\x00[\\x80\\xd3mr\\xb7qby\\x7f\\xa4so\\xa3\\x15\\x9e\\xf5o/\\x03)\\x86\\xea\\xa0\\x00sc\\x8e\\x98f{-\\xe0\\xc8a\\x96\\xc8\\x88\\xf6\\x1c\\xf8in\\xb4_\\xce\\xa3.\\x04^\\xa2\\x18^\\x84\\xb1\\x14e\\x19\\xa62\\x88\\xb4\\xb0\\xf02!\\x7f\\xed\\xcd\\xca,\\xba\\xcbt"
1028. },
1029. {
1030. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010~\\$r\\x15\\x07\\xdd#\\xd7\\xed\\xf1>\\xc8\\x87\\x9b\\xf4\\xc0\\xfe\\xf5#\\x941\\xb3\\xc5\t\\xb6\\x87\\x08\\x08\\x04v\\xbf0\\x1b\\xf7\\x1azzv~b\\x9f`\\xf9qz\\xf2\\x00\\x15\\x1f\"\"\\xbb\\xf8\\x84r\\xbe>t\\x8f\\xec\\xce\\x90ui\\xfc\\x05\\xcf\\x04h\\xe8\\xf3\\x15\\xf8\\x93a\\xf4\\xba\\x88\\x17d\\xda\\xef\\x8c\\x1fh\\xa3\\x1a\\xa9'\\x9b\\x1a\\xbc\\x95\"7\\x01\\xfd\\x9f\\x9f\\xf1\\xa7i'\\xed\\xea\\xc9z\\xbb \\x8f\\xff\\xe3\\x0f6\\xa8\\xfe\\xe0ba\\x96\\xa3\\xdb\\xba\\xeb\\xa0\n\\x10al\\xee\\x01\\xb4\\x80\\xbd\\xac\\x89-\\x14\\xfe\\xedf%\\x97\\xfb-nb\\xdb\\xa1\\xf53\\x99\\xf8\\x04\\xfc\\xfe\n\\x84\\xbc\\xa3b'+j\\xec*w\\xdc\\xb7\\x9a9\\x9d\\x05qa]\\x96\\xa2\\x93\\x04\\xe1\\xf7\\xea\\xc6\\xe63\\xd9'c#$\\x10\\x88\\x92\\x15s\\x01\\x1cp\\xad\\xadwzz\\x1f\\xfb\\xde\\xe3k\\xf6\\x08\\x11\\xd8\\x89\\xf3\\xbfl\\x1d}\\x19\\xac\\x08\\xadcc\\x8c\\x98\\x128u(g\\xf7\\x18\\xbd\\xf6\\xe7z\\xbb\\xc3\\xfd\\x1ems3qm\\xeb\\x17\\xe5"
1031. },
1032. {
1033. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04\\x05\\xc06j\\xeb\\xda\\xe5*y\r\\xe8\\xfa\\xa9`hr\\xe2\\x8e\\x1e\\xf5\\xf0\t\\xd0\\xfda\\xb1\\xcbl,x\\xd0nq4\\xf8\\x8d@\\xae\\%i\\xa1\\xd2\\xcb\\xca\\xabs\\x1a\\xc0\\xb1e\\xddn\\x19u\\xef\\xebr}\\xf4<&\\xe0\\xe9\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000e\\x1c\\xcb\\xaa\\xb5\\x80\\xb6pp\\xe7z\\xd1\\x0b\\xa3p\\x8dy=\\xb1\\x8b\\x0f\\xd3\\xbb2\\xae\\xcf\\x8fn\\xfch\\xb2\\x8b#d\\xfco\\xfa\\x80:e\\x95\\xbd\\x9a\\xa6h\\x9b\\xe9'"
1034. },
1035. {
1036. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\xf8\\xe6\\x0c.\\x98,\\xa3bnm\\xf8\n\\x03 r\\xac\\xdd\\xa9\\xa8\\xa4x\\xc7\\xa8\\x1c\\x8c4\\x1e\\x7fg#\\xffo\\xdb\\xddtf\\xcd\\x9b\\xe4\\xd8\\xc5\r\\xf9z\\x93\\xa1b\\xe0\\xd1\\xf4\t\\xad\\x9c~j\\x98\\xc7n=0r\\xf5\\x01\\x7f\\xa6\\x06@\\xc2\\x1b\\x1f\\xe0\\x81\\x91>\\xa7\\xf5&\\x92[\\xf4\\xe6\\xba{\\xc0}\\x95\\xday\\xac\\x19\\x01\n,w\\xa5\\xf6\\x81\\xa7a`a#\\xc2\\x85\\xc9\\xee%\\x9b\\xc1^\\x941\\xe0{{y\\xc3\\x97g\\xcc\\xad\\x81)\\xa0p\\x00{cwf\nv\\xdb\\xf4m\\xe5\\xdby\\xff;\\xaf\\xc9u\n\\xe2\\x1e\\x95\\xcb\\xd5\\x925\\xda.\\xa8/\\x81\\x9f\\xcc'y\\xd7c|\\x87c,\\x96a)\\xb2pk\\xf2\\xaag\\xb1.\\x96\\x0ch\\xb9\\x0b\\x88\\xb5\\x0b\\xb6~&?|\\xdeop\\x08\\xf9\\xad4\\x1a\\xdf\\xb3\\xc1\\xac]01-\\xfdc\\x0bw\\xb4y`y\\xd6\\xaa\n\\xac\\xb8\\xab\\xa4\\x95\\x02\\x1ce\\x92y\\xcd\\xc0[j\\x9fg\\xc6wi\\xc0\\x0b\\x14h\\xfd\\xb1\\xcca\\xde\\xa1\\xechi5\\x94"
1037. },
1038. {
1039. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x83\\x01\\x00\\x00\\x7f\\x03\\x01]\\x077\\xf8\\xee\\x8dd\\xe5\\x8ew\\x88bzb\\x8f{\\x92e]\\xd9*\\xee\\xe0u\"\\xaa\\xc7t|\\x13\\xb1\\x83\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00>\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00%\\x00#\\x00\\x00 omextemplates.content.office.net\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1040. },
1041. {
1042. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00f\\x10\\x00\\x00ba\\x04[\\xda\\x923x\\xe8\\xce\\xa3\\x81b$\\x92\\xf1t\\x85\\xeb\\xb1c8\\x81\\xa8\\x90%\\xd4\\xfe\\xe1\\xd3,\\xc7b\\x88\\x8fo\\xf1\\xb9\\xeb\\xf3\\x98@?\\x84?\\x88k\\xe3hiy!\\xaf\\xf4\\x82\\x8a^\\xb8\\x8f\\xe1\\x8a,=\\xf7\\x12\\x9d\\x0e\\x14\\x03\\x01\\x00\\x01\\x01\\x16\\x03\\x01\\x000\\x93\\xaa~\\xc6\\x8co[\\xb7\\x7f.lwi\\xecp\\x01~\\xec\\x11\\x9e\\xc8e\\xd3w\\x01\\\\xe4\\xa3\\x85%y1\\x01\\xc6\\xb9?j.\\x8d6n\\xbb&\\xc7x\\xfc\\x8bq"
1043. },
1044. {
1045. "http_request": "winword.exe_WSASend_\\xc4\\x00\\x85\\x00\\xd0\\xef\\xcd\\x15\\x88\\xe1,]\\x8dw\\xcd\\xf3k\n\\xbe7\\xace\\xc7_[\\xa3(\\x9a\\x18.\\xffn6\\xda\\x05\\x8a\\x8d\\x90\\x14\\xd2\\xf6\\xb8\\x98q2xj\\x89\t\\x91\\x12|\\xc7\\x1dm\\xe1\\xbf\\xa0qk> \\xd8\\xa2\\x01\\xc0\\xe4\\x1aq\n\\xb0\\x01\\xb6\\x00\\xac\\xf5m\\xf7ss\\xfd\\xe5\\xf9\\xc7yc\\xb1^\\xa6\\xf8\\xf8m\\x89\\xe9\\xd9\\x93o@|\\xc9{6 \\xde\\x05\\x0b\\xed\\xe7\\x12\\xd21t\\xeal\\xeb\\xafq\\xf05\\x9dd\\x05\\xf0kfg\\x148\\xb0*h\\xd6\\xe3g7\\xd1$\\x95\\xfal,\\xf7`k\\xea\\x17\\xb5\\xb6,\\xb2k\\x88\\x0bjn\\x12p\\x86\\xe1\\xff0~\\xfdd\\x1f\\x1eh\\xe3\\xebp.\\xb2\\xce\\x9c?\\xcc\\x05\\x12 \\xc0\\x07|@\\xb2\\x95l\\x92(\\xab\\x04\\xe3\\x9b*\\xb0\\x1e^\\x0e\t)0\\xa0m\\xe4\\f\\x92(\\xdd\\xa1bd\\x94\\xce\\xdb\\xaa\\xc8\\x92\\xe1\\xa0\\xc7\\x8a\\xff<\\x8e\\x07\\x9b/v\\x1ag\\xcd\\xf7\\xc1\\xdc\\x89\\xdc\\x9et\\xf3\\xe2\\x8b\\x9ei\\xd9\\x15\\xec\\xf1\\xec\\xcc\\xc18\\xd7~\\xa5\\xe0\\x0c"
1046. },
1047. {
1048. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x010\\x0e\\x18\\x0c\r\\x00\\xc8\\xc6\\x83\\xf9gx\\xb3\\xf7\\xb5m\\x11(\\xb4'\\xc7\\xc0\\xbd\\xfe\\x03h\\xfa|g\\xed\\xe5l\\xfek\\xac\\x8dd\\xa3\\xf3\\x02uf\\xe4r\\xc9{\\x1c\\xd2nj\\xc3d\\xef\\x97\\xac\\x99\\xc6\\xa1\\x0fl\\x82r\\x9d\\xb3\\x9dm\"\\x94\\xc4e\\xa1\\xe3_\\x04p\\xfbp|\\xbd[\\x99a\\xa1\\xe5+k\\xc7)\\xd4\\xaf\\xfaza\\xfc\\x960\\xc3\\xd0\\xf5\\x9da!p*\\xa0\\xef\\xc6\\xf1w\\x8eyt\\xd0n\\x13\\xa3\\xb2\\xdc\\xfb5\\x80\\xb7e\\x00\\xd3\\x85m\\x00\\x1d\\xda\\xa6\\x8b7\\xe5\\xba}\\xe1e~\\xae\\xcf\\xfa\\xd2\\xde\\x9ct\\x9c\\x10e\\xccru;9o\\xcd\\x84\\xf3n\\xd2\\xbe\\xc6w\\x9b!h\\xcb\\x1c\\x14\\x88 [\\x97\\xc7u^x\\x82\\x94\\xe8\\x99\\xade\\x0e{\\xc1\\xeb\\xed\\x0c\\xc9u\\x87\\xba\\x88\\x123\\x0c\\x94\\x14\\xb8(g`\\xc3\\x15\\x13\\xfca#\\x8ej\\x05\\x12j\\xbcm\\xdcdrr\\x04\\x9f\\xd3x.\\xcfw2\\x8f4\\x84g\\xee\\xfb\\x1d\\x8di\\x0f\\xc2\\xce\\xb2h]\\xb4\\xdag\\xd4\\x0e\\xe3\\xc1\\x0c\\xb3"
1049. },
1050. {
1051. "http_request": "winword.exe_WSASend_get /pki/crl/products/microsoftrootcert.crl http/1.1\r\nconnection: keep-alive\r\naccept: */*\r\nif-modified-since: thu, 07 mar 2019 06:00:16 gmt\r\nuser-agent: microsoft-cryptoapi/6.1\r\nhost: crl.microsoft.com\r\n\r\n"
1052. },
1053. {
1054. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x00\\x7f\\x01\\x00\\x00{\\x03\\x01]\\x077\\xfbh\\x82\\x0e\\x97\t.,\\xa5\\xe2@\\x06\\xa6b\\xf3pn\\x0f\\xa8-\\xc7m\\xc3\\xbex\\x05\\xf2\\x87\\x7f\\x00\\x00\\x18\\x00/\\x005\\x00\\x05\\x00\n\\xc0\\x13\\xc0\\x14\\xc0\t\\xc0\n\\x002\\x008\\x00\\x13\\x00\\x04\\x01\\x00\\x00:\\xff\\x01\\x00\\x01\\x00\\x00\\x00\\x00!\\x00\\x1f\\x00\\x00\\x1cactivation.sls.microsoft.com\\x00\n\\x00\\x06\\x00\\x04\\x00\\x17\\x00\\x18\\x00\\x0b\\x00\\x02\\x01\\x00"
1055. },
1056. {
1057. "http_request": "winword.exe_WSASend_\\x16\\x03\\x01\\x01\\x06\\x10\\x00\\x01\\x02\\x01\\x00\\xbbt-\n,'\\xce\\x0f1\\xaf'u\\xf4p\\x7f\\x8b\\xe7\\xb7/ah<\\xcc\\xb0\\x8b\\xa2\\x9eg\\xaa[\\xe2w\\x17\\x80qa7\\xa6\\xac\n1}\"\\x8a\\x10`b\\x8b\\xce\\xed\nu\\x1c/,\\x8f?\\xb0\\x943\\xf4\\xad\\xe7\\x05gt0\\x0f@[\\x98\\xc6\\x85\\xc1\\xd5\n\\x07m \\xa4|v\\xc0\\x0e\\xbffk\\xd0\\xd5\\xe0\\x98d\\xb5\\x84\\x1d`\\x06\\x85,h\\xb14bf\\xa7\\x8e\\xbdu\\x19.\\xad\\b\\xee\\xcdu\\x9b\\xd5\\x97o\\x88\\xa9\\xfe\\x7f\\xd2y4\\xe4|!\\xbai\\xff\\xe6h\\xbds\\xec$=\\x00\\x87\\xf8n\\xe6\\x7f\\\\xde3\\x9ex\\x1e\\x86\\xf0\\xe4\\x10\\xf4\\xd57\\xa9x\\xadm\\xb1<e\\xe0\\x97\\x9e\\xcf6)\\xcb\\x8a\\xb0\\x94_(zz%#\\xd2\\xb4q\\xc6\\x06\\xcdg\\x1b\\x10\\x83\\xbd\\x13\\x8f\\x14\\xd4\\xed@\r\\x15\\xd3\\xe9+\\xcak\\x95\\x05\\xf3\\xcfs\\xac\\xef\\xbe\\xeda\\xcd\"\\xe0:0\\xcewe\\xfe\\x9at\\xb6j\\x18\\x03e\\xdb5\\xf8\\x8f\\xb7\\x90\\xac\\xf7\\xf2\\xb8\\xf8g#"
1058. },
1059. {
1060. "http_request": "winword.exe_WSASend_\\x17\\x03\\x01\\x01`{\\xba\\x91\\xa3l\\xc0\\xad\\x05\\x1f\\x04\\x93\\xf2z\\xac\\xa3|\\x00\\xef\\x00\\x8fi\\x85{?\\xad@;\\x80y\\xab \\x04\\xb7!\\xc0h\\xa0\\x99\\xd4\\xc2\\xa8m\\x13^\\x80\\x99\\xf7\\xb0\\xe2\\x13\\xb4\\xf7<\\xde\\x1fx\\x9b\\xa3\\xdd-\\x0cj\\xfa\\x8b\n;\\xd8\\x8d3pg`\\xfew\\xa1\\xde\t\\x8f^\\xa4\\xd2wj\\x82\\x00\\x12\\x05ay\\x12\\xaeg|/\\xbc\\xed@\"\\xae9\\xa5#\\xcd\\x89\\x00\\xa8q\\xa4\\xc0\\xec\\x05b\\x80y\\x88^\\xcf\\xe5-ob&\\x00\\xeb\\xca\\xa7\\xa9={\\xbb\\x95\\xef\\xba\\xad9\\xaci8\\x9d/\\xf3a\\xa3\\xc2\\xd2a\\x1akh\\x8a\\x8fo9\\xf0\\xa9u\\xb7k|\\x83\\xe5\\x96\\xd59$z\\xd3\\x81\\x7fs\\x80\\xb0*\\xde\\xcf\\x07q*a\\xf0\\xe7\\x1a\\xe2\\xb9\\xad3\\x01\\x1b\\xbcy\\xbdn\\xaa\\xb4m\\x18\\xb2,m\\xef\\xf6\\x8ao\\x8e\\x94\\x1dd\\x90\\x8d+\\x13\\x86\\xd4\\x8d\\x7f\\x8azmn\\xc7\\x93r\\xc3\\xc1+\r\\xa7\\xad`\\x9a \\xab\\xc5\\x96\\x07\\x1b\\xd5\\xbd.\\xbdj1\\xfe\\x8fw\\xc0\\xab\\xf0\\x8c7\\xd8"
1061. },
1062. {
1063. "http_request": "winword.exe_WSASend_\\x17\\x03\\x019p\\xf5\\x19\\xde\\xdd\\xb1\\x91\\x8a#\\xc3\\xc6\\x8a*\\xe4w\\x8c\\xe4:\\xa4tg\\xd7\\x1a\\x11(>\\x9f\\xee\\xa8r\\xc6$\\xb0+\\xe4\\xc0\\xb8\\xed\\xd4\r\\x10vh\\xf7f\\x95oo\\xf5\\xbf\\xc1\\xb1\\xa9a\\x92'\\x87{\\x9d\\xf6\\xaa\\x1eg\\xd4\\xac5{\\xda\\x9c+\\xd8\\x976\\xd1\\xfc\\x9d\\xc8~\\xd6\\x08\\x94}t\\xae\\xcb+'+\\xb6\\x9d\\xf3\\xcf\\xbd:\\x15\\x7fl\\x19\\xa2\\xeda<\\xd3\\x95\\xab\\x83\\xb6\\x06y\\x06jzm\\xa3\\x0e\\xcd\\xb0\\x1a\\xa4q\\xda\\xf1r\\xe8\\x91\\x07\\x88\r\\xa6\\x85q%/\\x96b4t\\xbc\\x8cv\\x17\\xa2\\x19\\xbck\\xf5.\\xe1\\x9bfbev\\x89\\x13a\\xb1\\xdd\\x04&w!o\\x12\\xd0\\x92\\x1cz\\xdc\\xab\\xee$\\x11\\xb2f\\x7f\\xafw\\x91\\xc9c\\xde#k\\x10\\xb6\\xa0\\x8e\\x05\\xc6\\x9b\\x152\\xc7=\\x1e\\x8e\\xef1\\xa8\\xf7|\\x16\\xbbp\\xcci\\x85\\xeah\\xae\\xf0\\xc7\\xf7\\xf7g\\x89\\xb2\\xda\\x9b\\xb9\\x86,s\\x96p\\xecv!\\xca\\xfa\\xaf\\x1a\\xe9\\x032z\\x0b\\xc4\\xc4s\\xf3\\x86\\x99\\xade\\xa0\\x070\\x18~\\xc7"
1064. }
1065. ]
1066. },
1067. {
1068. "Description": "Likely Malicious Office Document DL/Write EXE to disk",
1069. "Details": [
1070. {
1071. "office_dl_write_exe": "winword.exe_NtWriteFile_C:\\Users\\Public\\Downloads\\iIHbaNy.exe"
1072. }
1073. ]
1074. },
1075. {
1076. "Description": "Creates a hidden or system file",
1077. "Details": [
1078. {
1079. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\IETldCache\\Low"
1080. },
1081. {
1082. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF144bbd6.TMP"
1083. },
1084. {
1085. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1437e83.TMP"
1086. },
1087. {
1088. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF143940f.TMP"
1089. },
1090. {
1091. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF143b33f.TMP"
1092. },
1093. {
1094. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1516327.TMP"
1095. },
1096. {
1097. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF143ecae.TMP"
1098. },
1099. {
1100. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1440344.TMP"
1101. },
1102. {
1103. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF14415a3.TMP"
1104. },
1105. {
1106. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1442dce.TMP"
1107. },
1108. {
1109. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1444406.TMP"
1110. },
1111. {
1112. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF1445d5a.TMP"
1113. },
1114. {
1115. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF144720b.TMP"
1116. },
1117. {
1118. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF14498ec.TMP"
1119. },
1120. {
1121. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF144bc24.TMP"
1122. },
1123. {
1124. "file": "C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Recent\\CustomDestinations\\28c8b86deab549a1.customDestinations-ms~RF147e642.TMP"
1125. }
1126. ]
1127. },
1128. {
1129. "Description": "File has been identified by 16 Antiviruses on VirusTotal as malicious",
1130. "Details": [
1131. {
1132. "Baidu": "VBA.Trojan-Downloader.Agent.dsn"
1133. },
1134. {
1135. "NANO-Antivirus": "Trojan.Ole2.Vbs-heuristic.druvzi"
1136. },
1137. {
1138. "Cyren": "PP97M/Agent"
1139. },
1140. {
1141. "ESET-NOD32": "a variant of VBA/TrojanDownloader.Agent.ODV"
1142. },
1143. {
1144. "Avast": "VBA:Downloader-BDZ [Trj]"
1145. },
1146. {
1147. "Tencent": "Heur.Macro.Generic.Gen.a"
1148. },
1149. {
1150. "F-Prot": "New or modified PP97M/Agent"
1151. },
1152. {
1153. "Microsoft": "TrojanDownloader:O97M/Donoff"
1154. },
1155. {
1156. "Endgame": "malicious (high confidence)"
1157. },
1158. {
1159. "TACHYON": "Suspicious/WOX.Obfus.Gen.1"
1160. },
1161. {
1162. "Zoner": "Probably W97Obfuscated"
1163. },
1164. {
1165. "Rising": "Trojan.Obfus/VBA!1.A609 (CLASSIC)"
1166. },
1167. {
1168. "SentinelOne": "DFI - Malicious OPENXML"
1169. },
1170. {
1171. "Fortinet": "VBA/Agent.HZITYVS!tr"
1172. },
1173. {
1174. "AVG": "VBA:Downloader-BDZ [Trj]"
1175. },
1176. {
1177. "Qihoo-360": "heur.macro.gen.aa"
1178. }
1179. ]
1180. },
1181. {
1182. "Description": "Attempts to modify proxy settings",
1183. "Details": []
1184. },
1185. {
1186. "Description": "Drops a binary and executes it",
1187. "Details": [
1188. {
1189. "binary": "C:\\Users\\Public\\Downloads\\iIHbaNy.exe"
1190. }
1191. ]
1192. },
1193. {
1194. "Description": "Martian Subprocess Started By Office Process",
1195. "Details": [
1196. {
1197. "office_martian": "c:\\users\\public\\downloads\\iihbany.exe"
1198. }
1199. ]
1200. },
1201. {
1202. "Description": "Attempts to create or modify system certificates",
1203. "Details": []
1204. },
1205. {
1206. "Description": "The office file created a suspicious child process.",
1207. "Details": [
1208. {
1209. "Processes": "WINWORD.EXE -> iIHbaNy.exe"
1210. }
1211. ]
1212. }
1213. ]
1214.  
1215. [*] Started Service: [
1216. "osppsvc",
1217. "gupdate",
1218. "BITS"
1219. ]