-
-
[原创]不好!耍流氓的盯上了双平台
-
发表于: 2015-11-16 15:09
-
伴随移动互联网的高速发展与智能手机的全面普及,各类移动应用百家争鸣的同时,也推动APP推广模式的不断发酵与推演。借推广应用之名“耍流氓“并以此牟取暴利的”流氓软件“层出不穷,严重影响用户的移动终端安全与正常用户体验。
近期,安天AVL移动安全团队发现,某移动应用推广平台存在使用Android恶意代码进行流氓推广的行为。同时,安天追影团队通过追影平台也发现在Windows平台上存在相关联的新威胁样本,该样本一旦被安装到PC端,会通过USB连接向手机静默推送与安装应用。【追影平台是安天实验室最新开发的一款用以应对APT(高级持续性威胁)攻击的设备级鉴定产品】
直接通过手机应用进行APP的恶意推广行为并不少见,而像这样利用双平台(Windows和Android)联动“作案”的现象则鲜有出现。对此,安天AVL移动安全团队进行了密切追踪和详细分析。
一、Windows平台恶意代码分析
1.样本概况
该样本是一个标准的PE程序,运行时无GUI界面,程序在后台运行时会联网下载Android手机USB连接PC时所需的驱动程序以及用来对Android应用程序进行安装的adb指令相关文件。
2.下载并安装其它组件
PE程序运行后,会在后台通过联网(d3bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1J5x3W2)9J5k6e0p5^5y4W2)9J5k6g2)9J5b7g2)9J5k6g2)9J5b7g2)9K6b7e0p5I4x3U0y4Q4x3V1k6Q4x3@1k6S2j5%4c8A6L8$3&6Q4x3@1c8Y4k6i4c8r3K9h3I4W2c8p5I4Q4x3U0k6X3K9h3I4W2M7#2)9K6c8r3c8W2M7s2y4Q4x3X3f1K6i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1^5i4@1q4r3i4@1t1%4i4@1f1$3i4@1t1I4i4K6R3J5i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1^5i4@1u0r3i4K6V1@1i4@1f1#2i4K6W2n7i4K6W2q4i4@1f1#2i4K6R3#2i4@1t1$3i4@1f1#2i4@1q4q4i4K6R3K6i4@1f1%4i4@1u0n7i4K6R3@1i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1#2i4K6W2p5i4K6R3H3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1#2i4K6R3$3i4K6S2p5i4@1f1$3i4@1q4o6i4@1p5I4i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1^5i4K6R3I4i4K6V1@1i4@1f1%4i4@1u0p5i4K6V1I4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2n7i4@1t1^5i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1#2i4K6R3^5i4@1t1H3f1p5g2Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0g2Q4b7V1q4Q4z5p5k6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0g2Q4b7V1c8Q4z5e0g2Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7
文件下载完成后进行解压,并设置相应的隐藏属性,防止用户发现。
common32.zip和common64.zip分别是Windows 32位和64位操作系统下的Android USB驱动安装包,可用于adb相关命令的执行。当用户使用Android手机通过USB与PC连接时,该PE程序会根据用户的操作系统,选择32位或者64位的安装包,并尝试通过dpinst.exe进行安装,安装完成后,就可以通过adb命令和手机通讯。
3.PC存储推广应用
驱动包安装完成后,该PE程序会继续联网(ce5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1J5x3W2)9J5k6e0p5^5y4W2)9J5k6g2)9J5b7g2)9J5k6g2)9J5b7g2)9K6b7e0t1J5x3U0u0Q4x3V1k6Q4x3@1k6S2M7r3W2Q4x3@1c8Y4K9i4k6W2b7i4m8C8e0r3W2K6N6q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4z5q4!0m8c8g2!0n7c8W2!0q4z5g2)9&6y4#2!0m8c8g2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4g2)9^5c8W2!0n7x3q4!0q4z5g2)9&6b7#2)9^5x3q4!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4W2)9^5c8g2!0m8z5q4!0q4z5g2)9^5x3q4)9^5x3g2!0q4y4#2)9&6b7g2)9^5y4r3q4H3M7q4!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8X3I4A6M7%4c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0W2Q4b7U0k6Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0k6Q4z5f1g2Q4z5e0m8D9K9i4y4@1i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4@1p5H3i4@1t1&6i4@1f1$3i4K6S2p5i4@1q4q4L8r3W2K6N6q4!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6b7g2)9^5y4r3q4H3K9#2!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4q4!0n7b7W2!0n7y4W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
下载的apk文件,会存储在PC本地的隐藏目录apps下。
4.通过USB推送到手机
在Windows平台上,可以通过adb命令和Android手机通讯。比如 adb install命令可以把windows平台上的apk文件安装到Android手机中。
PE程序在下载apk文件过程中会尝试启动adb命令当中的install指令,来对存放在本地的apk文件进行静默安装。
由于adb install命令并不需要用户确认,因此该PE程序可以在用户毫不知情的情况下把应用安装到用户手机上。
手机静默安装前:
手机静默安装后:可以看到后台下载的应用程序被静默安装到用户手机当中,安装的应用如下图所示:
对安装的应用进行简单分析发现:当前推送的应用程序以游戏应用为主,部分应用是无恶意性的,部分应用包含支付插件(以qyPay.a和WeimiPay.a家族为主)。
5.程序的自我更新
PE程序运行时,会通过访问服务器(dc5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1J5x3W2)9J5k6e0p5^5y4W2)9J5k6g2)9J5b7g2)9J5k6g2)9J5b7g2)9K6b7e0t1J5x3U0u0Q4x3V1k6Q4x3@1k6S2M7r3W2Q4x3@1c8Y4K9i4k6W2g2X3g2J5M7$3W2G2L8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4W2)9&6c8q4!0m8y4g2!0q4y4W2!0m8x3#2)9^5x3q4!0q4y4W2!0n7y4g2)9^5b7W2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8W2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4g2)9&6x3q4!0m8y4W2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4W2)9&6b7W2!0n7y4q4!0q4y4W2)9&6y4W2!0n7x3q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4)9^5b7W2!0m8y4g2!0q4y4W2)9&6b7#2)9^5z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5z5q4)9&6z5g2!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4g2)9&6c8q4)9^5x3q4!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7W2!0n7c8W2!0q4y4W2)9^5c8q4!0m8x3W2!0q4y4W2)9&6y4#2!0m8y4#2!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0n7x3q4)9^5y4W2!0q4y4W2)9&6y4#2!0m8y4#2!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4#2!0n7b7#2)9^5x3q4!0q4y4W2)9&6b7W2!0n7y4q4!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4q4!0n7z5q4!0n7b7h3!0D9k6q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.
相关代码如下:
二、推送服务器的分析
1.推送服务器信息
对服务器的ip进行域名反查和whois查询,发现该IP归属地为江苏省镇江市,该IP与1e9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6S2i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0W2j5$3!0E0i4@1f1#2i4K6W2r3i4K6W2r3i4@1f1#2i4K6V1H3i4K6S2p5i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1K6i4K6R3H3i4K6R3J5
2.推送应用抽查
通过我们内部系统对服务器域名(222.186.*.*)的传播数据进行检索,可以搜索到一些应用信息,其中部分样本被检出为newpaysdk76恶意家族。
newpaysdk76家族信息:运行时会联网上传用户手机固件信息,获取配置文件,私自发送注册短信、模拟点击登录远程服务器发送付费短信、拦截回执短信并自动回复,给用户带来经济损失。
部分推广的正常应用列表:
部分推送的newpaysdk76恶意家族应用列表:
三、Android平台恶意代码分析
1.Android样本概况
我们对照样本库,发现有2个与该IP域名有关的证书,这2个证书分别借用Google和Baidu之名进行伪装。
该证书下的应用会伪装成系统应用“设置”,并在安装后无图标,后台监听用户解锁屏幕、网络变化、手机启动等广播,来启动远程服务器推送的安全性未知的应用下载操作。
相关样本信息如下表所示:
我们以Hash为EF286E56900DFDE396C2BFC8AA69E2DB的样本为例进行分析:
该样本的包结构如下图所示:核心功能在com.baidu.phoenixo3.set.it包结构中实现,通过命名为com.baidu的包结构来隐藏自身。
2.详细分析
该程序安装后,后台监听用户解锁屏幕、网络变化、手机启动等广播,并自启动,启动后,联网上传手机imei、sim卡序列号等信息,解析返回的Json数据,获取要下载的url链接、应用包名等信息。若指定的包名应用尚未被安装,且手机是wifi连接的环境下,则会执行私自下载、安装的操作。成功安装后,将执行的该任务信息发送至远程服务器进行报告反馈。此外,我们发现该应用的后续版本中,做了一定程度的混淆处理,并添加了申请超级启用权限、静默安装的代码,使得行为更加隐蔽。
获取用户imei,sim卡相关信息,构造联网获取远程服务器推送信息的相关代码:
解析服务器返回信息,并进行二次联网下载推送应用的相关代码:
相同证书下的部分样本还会尝试获取超级用户权限,然后静默安装下载的应用:
3.猜想
由上文对相关推送服务器的分析可知,域名(5d5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6S2i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0W2j5$3!0E0i4K6t1&6i4@1f1@1i4@1t1^5i4K6S2q4d9g2m8Q4x3U0R3J5x3U0u0Q4x3X3f1I4z5o6k6Q4x3X3g2Q4x3V1q4Q4x3X3g2Q4x3V1q4Q4x3U0W2Q4c8e0g2Q4z5o6g2Q4b7U0N6Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0g2Q4b7f1k6Q4b7U0W2Q4c8e0g2Q4b7V1q4Q4z5e0c8Q4c8e0g2Q4z5o6g2Q4b7U0y4Q4c8e0N6Q4b7U0y4Q4b7V1u0Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0S2Q4z5o6m8Q4z5p5y4Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0N6Q4b7U0q4Q4b7V1u0m8L8X3c8J5L8$3W2V1i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1#2i4@1u0p5i4K6V1K6i4@1f1@1i4@1t1^5i4@1q4p5i4@1f1$3i4K6R3^5i4K6V1I4i4@1f1@1i4@1u0n7i4@1q4o6i4@1f1^5i4@1u0r3i4K6V1^5i4@1f1#2i4K6S2r3i4K6V1I4i4@1f1%4i4K6S2q4i4@1t1H3e0X3g2@1N6$3!0J5K9@1q4b7d9g2!0q4y4#2!0n7x3g2!0n7b7W2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2!0m8x3q4)9^5x3g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5y4#2!0n7b7g2!0q4y4#2)9^5c8g2!0n7x3q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4g2)9&6x3W2)9^5b7#2m8q4i4@1f1%4i4@1p5^5i4K6S2n7i4@1f1#2i4@1u0m8i4K6S2r3i4@1f1%4i4K6W2n7i4@1t1^5i4@1f1#2i4K6V1H3i4K6S2o6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1^5i4@1u0r3i4K6W2o6i4@1f1%4i4@1p5^5i4K6S2n7i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5d9g2m8Q4c8e0g2Q4z5f1y4Q4b7U0m8Q4c8e0g2Q4z5f1c8Q4z5o6m8Q4c8f1k6Q4b7V1y4Q4z5o6S2Q4c8e0N6Q4b7f1u0Q4b7f1k6Q4c8e0g2Q4z5p5k6Q4b7e0y4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0g2Q4z5p5k6Q4z5e0S2Q4c8e0g2Q4z5p5y4Q4z5e0k6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0c8Q4b7V1c8Q4z5o6k6Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0W2Q4z5o6y4Q4b7e0S2Q4c8e0g2Q4z5o6S2Q4z5o6k6Q4c8e0c8Q4b7V1u0Q4b7e0y4Q4c8e0N6Q4b7e0m8Q4z5o6q4Q4c8e0g2Q4b7U0W2Q4b7U0k6Q4c8e0k6Q4b7U0u0Q4b7e0q4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0N6Q4z5f1u0Q4b7U0c8Q4c8e0k6Q4z5p5g2Q4b7e0g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0S2Q4b7U0m8Q4z5o6y4Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7U0y4Q4c8e0N6Q4b7U0y4Q4b7V1u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0N6Q4b7V1u0Q4z5e0y4Q4c8e0g2Q4z5e0m8Q4z5o6S2Q4c8e0g2Q4b7f1g2Q4z5o6y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7V1y4Q4b7e0m8Q4c8e0k6Q4z5e0u0Q4b7f1c8Q4c8e0W2Q4z5o6m8Q4z5e0c8Q4c8e0g2Q4b7V1g2Q4z5o6c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0c8Q4b7V1u0Q4b7f1y4Q4c8e0N6Q4z5p5y4Q4z5f1y4Q4c8e0k6Q4b7U0g2Q4z5p5u0Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0N6Q4b7U0q4Q4b7V1u0Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0S2Q4b7e0u0Q4b7f1u0Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8e0g2Q4z5p5k6Q4b7U0m8Q4c8e0W2Q4z5o6g2Q4z5p5c8Q4c8e0N6Q4b7V1c8Q4b7f1g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7V1u0Q4z5p5g2b7b7#2!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4W2)9^5c8g2!0m8z5q4!0q4z5g2)9^5x3q4)9^5x3g2!0q4y4g2)9^5z5q4!0n7x3p5q4F1k6s2u0G2K9h3c8Q4c8e0k6Q4z5o6W2Q4z5p5u0Q4c8e0k6Q4z5f1y4Q4b7V1q4Q4c8e0g2Q4b7V1c8Q4z5e0y4Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6W2Q4z5e0y4Q4c8e0W2Q4z5o6m8Q4z5f1q4Q4c8e0c8Q4b7V1u0Q4z5p5g2b7b7#2!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4g2)9^5z5q4!0n7x3p5q4F1k6s2u0G2K9h3c8Q4c8e0g2Q4b7U0W2Q4b7U0y4Q4c8e0g2Q4z5p5k6Q4b7U0m8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0k6Q4z5p5g2Q4b7e0S2Q4c8e0W2Q4z5o6m8Q4z5o6q4Q4c8e0k6Q4b7U0g2Q4z5o6q4Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
样本的捕获源信息:
四、小结
通过分析可发现,该流氓应用推广行为,是同一服务器通过两个平台来进行。
Windows平台上,恶意代码在PC端执行adb命令,通过USB向Android手机静默推送安装应用;
Android平台上,携带恶意代码的应用一旦被安装,就会在后台静默下载并安装安全性未知的应用。
虽然该流氓应用推广行为是通过不同平台进行,但最终的目的都是向用户的Android手机中安装应用,推广大量应用以牟取利益。在如今Android平台应用泛滥,各类应用之间的竞争愈发激烈,本文所提的流氓应用推广行为,会在Android平台广告和流量的利益驱使下,越发猖狂。
AVL移动安全团队提醒您,请勿随意下载非官方来源的应用。同时,流氓推广行为还会通过Windows平台,进行PC和Android手机双平台的传播,因此,我们建议用户在保护手机的同时,也需要保持良好的电脑使用习惯。目前AVL Pro已经可以全面查杀该Android端流氓软件,有效保护您的手机安全。
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。转载请注明来源:576K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4&6N6h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3U0b7^5x3b7`.`.
关注AVL移动安全团队官方微信 获取更多安全资讯
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
