剖析“HIDDEN COBRA”恶意软件：远程访问木马与SMB蠕虫的深度技术分析

分析报告

MAR-10135536-3 - HIDDEN COBRA 远程访问木马/蠕虫

最后修订日期：2018年5月31日 警报代码：AR18-149A

通知

本报告“按现状”提供，仅用于信息目的。美国国土安全部 (DHS) 不就本公告中包含的任何信息提供任何形式的保证。DHS 不认可本公告中或其它地方提及的任何商业产品或服务。本文件标记为 TLP:WHITE。披露不受限制。根据适用的公开发布规则和程序，当信息滥用风险极小或不存在可预见的风险时，来源可使用 TLP:WHITE。受标准版权规则约束，TLP:WHITE 信息可不受限制地分发。有关交通信号灯协议的更多信息，请参阅 http://www.us-cert.gov/tlp。

摘要

描述本次提交包含四个独特的文件。第一个是用于安装其他恶意软件的安装程序：一个远程访问木马和一个作为服务器消息块蠕虫的恶意动态链接库。第四个文件是另一个以 Windows 32 位可执行文件形式存在的 SMB 蠕虫。这两个 SMB 蠕虫都试图通过使用内置的常用密码列表对脆弱系统进行暴力破解，从而在本地和公共互联网上的随机 IP 地址进行传播。与 SMB 蠕虫捆绑的远程访问木马为攻击者提供了投递更多恶意软件、运行本地命令和外泄数据的能力。截至 2018 年 5 月 31 日，本报告已更新，更正了 Wmmvsvc.dll (ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781) 使用的电子邮件地址。

可下载的威胁指标文件： MAR-10135536-3.stix

电子邮件 (2个)

提交的文件 (4个)

077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885 (4731CBAEE7ACA37B596E38690160A7…)
a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717 (scardprv.dll)
ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781 (Wmmvsvc.dll)
fe7d35d19af5f5ae2939457a06868754b8bdd022e1ff5bdbe4e7c135c48f9a16 (298775B04A166FF4B8FBD3609E7169…)

发现结果

077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885

标签：backdoor, trojan, worm

详细信息

名称: 4731CBAEE7ACA37B596E38690160A749
大小: 208896 字节
类型: PE32 executable (GUI) Intel 80386, for MS Windows
MD5: 4731cbaee7aca37b596e38690160a749
SHA1: 80fac6361184a3e24b33f6acb8688a6b7276b0f2
SHA256: 077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
SHA512: 9fdc1bf087d3e2fa80ff4ed749b11a2b3f863bed7a59850f6330fc1467c38eed052eee0337d2f82f9fe8e145f68199b966ae3c08f7ad1475b665beb8cd29f6d7
ssdeep: 6144:M6atGpHk4NdSksOBbNUyb4ajb1TWiYW9ebYwtJEGLYMYR4:Msdk4NdSksOv
熵值: 7.731026

杀毒软件检测

AVG: BackDoor.Generic14.ARHX
Ahnlab: Trojan/Win32.Npkon
Avira: BDS/Joanap.A.11
BitDefender: Gen:Variant.Barys.57573
ClamAV: Win.Trojan.Agent-1388737
Cyren: W32/Zegost.AA.gen!Eldorado
ESET: Win32/Scadprv.A trojan
Emsisoft: Gen:Variant.Barys.57573 (B)
F-secure: Gen:Variant.Barys.57573
Filseclab: Worm.Agent.age.ebwv
Ikarus: Worm.Win32.Agent
K7: Backdoor ( 04c4b9d11 )
McAfee: W32/FunCash!worm
Microsoft Security Essentials: Backdoor:Win32/Joanap.J!dha
NANOAV: Trojan.Win32.Agent.crilzb
Quick Heal: Backdoor.Joanap
Sophos: Mal/EncPk-AGS
Symantec: Trojan.Gen.2
Systweak: trojan.agent
TrendMicro: BKDR_JOANAP.AC
TrendMicro House Call: BKDR_JOANAP.AC
Vir.IT eXplorer: Backdoor.Win32.Generic.ARHX
VirusBlokAda: Worm.Agent
Zillya!: Worm.Agent.Win32.3373
nProtect: Worm/W32.Agent.208896.AK

Yara 规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


hidden_cobra_consolidated.yara
rule Enfal_Generic {
  meta:
    author = "NCCIC trusted 3rd party"
    incident = "10135536"
    date = "2018-04-12"
    category = "hidden_cobra"
    family = "BRAMBUL,JOANAP"
    MD5_1 = "483B95B1498B615A1481345270BFF87D"
    MD5_2 = "4731CBAEE7ACA37B596E38690160A749"
    MD5_3 = "CD60FD107BAACCAFA6C24C1478C345C8"
    MD5_4 = "298775B04A166FF4B8FBD3609E716945"
    Info = "Detects Hidden Cobra SMB Worm / RAT"
  strings:
    $s0 = {6D737373636172647072762E6178}
    $s1 = {6E3472626872697138393076393D3032333D30312A2628542D30513332354A314E3B4C4B}
    $s2 = {72656468617440676D61696C2E636F6D}
    $s3 = {6D69737377616E673831303740676D61696C2E636F6D}
    $s4 = {534232755365435632564474}
    $s5 = {794159334D6559704275415756426341}
    $s6 = {705641325941774242347A41346167664B6232614F7A4259}
    $s7 = {AE8591916D586DE4F6FB8EE2F0BBF1F9}
    $s8 = {F96D5DD36D6D9A87DD6D506D6D6D516D}
    $s9 = {43616E6E6F74206372656174652072656D6F74652066696C652E}
    $s10 = {43616E6E6F74206F70656E2072656D6F74652066696C65}
    $s11 = {663D547D75128D85FCFEFFFF5056}
    $s12 = {663D547D75128D85FCFEFFFF5056E88C060000E9A9000000663D557D7512}
    $s13 = {663D567D750F8D85FCFEFFFF5056E891070000EB7C663D577D}
    $s14 = {3141327A3342347935433678374438773945307624465F754774487349724A71}
    $s15 = {393032356A6864686F333965686532}
  condition:
    ($s0) or ($s1) or ($s2) or ($s3) or ($s4 and $s5 and $s6) or ($s7 and $s8) or ($s9 and $s10 and $s11) or ($s12 and $s13) or ($s14 and $s15)
}

ssdeep 匹配：未找到匹配项。

PE 元数据

编译日期: 2011-09-14 01:53:24-04:00
导入哈希: e8cd12071a8e823ebc434c8ee3e23203

PE 区段

MD5	名称	原始大小	熵值
bf69e0e64bdafa28b31e3c2134e1d696	header	4096	0.658046
27f1df91dc992ababc89460f771a6026	.text	24576	6.227301
249e10a4ad0a58c3db84eb2f69db5db5	.rdata	4096	4.367702
88b5582d4d361c92e9234abf0942ed9e	.data	4096	2.546586
a18b7869b3bfd4a2ef0d03c96fa09221	.rsrc	172032	7.969250

加壳器/编译器/加密器

Installer VISE Custom

进程列表

进程	PID	PPID
077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885.exe	2628	(2588)

关系

077d9e0e12... 丢弃了 a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
077d9e0e12... 丢弃了 ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781

描述此 32 位 Windows 可执行文件丢弃了两个恶意应用程序。第一个 (a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717) 是一个功能齐全的远程访问木马。第二个应用程序 (ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781) 是一个 SMB 蠕虫，将传播到本地子网和外部网络。

a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717

标签：backdoor, bot, trojan, worm

详细信息

名称: scardprv.dll
大小: 77824 字节
类型: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5: 4613f51087f01715bf9132c704aea2c2
SHA1: 6b1ddf0e63e04146d68cd33b0e18e668b29035c4
SHA256: a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
SHA512: 37fa5336d1554557250e4a3bcb4ccfca79f4873264cb161dee340d35a2f8f17f7853fe942809bb343ac1eae0a37122b5e8fd703a9b820ec96abb65c8327c1b6a
ssdeep: 768:qtT2AxNtcgpqLepcy2y6/chYdP8KuSFM+Cs5CBaho9S4AJKqBz8MZdVsrQVBnVGa:qwONtBqL1dDMrs5CN9S4A3HOYBnVL
熵值: 6.138177

杀毒软件检测

AVG: Agent3.BAPF
Ahnlab: Trojan/Win32.Dllbot
Avira: TR/Gendal.6762100
BitDefender: Gen:Variant.Graftor.Elzob.3935
ClamAV: Win.Trojan.Agent-1388765
ESET: a variant of Win32/Scadprv.A trojan
Emsisoft: Gen:Variant.Graftor.Elzob.3935 (B)
F-secure: Gen:Variant.Graftor.Elzob.3935
Filseclab: Worm.Agent.ago.thfj.dll
Ikarus: Worm.Win32.Agent
K7: Trojan ( 0001659c1 )
McAfee: W32/FunCash!worm
Microsoft Security Essentials: Backdoor:Win32/Joanap.B!dha
NANOAV: Trojan.Win32.Agent.cwccco
Quick Heal: Backdoor.Duzzer.A5
Sophos: Mal/Generic-L
Symantec: Backdoor.Joanap
Systweak: malware.gen-20120501
TrendMicro: BKDR_JOANAP.AC
TrendMicro House Call: BKDR_JOANAP.AC
Vir.IT eXplorer: Trojan.Win32.Agent3.BAPF
VirusBlokAda: Worm.Agent
Zillya!: Worm.Agent.Win32.5702
nProtect: Worm/W32.Agent.77824.CJ

Yara 规则：同上 hidden_cobra_consolidated.yara 规则。

ssdeep 匹配：未找到匹配项。

PE 元数据

编译日期: 2011-09-14 01:38:38-04:00
导入哈希: f6f7b2e00921129d18061822197111cd

PE 区段

MD5	名称	原始大小	熵值
c745765d5ae0458d76c721b8a82eca52	header	4096	0.763991
f16ff24a6d95e0e0711eccae4283bbe5	.text	40960	6.506011
b89bb8a288d739a27d7021183336413c	.rdata	20480	6.655349
fcd7ede94211c9d653bd8cc776feb8be	.data	4096	4.326483
56dc69f697f36158eefefdde895f39b6	.rsrc	4096	0.613739
20601cf5d6aecb9837dcc1747847c5a2	.reloc	4096	4.068756

加壳器/编译器/加密器

Microsoft Visual C++ 6.0 DLL

关系

a1c483b0ee... 被丢弃者 077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885

描述此 32 位 Windows DLL 被写入磁盘，然后由文件 “4731CBAEE7ACA37B596E38690160A749” 加载。该恶意软件已被识别为远程访问木马，为远程攻击者提供了从受感染的 Windows 设备上外泄数据、丢弃和运行辅助载荷以及提供代理功能的能力。该恶意软件绑定到端口 443，并监听来自远程操作员的传入连接，使用 Rivest Cipher 4 加密算法保护其与命令和控制服务器的通信。该恶意软件还会在 %WINDIR%\system32 文件夹中名为 “mssscardprv.ax” 的文件中创建日志条目。该日志条目包括受害者的 IP 地址、主机名和当前系统时间。

ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781

标签：backdoor, bot, trojan, worm

详细信息

名称: Wmmvsvc.dll
大小: 91664 字节
类型: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5: e86c2f4fc88918246bf697b6a404c3ea
SHA1: 9b7609349a4b9128b9db8f11ac1c77728258862c
SHA256: ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781
SHA512: f6097c66a526ba7a3c918b1c7fccae03c812046d642a4adb62ee7a24cbcee889c0348020ae7e2e82ee3f284b311f049ed596edb22b90153cadc11c646d4f9a45
ssdeep: 768:9eY/pEwKWcwP/bY4XxlGLup3Tq1LpDLJkDcw3f9zj:MitnU4viJJDw3Z
熵值: 3.156854

杀毒软件检测

AVG: PSW.Generic9.ACQQ
Ahnlab: Trojan/Win32.Dllbot
Avira: BDS/Joanap.A.8
BitDefender: Gen:Variant.Symmi.49274
ClamAV: Win.Trojan.Agent-1388727
Cyren: W32/Trojan.WXKV-0327
ESET: a variant of Win32/Agent.NJF worm
Emsisoft: Gen:Variant.Symmi.49274 (B)
F-secure: Gen:Variant.Symmi.49274
Filseclab: Trojan.Agent.NJF.cuzy.dll
Ikarus: Worm.Win32.Agent
K7: Trojan ( 00515bda1 )
McAfee: Generic PWS.tr
Microsoft Security Essentials: Backdoor:Win32/Joanap.A!dha
NANOAV: Trojan.Win32.Agent.cqilax
NetGate: Trojan.Win32.Malware
Quick Heal: Backdoor.Joanap
Sophos: Mal/Generic-L
Symantec: W32.Brambul
Vir.IT eXplorer: Trojan.Win32.Generic.ACQQ
VirusBlokAda: Worm.Agent
Zillya!: Worm.Agent.Win32.3549
nProtect: Worm/W32.Agent.91664

Yara 规则：同上 hidden_cobra_consolidated.yara 规则。

ssdeep 匹配：未找到匹配项。

PE 元数据

编译日期: 2011-09-14 11:42:30-04:00
导入哈希: f0087d7b90876a2769f2229c6789fcf3
公司名称: Microsoft Corporation
文件描述: Microsoft XML Encoder/Transcoder
内部名称: xpsshrm.dll
合法版权: © Microsoft Corporation. All rights reserved.
原始文件名: xpsshrm.dll
产品名称: Microsoft® Windows Media Services
产品版本: 9.00.00.4503

PE 区段

MD5	名称	原始大小	熵值
037e97300efd533dd48d334d30bdc408	header	4096	0.759334
4b5019185bb0b82273442dae3f15f105	.text	24576	6.083997
9e5a1cfda72f8944cd5e35e33a2a73b0	.rdata	4096	3.267725
47982ac1b20cac03adcfd62f5881b79c	.data	49152	1.087883
b971ab49349a660c70cb6987b7fb3ed3	.rsrc	4096	1.140488
ad5750c9584c0eba32643810ab6e8a53	.reloc	4096	2.515288

加壳器/编译器/加密器

Microsoft Visual C++ 6.0 DLL

关系

ea46ed5aed... 被丢弃者 077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
ea46ed5aed... 连接到 misswang8107@gmail.com
ea46ed5aed... 包含 redhat@gmail.com

描述此文件是一个恶意的 32 位 Windows DLL，被写入磁盘，然后由文件 “4731CBAEE7ACA37B596E38690160A749” 加载。执行时，该 DLL 会尝试联系受害者本地子网上的所有 IP 地址。如果恶意软件能够连接到这些 IP 地址，它将尝试使用端口 445 上的 SMB 协议，通过暴力密码攻击获取未授权访问。该恶意软件包含一个由常用密码组成的嵌入式密码列表，并生成随机的外部 IP 地址进行攻击。如果恶意软件成功访问另一个系统，它将向以下地址发送一封包含该系统 IP 地址、主机名、用户名和密码的电子邮件： misswang8107@gmail.com 该电子邮件将显示来自以下地址： redhat@gmail.com 恶意软件使用受害者的系统文件夹，通过远程运行的服务运行以下命令来创建名为 “adnim$” 的共享文件夹：

1
2


cmd.exe /q /c net share adnim$=%SystemRoot%
cmd.exe /q /c net share adnim$=%%SystemRoot%% /GRANT:%s,FULL

然后，恶意软件会将自身复制到新创建的共享文件夹中，文件名为 “mssscardprv.ax”。将恶意软件复制到新系统后，它使用恶意服务在受害系统上运行该文件。随后使用以下命令从远程系统中删除 adnim$ 共享：

1

cmd.exe /q /c net share adnim$ /delete

恶意软件通过尝试连接端口 3389 来确定远程桌面协议是否已启用。如果能够连接到此端口，恶意软件将报告 RDP 在受感染系统上可用。此信息通过前面提供的恶意电子邮件地址提供给操作员。该恶意软件可以与识别为 “scardprv.dll” 的远程访问木马进行通信。通信使用 RC4 加密协议进行保护。尝试传播时，恶意软件使用以下三个用户名结合密码暴力攻击：

Administrateur
Administrador
Administrator 尽管恶意软件在其暴力攻击中使用了大量嵌入式密码，但在我们的环境中，恶意软件在其 SMB 攻击中持续使用以下“Lan Manager 响应”： 8C15084FA541079A000000000000000000 这个十六进制值可能有助于检测此蠕虫在端口 445 上的通信和传播尝试。具体来说，当恶意软件尝试运行远程服务以创建 “adnim$” 共享时，会生成以下网络流量： ASCII: cmd.exe /q /c net share adnim$=%SystemRoot% /GRANT:Administrator,FULL HEX: 636D642E657865202F71202F63206E65742073686172652061646E696D243D2553797374656D526F6F7425202F4752414E543A41646D696E6973747261746F722C46554C4C

截图 图 1 - 此截图说明了数据外泄的收件人和发件人电子邮件地址。

fe7d35d19af5f5ae2939457a06868754b8bdd022e1ff5bdbe4e7c135c48f9a16

标签：backdoor, trojan, worm

详细信息

名称: 298775B04A166FF4B8FBD3609E716945
大小: 86016 字节
类型: PE32 executable (GUI) Intel 80386, for MS Windows
MD5: 298775b04a166ff4b8fbd3609e716945
SHA1: 2e0f666831f64d7383a11b444e2c16b38231f481
SHA256: fe7d35d19af5f5ae2939457a06868754b8bdd022e1ff5bdbe4e7c135c48f9a16
SHA512: adc9bb5a2116134ddf57d1b1765d5981c55828aa8c6719964b0e2eeb6c9068a2acaa98c2e03227a406a4fbfa2f007f5eb9f57a61e3749b8eb0d73b1881328fbf
ssdeep: 768:i+cDn8nAQ5Toz4c0+u5jrdXs+W+aCNkiC8xeC3cs:i+M8ndTozOn5jxF/US0s
熵值: 2.873816

杀毒软件检测

ClamAV: Win.Trojan.Agent-1388727
ESET: a variant of Win32/Agent.NVC worm
McAfee: GenericRXCB-TI!298775B04A16
Microsoft Security Essentials: Backdoor:Win32/Joanap.A!dha
Symantec: Heur.AdvML.B

Yara 规则：同上 hidden_cobra_consolidated.yara 规则。

ssdeep 匹配：未找到匹配项。

PE 元数据

编译日期: 2018-01-05 01:22:45-05:00
导入哈希: 9f298eba36baa47b98a60cf36fdb2301

PE 区段

MD5	名称	原始大小	熵值
8a5b06109c3bd4323fa3318f9874d529	header	4096	0.703885
413f30d4d86037b75958b45b9efbe1de	.text	20480	6.302858
82b41fefc9aa74a2430f1421fd5fe5b3	.rdata	4096	3.748024
b6f17870ca5f45d4c75e18024e6e1180	.data	53248	1.067897
cda5ef1038742e5ef46b9cfa269b0434	.rsrc	4096	0.608792

加壳器/编译器/加密器

Microsoft Visual C++ v6.0

进程列表

进程	PID	PPID
fe7d35d19af5f5ae2939457a06868754b8bdd022e1ff5bdbe4e7c135c48f9a16.exe	2436	(2408)

描述此文件是一个恶意的 32 位 Windows 可执行文件，旨在扫描本地网络和互联网，查找可访问且 SMB 端口开放的机器。一旦恶意软件获得对远程机器的访问权限，它将投递恶意载荷。此文件接受以下命令行参数执行：

1
2
3
4
5


-i ==> 创建服务
-u ==> 控制和删除服务
-s ==> 启动服务
-r ==> 不作为服务运行
-k ==> ControlService

使用 “-i” 参数执行时，恶意软件将自身安装并执行为以下服务：

ServiceName = “RdpCertification”
DisplayName = “Remote Desktop Certification Services”
DesiredAccess = SERVICE_ALL_ACCESS
ServiceType = SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS
StartType = SERVICE_AUTO_START
BinaryPathName = “%current directory%\298775B04A166FF4B8FBD3609E716945.exe” 恶意软件创建一个名为 “PlatFormSDK20150201” 的互斥体对象，然后使用域名生成算法生成 IP 地址列表。该 DGA 在算法中使用系统时间来创建 IP 地址列表。它通过受害者的 IP 地址和生成的 IP 地址在 TCP 端口 80 和 445 上生成网络流量。示例 HTTP 请求：

1
2
3
4
5
6


OPTIONS / HTTP/1.1
translate: f
User-Agent: Microsoft-WebDAV-MiniRedir/5.1.2600
Host: 159.154.100.0
Content-Length: 0
Connection: Keep-Alive

一旦成功使用端口 445 连接到其他 Windows 主机或生成的 IP 地址，恶意软件会尝试使用硬编码的密码列表进行 SMB 连接。如果密码猜对，则建立文件共享。恶意软件使用以下方法访问远程系统上的共享：

通过使用 \\remote system IP\$IPC 来获取对远程系统的访问权限。
通过使用 \\hostname\adnim$\system32 检查现有共享。

将使用以下命令创建一个名为 “adnim$” 的新共享：

1
2


“cmd.exe /q /c net share adnim$=%SystemRoot%”
“cmd.exe /q /c net share adnim$=%%SystemRoot%% /GRANT:%s,FULL”

成功建立文件共享后，恶意软件上传一个载荷副本 “C:\WINDOWS\TEMP\TMP1.tmp” 并将其作为服务安装。上传并在新感染的主机上运行的恶意软件载荷在分析时不可用。感染后使用以下命令删除远程网络共享：

1

“cmd.exe /q /c net share adnim$ /delete”

上传并执行载荷后，恶意软件使用简单邮件传输协议发送收集到的数据。这些数据向远程操作员提供感染状态。以下是用于发送数据的服务提供商的域名：

“www.hotmail.com” 以下是所发送电子邮件的结构：

1
2
3
4
5
6
7
8


SUBJECT: %s%s%s
TO: Joana <%s>%s
FROM: <%s>%s
DATA%s
RCPT TO: <%s>%s
MAIL FROM: <%s>%s
AUTH LOGIN%s
HELO %s%s

以下是用于建立连接的暴力破解密码列表（部分示例）： !@#$!@#$%!@#$%^!@#$%^&!@#$%^&*!@#$%^&*()"KGS!@#$%"000000000000... (此处省略了非常长的密码列表，包含大量常见和默认密码)

redhat@gmail.com

详细信息

地址: redhat@gmail.com

关系

redhat@gmail.com 包含于 ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781

misswang8107@gmail.com

详细信息

地址: misswang8107@gmail.com

关系

misswang8107@gmail.com 连接来源 ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781

关系摘要

来源	关系	目标
077d9e0e12…	Dropped	a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717
077d9e0e12…	Dropped	ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781
a1c483b0ee…	Dropped_By	077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885
ea46