DefenderYara/Backdoor/Win32/Kilfuqi/Backdoor_Win32_Kilfuqi_A.yar


rule Backdoor_Win32_Kilfuqi_A{
	meta:
		description = "Backdoor:Win32/Kilfuqi.A,SIGNATURE_TYPE_PEHSTR_EXT,02 00 02 00 02 00 00 "
		
	strings :
		$a_03_0 = {fe ff ff 4b ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 71 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 6e ?? ?? ?? ?? ?? ?? 67 } //1
		$a_03_1 = {0c ff ff ff 44 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 46 ?? ?? ?? ?? ?? ?? 75 ?? ?? ?? ?? ?? ?? 55 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 67 ?? ?? ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? 72 } //1
	condition:
		((#a_03_0  & 1)*1+(#a_03_1  & 1)*1) >=2
 
}
init 2024-02-05 06:12:47 -08:00
			`rule Backdoor_Win32_Kilfuqi_A{`
			`meta:`
fix condition 2024-07-06 23:13:08 -07:00			`description = "Backdoor:Win32/Kilfuqi.A,SIGNATURE_TYPE_PEHSTR_EXT,02 00 02 00 02 00 00 "`
init 2024-02-05 06:12:47 -08:00
			`strings :`
update like regex pattern strings 2024-07-09 05:28:14 -07:00			`$a_03_0 = {fe ff ff 4b ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 71 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 6e ?? ?? ?? ?? ?? ?? 67 } //1`
			`$a_03_1 = {0c ff ff ff 44 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 46 ?? ?? ?? ?? ?? ?? 75 ?? ?? ?? ?? ?? ?? 55 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 67 ?? ?? ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? 72 } //1`
init 2024-02-05 06:12:47 -08:00			`condition:`
fix condition 2024-07-06 23:13:08 -07:00			`((#a_03_0 & 1)1+(#a_03_1 & 1)1) >=2`
init 2024-02-05 06:12:47 -08:00
			`}`