14 lines
992 B
Plaintext
14 lines
992 B
Plaintext
|
|
||
|
|
rule Backdoor_Win32_Atadommoc_A{
|
||
|
|
meta:
|
||
|
|
description = "Backdoor:Win32/Atadommoc.A,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 01 00 "
|
||
|
|
|
||
|
|
strings :
|
||
|
|
$a_03_0 = {63 6f 6d 6d 6f 6e 2e 64 61 74 61 90 02 03 30 43 37 46 46 31 36 43 2d 33 38 45 33 2d 31 31 64 30 2d 39 37 41 42 2d 30 30 43 30 34 46 43 32 41 44 39 38 90 00 } //01 00
|
||
|
|
$a_03_1 = {53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c 25 73 90 02 0a 57 69 6e 73 74 61 30 5c 44 65 66 61 75 6c 74 90 02 0a 73 76 63 68 6f 73 74 2e 65 78 65 90 00 } //01 00
|
||
|
|
$a_03_2 = {53 74 61 72 74 69 6e 67 20 64 72 69 76 65 72 20 25 73 90 02 0a 44 65 63 72 79 70 74 69 6e 67 20 25 73 90 02 0a 44 6f 77 6e 6c 6f 61 64 69 6e 67 20 25 73 90 00 } //01 00
|
||
|
|
$a_03_3 = {25 73 20 63 6c 69 65 6e 74 20 73 74 6f 70 70 65 64 90 02 0a 25 73 20 63 6c 69 65 6e 74 20 73 74 61 72 74 65 64 90 02 0a 65 78 65 90 02 0a 31 37 38 2e 31 37 2e 31 36 33 2e 31 30 36 90 00 } //00 00
|
||
|
|
condition:
|
||
|
|
any of ($a_*)
|
||
|
|
|
||
|
|
}
|