15 lines
1.5 KiB
Plaintext
15 lines
1.5 KiB
Plaintext
|
|
||
|
|
rule TrojanDownloader_O97M_Donoff_RB_MTB{
|
||
|
|
meta:
|
||
|
|
description = "TrojanDownloader:O97M/Donoff.RB!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,05 00 05 00 05 00 00 02 00 "
|
||
|
|
|
||
|
|
strings :
|
||
|
|
$a_03_0 = {43 61 6c 6c 20 41 70 70 6c 69 63 61 74 69 6f 6e 2e 52 75 6e 28 22 90 17 02 04 08 74 61 72 61 72 6f 73 6f 6c 61 72 65 22 2c 20 90 02 08 28 22 90 08 00 07 22 29 29 90 00 } //02 00
|
||
|
|
$a_03_1 = {66 65 72 61 6c 6f 20 3d 20 70 65 6e 69 73 6f 6c 61 28 22 90 08 00 07 22 29 0d 0a 20 41 70 70 6c 69 63 61 74 69 6f 6e 2e 52 75 6e 20 22 6d 61 6c 75 6d 6f 72 65 22 2c 20 66 65 72 61 6c 6f 90 00 } //02 00
|
||
|
|
$a_03_2 = {43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 6c 6c 22 29 2e 52 75 6e 90 01 01 90 17 02 09 08 73 69 6e 75 73 6f 69 64 65 73 66 61 72 7a 6f 73 6f 2c 20 76 62 48 69 64 65 90 00 } //02 00
|
||
|
|
$a_01_3 = {50 75 62 6c 69 63 20 46 75 6e 63 74 69 6f 6e 20 74 61 72 61 28 70 61 63 69 66 69 63 6f 20 41 73 20 53 74 72 69 6e 67 29 0d 0a 20 20 53 68 65 6c 6c 20 70 61 63 69 66 69 63 6f 2c 20 30 } //01 00
|
||
|
|
$a_03_4 = {46 75 6e 63 74 69 6f 6e 20 90 02 08 28 90 02 08 20 41 73 20 53 74 72 69 6e 67 2c 20 4f 70 74 69 6f 6e 61 6c 20 90 02 08 20 41 73 20 49 6e 74 65 67 65 72 29 20 41 73 20 56 61 72 69 61 6e 74 0d 0a 20 20 20 20 90 1b 00 20 3d 20 53 70 6c 69 74 28 4c 65 66 74 28 53 74 72 43 6f 6e 76 28 90 1b 01 2c 20 76 62 55 6e 69 63 6f 64 65 29 2c 20 4c 65 6e 28 53 74 72 43 6f 6e 76 28 90 1b 01 2c 20 76 62 55 6e 69 63 6f 64 65 29 29 20 2d 20 31 29 2c 20 76 62 4e 75 6c 6c 43 68 61 72 29 90 00 } //00 00
|
||
|
|
condition:
|
||
|
|
any of ($a_*)
|
||
|
|
|
||
|
|
}
|