rule Backdoor_BAT_Bladabindi_AA{
	meta:
		description = "Backdoor:BAT/Bladabindi.AA,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 "
		
	strings :
		$a_03_0 = {16 1f 7c 9d ?? ?? ?? ?? ?? 1b 17 1f 27 9d ?? ?? ?? ?? ?? 1b 18 1f 7c 9d ?? ?? ?? ?? ?? 1b 19 1f 27 9d ?? ?? ?? ?? ?? 1b 1a 1f 7c } //1
		$a_03_1 = {16 1f 5b 9d ?? ?? ?? ?? ?? 1b 17 1f 65 9d ?? ?? ?? ?? ?? 1b 18 1f 6e 9d ?? ?? ?? ?? ?? 1b 19 1f 64 9d ?? ?? ?? ?? ?? 1b 1a 1f 6f 9d ?? ?? ?? ?? ?? 1b 1b 1f 66 9d ?? ?? ?? ?? ?? 1b 1c 1f 5d } //1
		$a_03_2 = {1f 29 1f 5c 9d ?? ?? ?? ?? ?? 1b 1f 2a 1f 52 9d ?? ?? ?? ?? ?? 1b 1f 2b 1f 75 9d ?? ?? ?? ?? ?? 1b 1f 2c 1f 6e } //1
		$a_03_3 = {16 1f 30 9d ?? ?? ?? ?? ?? 1b 17 1f 2e 9d ?? ?? ?? ?? ?? 1b 18 1f 35 9d ?? ?? ?? ?? ?? 1b 19 1f 2e 9d ?? ?? ?? ?? ?? 1b 1a 1f 30 9d ?? ?? ?? ?? ?? 1b 1b 1f 45 } //1
	condition:
		((#a_03_0  & 1)*1+(#a_03_1  & 1)*1+(#a_03_2  & 1)*1+(#a_03_3  & 1)*1) >=4
 
}
rule Backdoor_BAT_Bladabindi_AA_2{
	meta:
		description = "Backdoor:BAT/Bladabindi.AA,SIGNATURE_TYPE_PEHSTR_EXT,1f 00 1f 00 06 00 00 "
		
	strings :
		$a_03_0 = {16 1f 7c 9d ?? 17 1f 27 9d ?? 18 1f 7c 9d ?? 19 1f 27 9d ?? 1a 1f 7c } //10
		$a_03_1 = {16 1f 5b 9d ?? 17 1f 65 9d ?? 18 1f 6e 9d ?? 19 1f 64 9d ?? 1a 1f 6f 9d ?? 1b 1f 66 9d ?? 1c 1f 5d } //10
		$a_03_2 = {18 1f 35 9d ?? 19 1f 2e 9d ?? 1a 1f 30 9d ?? 1b 1f 45 } //1
		$a_03_3 = {17 1f 2e 9d ?? ?? ?? 00 00 18 1f 35 9d ?? ?? ?? 00 00 19 1f 2e 9d ?? ?? ?? 00 00 1a 1f 30 9d ?? 1b 1f 45 } //1
		$a_03_4 = {18 1f 35 9d ?? ?? ?? 00 00 19 1f 2e 9d ?? 1a 1f 30 9d ?? 1b 1f 45 } //1
		$a_03_5 = {1f 29 1f 5c 9d ?? 1f 2a 1f 52 9d ?? 1f 2b 1f 75 9d ?? 1f 2c 1f } //10
	condition:
		((#a_03_0  & 1)*10+(#a_03_1  & 1)*10+(#a_03_2  & 1)*1+(#a_03_3  & 1)*1+(#a_03_4  & 1)*1+(#a_03_5  & 1)*10) >=31
 
}