rule VirTool_Win64_Dumplesesz_A_MTB{
	meta:
		description = "VirTool:Win64/Dumplesesz.A!MTB,SIGNATURE_TYPE_PEHSTR_EXT,03 00 03 00 03 00 00 "
		
	strings :
		$a_03_0 = {48 8b cb ff 15 ?? ?? ?? ?? 45 33 c0 4c ?? ?? ?? ?? 41 ?? ?? ?? 8d ?? ?? ff 15 ?? ?? ?? ?? 4c 8d ?? ?? ?? ?? ?? b9 01 00 00 00 48 8d ?? ?? ?? ?? ?? ff 15 ?? ?? ?? ?? 44 8b c7 33 d2 b9 10 10 00 00 ff 15 } //1
		$a_03_1 = {48 89 74 24 48 48 89 4c 24 40 41 b9 02 00 00 00 48 ?? ?? ?? ?? 45 33 c0 48 89 4c 24 30 8b d7 48 89 74 24 28 48 8b c8 48 89 74 24 20 ff 15 ?? ?? ?? ?? 85 c0 0f 84 ?? ?? ?? ?? 48 8b 15 94 43 00 00 48 8d ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 89 74 24 30 48 8d } //1
		$a_03_2 = {c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 10 ff 15 ?? ?? ?? ?? 44 8b 05 4c 43 00 00 4c ?? ?? ?? ?? 48 8b 15 48 43 00 00 48 8b c8 48 89 74 24 20 ff 15 ?? ?? ?? ?? 85 } //1
	condition:
		((#a_03_0  & 1)*1+(#a_03_1  & 1)*1+(#a_03_2  & 1)*1) >=3
 
}