rule TrojanDownloader_O97M_Emotet_AXPD_MTB{
	meta:
		description = "TrojanDownloader:O97M/Emotet.AXPD!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,01 00 01 00 08 00 00 01 00 "
		
	strings :
		$a_01_0 = {3a 2f 2f 77 22 26 22 77 22 26 22 77 2e 61 22 26 22 73 22 26 22 65 22 26 22 67 75 22 26 22 72 22 26 22 61 22 26 22 64 22 26 22 6f 22 26 22 73 22 26 22 61 22 26 22 6c 22 26 22 64 22 26 22 69 61 2e 63 22 26 22 6f 22 26 22 6d 2f 77 22 26 22 70 2d 63 22 26 22 6f 6e 22 26 22 74 65 22 26 22 6e 74 2f 6b 22 26 22 65 6c 22 26 22 51 75 22 26 22 6f 74 22 26 22 39 6b 22 26 22 6f 66 22 26 22 55 54 22 26 22 4c 39 22 26 22 30 75 22 26 22 75 45 2f } //01 00  ://w"&"w"&"w.a"&"s"&"e"&"gu"&"r"&"a"&"d"&"o"&"s"&"a"&"l"&"d"&"ia.c"&"o"&"m/w"&"p-c"&"on"&"te"&"nt/k"&"el"&"Qu"&"ot"&"9k"&"of"&"UT"&"L9"&"0u"&"uE/
		$a_01_1 = {3a 2f 2f 66 22 26 22 74 22 26 22 70 2e 6d 22 26 22 65 63 22 26 22 6f 22 26 22 6e 22 26 22 73 22 26 22 65 22 26 22 72 2e 63 22 26 22 6f 22 26 22 6d 2f 62 22 26 22 61 22 26 22 6e 22 26 22 6e 22 26 22 65 22 26 22 72 2f 72 22 26 22 72 22 26 22 4d 22 26 22 6f 22 26 22 63 22 26 22 53 22 26 22 63 72 22 26 22 71 37 2f } //01 00  ://f"&"t"&"p.m"&"ec"&"o"&"n"&"s"&"e"&"r.c"&"o"&"m/b"&"a"&"n"&"n"&"e"&"r/r"&"r"&"M"&"o"&"c"&"S"&"cr"&"q7/
		$a_01_2 = {3a 2f 2f 68 22 26 22 61 22 26 22 74 22 26 22 68 22 26 22 61 22 26 22 61 22 26 22 62 22 26 22 65 22 26 22 61 22 26 22 63 22 26 22 68 2e 63 22 26 22 6f 22 26 22 6d 2f 64 22 26 22 6f 63 22 26 22 75 6d 22 26 22 65 6e 22 26 22 74 73 2f 6b 22 26 22 38 38 22 26 22 72 22 26 22 6e 2f } //01 00  ://h"&"a"&"t"&"h"&"a"&"a"&"b"&"e"&"a"&"c"&"h.c"&"o"&"m/d"&"oc"&"um"&"en"&"ts/k"&"88"&"r"&"n/
		$a_01_3 = {3a 2f 2f 77 22 26 22 6f 22 26 22 72 22 26 22 64 22 26 22 70 72 22 26 22 65 73 22 26 22 73 2e 61 22 26 22 67 72 22 26 22 75 70 22 26 22 65 22 26 22 6d 2e 63 22 26 22 6f 22 26 22 6d 2f 77 22 26 22 70 2d 61 22 26 22 64 6d 22 26 22 69 6e 2f 6a 22 26 22 69 6d 22 26 22 6a 7a 22 26 22 75 2f } //01 00  ://w"&"o"&"r"&"d"&"pr"&"es"&"s.a"&"gr"&"up"&"e"&"m.c"&"o"&"m/w"&"p-a"&"dm"&"in/j"&"im"&"jz"&"u/
		$a_01_4 = {3a 2f 2f 77 22 26 22 77 22 26 22 77 2e 7a 76 22 26 22 64 65 73 69 22 26 22 67 6e 2e 69 22 26 22 6e 22 26 22 66 22 26 22 6f 2f 63 6f 22 26 22 6d 70 22 26 22 6f 6e 65 22 26 22 6e 74 73 2f 46 22 26 22 44 7a 2f } //01 00  ://w"&"w"&"w.zv"&"desi"&"gn.i"&"n"&"f"&"o/co"&"mp"&"one"&"nts/F"&"Dz/
		$a_01_5 = {3a 2f 2f 77 22 26 22 6f 6c 66 66 22 26 22 72 61 22 26 22 6d 2e 64 22 26 22 6b 2f 5f 62 22 26 22 6f 72 22 26 22 64 65 22 26 22 72 73 2f 45 22 26 22 31 6d 22 26 22 78 45 22 26 22 58 59 22 26 22 72 4d 48 22 26 22 46 2f } //01 00  ://w"&"olff"&"ra"&"m.d"&"k/_b"&"or"&"de"&"rs/E"&"1m"&"xE"&"XY"&"rMH"&"F/
		$a_01_6 = {3a 2f 2f 6d 22 26 22 61 63 22 26 22 73 73 22 26 22 6f 6c 22 26 22 75 74 22 26 22 69 6f 22 26 22 6e 73 2e 63 22 26 22 6f 2e 75 22 26 22 6b 2f 63 22 26 22 67 22 26 22 69 2d 62 69 22 26 22 6e 2f 6d 22 26 22 33 53 22 26 22 52 4d 22 26 22 49 4d 22 26 22 73 78 22 26 22 32 41 22 26 22 5a 71 22 26 22 76 67 4a 2f } //01 00  ://m"&"ac"&"ss"&"ol"&"ut"&"io"&"ns.c"&"o.u"&"k/c"&"g"&"i-bi"&"n/m"&"3S"&"RM"&"IM"&"sx"&"2A"&"Zq"&"vgJ/
		$a_01_7 = {3a 2f 2f 66 22 26 22 74 22 26 22 70 2e 79 22 26 22 75 65 22 26 22 63 6d 22 26 22 72 2e 6f 22 26 22 72 22 26 22 67 2f 77 22 26 22 70 2d 63 22 26 22 6f 6e 22 26 22 74 65 22 26 22 6e 74 2f 46 22 26 22 61 2f } //00 00  ://f"&"t"&"p.y"&"ue"&"cm"&"r.o"&"r"&"g/w"&"p-c"&"on"&"te"&"nt/F"&"a/
	condition:
		any of ($a_*)
 
}