qwqdanchun
/
DefenderYara
mirror of https://github.com/qwqdanchun/DefenderYara.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
DefenderYara/Backdoor/Win32/Caphaw/Backdoor_Win32_Caphaw_AG.yar

34 lines
3.3 KiB
Plaintext
Raw Permalink Blame History

rule Backdoor_Win32_Caphaw_AG{
meta:
description = "Backdoor:Win32/Caphaw.AG,SIGNATURE_TYPE_PEHSTR_EXT,65 00 65 00 18 00 00 "
strings :
$a_03_0 = {99 f7 ff 8b fa e8 [0-1f] dd 05 ?? ?? ?? ?? e8 ?? ?? 00 00 03 44 24 08 89 44 24 08 8b ?? 24 04 (41|42) 89 ?? 24 04 81 7c 24 04 ?? ?? ?? ?? 72 } //100
$a_03_1 = {db 44 24 0c d9 (fa|fe) [0-2f] 03 44 24 08 89 44 24 08 8b ?? 24 04 90 03 01 01 41 42 89 ?? 24 04 81 7c 24 04 ?? ?? ?? ?? (|) 72 0f 82 } //100
$a_03_2 = {db 44 24 08 d9 90 17 03 01 01 01 fa fe ff [0-4f] 89 ?? 24 04 8b ?? 24 (41|42) 89 ?? 24 81 3c 24 ?? ?? ?? ?? 72 } //100
$a_03_3 = {db 44 24 0c d9 (fa|fe) [0-3f] 89 ?? 24 08 8b ?? 24 04 90 03 01 01 40 41 89 ?? 24 04 81 7c 24 04 ?? ?? ?? ?? (|) 72 0f 82 } //100
$a_03_4 = {db 44 24 14 d9 (fa|fe) [0-2f] 90 03 06 04 8b 44 24 10 03 c2 03 44 24 10 89 44 24 10 8b ?? 24 0c 90 03 01 01 41 42 89 ?? 24 0c 81 7c 24 0c ?? ?? ?? ?? (|) 72 0f 82 } //100
$a_03_5 = {db 44 24 08 d9 ff [0-3f] 8b 54 24 04 03 d0 89 54 24 04 8b 04 24 40 89 04 24 81 3c 24 ?? ?? ?? ?? 72 } //100
$a_03_6 = {db 44 24 08 d9 90 17 03 01 01 01 fa fe ff [0-3f] 89 54 24 08 8b ?? 24 04 (41|42) 89 ?? 24 04 81 7c 24 04 ?? ?? ?? ?? 72 } //100
$a_03_7 = {8b 4c 24 04 dc 3d ?? ?? ?? ?? 85 c9 db 44 24 04 7d 06 dc 05 ?? ?? ?? ?? de c1 e8 ?? ?? 00 00 89 44 24 04 8b 14 24 42 89 14 24 81 3c 24 ?? ?? ?? ?? 72 } //100
$a_03_8 = {8b c3 2b c5 50 83 ec 08 dd 1c 24 e8 ?? ?? ?? ?? 83 c4 08 e8 ?? ?? ?? ?? 03 c3 50 e8 [0-0f] 8b 8c 24 ?? ?? 00 00 8b 54 24 ?? 51 52 68 ?? ?? ?? ?? 53 ff d6 } //1
$a_03_9 = {8b cb 2b cd 51 83 ec 08 dd 1c 24 e8 ?? ?? ?? ?? 83 c4 08 e8 ?? ?? ?? ?? 03 c3 50 e8 ?? ?? ?? ?? 83 c4 08 8b 94 24 ?? ?? 00 00 8b 44 24 ?? 52 50 68 ?? ?? ?? ?? 53 ff d6 } //1
$a_03_10 = {8b c5 2b c3 50 83 ec 08 dd 1c 24 e8 ?? ?? ?? ?? 83 c4 08 e8 ?? ?? ?? ?? 03 c5 50 e8 ?? ?? ?? ?? 83 c4 08 8b 8c 24 ?? ?? 00 00 8b 54 24 ?? 51 52 68 ?? ?? ?? ?? 55 ff d6 } //1
$a_03_11 = {03 c5 50 e8 ?? ?? ff ff 8b ?? 24 ?? ?? 00 00 8b ?? 24 ?? (51|52) (|) 50 52 (|) b8 b9 ?? ?? ?? ?? 2b (|) c3 cb 68 ?? ?? ?? ?? 55 03 (|) c5 cd ff (|) d0 d1 } //1
$a_03_12 = {03 c5 50 e8 ?? ?? ff ff 83 c4 08 8b 94 24 ?? ?? 00 00 8b 44 24 ?? 52 50 68 ?? ?? ?? ?? 55 ff d6 } //1
$a_03_13 = {8b cb 2b cd 51 53 e8 ?? ?? ff ff 83 c4 08 8b 94 24 ?? ?? 00 00 8b 44 24 ?? 52 50 b9 ?? ?? ?? ?? 2b cd 68 ?? ?? ?? ?? 53 03 cb ff d1 } //1
$a_03_14 = {8b c3 2b c5 50 53 e8 ?? ?? ff ff 83 c4 08 8b 8c 24 ?? ?? 00 00 8b 54 24 ?? 51 52 b8 ?? ?? ?? ?? 2b c5 68 ?? ?? ?? ?? 53 03 c3 ff d0 } //1
$a_01_15 = {99 f7 fd 66 8b 0e 83 c6 02 66 2b ca 4b 66 89 4c 37 fe 75 } //1
$a_01_16 = {8b 43 3c 8b 4c 18 54 8b d1 } //1
$a_03_17 = {8b 46 3c 8b 4c ?? 54 8b d1 } //1
$a_03_18 = {8b 4e 3c 8b 4c ?? 54 8b d1 } //1
$a_03_19 = {8b 4b 3c 8b 4c ?? 54 [0-05] 8b d1 } //1
$a_03_20 = {8b 53 3c 8b 4c ?? 54 8b c1 } //1
$a_01_21 = {8b 55 3c 8b 4c 2a 54 8b c1 } //1
$a_01_22 = {8b 4d 3c 8b 4c 29 54 8b d1 } //1
$a_01_23 = {8b 56 3c 8b 4c 32 54 8b c1 } //1
condition:
((#a_03_0 & 1)*100+(#a_03_1 & 1)*100+(#a_03_2 & 1)*100+(#a_03_3 & 1)*100+(#a_03_4 & 1)*100+(#a_03_5 & 1)*100+(#a_03_6 & 1)*100+(#a_03_7 & 1)*100+(#a_03_8 & 1)*1+(#a_03_9 & 1)*1+(#a_03_10 & 1)*1+(#a_03_11 & 1)*1+(#a_03_12 & 1)*1+(#a_03_13 & 1)*1+(#a_03_14 & 1)*1+(#a_01_15 & 1)*1+(#a_01_16 & 1)*1+(#a_03_17 & 1)*1+(#a_03_18 & 1)*1+(#a_03_19 & 1)*1+(#a_03_20 & 1)*1+(#a_01_21 & 1)*1+(#a_01_22 & 1)*1+(#a_01_23 & 1)*1) >=101
}
Reference in New Issue View Git Blame Copy Permalink