qwqdanchun
/
DefenderYara
mirror of https://github.com/qwqdanchun/DefenderYara.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
DefenderYara/Backdoor/Win32/Kilfuqi/Backdoor_Win32_Kilfuqi_A.yar

12 lines
728 B
Plaintext
Raw Permalink Blame History

rule Backdoor_Win32_Kilfuqi_A{
meta:
description = "Backdoor:Win32/Kilfuqi.A,SIGNATURE_TYPE_PEHSTR_EXT,02 00 02 00 02 00 00 "
strings :
$a_03_0 = {fe ff ff 4b ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 71 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 69 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 6e ?? ?? ?? ?? ?? ?? 67 } //1
$a_03_1 = {0c ff ff ff 44 ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 6c ?? ?? ?? ?? ?? ?? 46 ?? ?? ?? ?? ?? ?? 75 ?? ?? ?? ?? ?? ?? 55 ?? ?? ?? ?? ?? ?? 70 ?? ?? ?? ?? ?? ?? 67 ?? ?? ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? ?? 61 ?? ?? ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? 72 } //1
condition:
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1) >=2
}
Reference in New Issue View Git Blame Copy Permalink