14 lines
938 B
Plaintext
14 lines
938 B
Plaintext
|
|
rule Backdoor_Win32_PcClient_DY{
|
|
meta:
|
|
description = "Backdoor:Win32/PcClient.DY,SIGNATURE_TYPE_PEHSTR_EXT,03 00 03 00 04 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {66 ab aa c6 85 ?? ?? ?? ?? 5c c6 85 ?? ?? ?? ?? 73 c6 85 ?? ?? ?? ?? 76 c6 85 ?? ?? ?? ?? 63 c6 85 ?? ?? ?? ?? 68 c6 85 ?? ?? ?? ?? 6f c6 85 ?? ?? ?? ?? 73 c6 85 ?? ?? ?? ?? 74 c6 85 ?? ?? ?? ?? 2e c6 85 ?? ?? ?? ?? 65 } //1
|
|
$a_03_1 = {66 ab aa c6 85 ?? ?? ?? ?? 25 c6 85 ?? ?? ?? ?? 73 c6 85 ?? ?? ?? ?? 25 c6 85 ?? ?? ?? ?? 30 c6 85 ?? ?? ?? ?? ?? c6 85 ?? ?? ?? ?? 78 c6 85 ?? ?? ?? ?? 2e c6 85 ?? ?? ?? ?? 73 } //1
|
|
$a_03_2 = {6a 1a 59 f7 f9 8b 45 08 03 85 ?? ?? ?? ?? 88 90 90 78 02 00 00 8b 45 08 03 85 ?? ?? ?? ?? 8a 80 78 02 00 00 ?? ?? 8b 4d 08 03 8d ?? ?? ?? ?? 88 81 78 02 00 00 eb ad } //1
|
|
$a_03_3 = {53 65 72 76 65 65 65 44 6f [0-20] 25 73 3d [0-05] 2e 73 79 73 } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1+(#a_03_3 & 1)*1) >=3
|
|
|
|
} |