14 lines
695 B
Plaintext
14 lines
695 B
Plaintext
|
|
rule Backdoor_Win32_PcClient_T{
|
|
meta:
|
|
description = "Backdoor:Win32/PcClient.T,SIGNATURE_TYPE_PEHSTR_EXT,0c 00 0c 00 04 00 00 "
|
|
|
|
strings :
|
|
$a_02_0 = {f3 ab 66 ab aa c6 85 ?? ?? ?? ?? 5c c6 85 ?? ?? ?? ?? 73 c6 85 ?? ?? ?? ?? 76 c6 85 ?? ?? ?? ?? 63 c6 85 ?? ?? ?? ?? 68 c6 85 ?? ?? ?? ?? 6f c6 85 ?? ?? ?? ?? 73 c6 85 ?? ?? ?? ?? 74 c6 85 ?? ?? ?? ?? 2e c6 85 ?? ?? ?? ?? 65 c6 85 ?? ?? ?? ?? 78 c6 85 } //10
|
|
$a_00_1 = {64 72 69 76 65 72 73 5c } //1 drivers\
|
|
$a_00_2 = {25 73 25 30 37 78 2e 69 6e 69 } //1 %s%07x.ini
|
|
$a_00_3 = {47 6c 6f 62 61 6c 5c 70 73 25 30 38 78 } //1 Global\ps%08x
|
|
condition:
|
|
((#a_02_0 & 1)*10+(#a_00_1 & 1)*1+(#a_00_2 & 1)*1+(#a_00_3 & 1)*1) >=12
|
|
|
|
} |