qwqdanchun
/
DefenderYara
mirror of https://github.com/qwqdanchun/DefenderYara.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
DefenderYara/Exploit/Win32/Acpis/Exploit_Win32_Acpis_A.yar

18 lines
3.0 KiB
Plaintext
Raw Permalink Blame History

rule Exploit_Win32_Acpis_A{
meta:
description = "Exploit:Win32/Acpis.A,SIGNATURE_TYPE_PEHSTR,08 00 08 00 08 00 00 "
strings :
$a_01_0 = {90 eb 03 5d eb 05 e8 f8 ff ff ff 83 c5 15 90 90 90 8b c5 33 c9 66 b9 10 03 50 80 30 97 40 e2 fa 7e 8e 95 97 97 cd 1c 4d 14 7c 90 fd 68 c4 f3 36 97 97 97 97 c7 f3 1e b2 97 97 97 97 a4 4c 2c 97 97 77 e0 7f 4b 96 97 97 16 6c 97 97 68 28 98 14 59 96 97 97 16 54 97 97 96 97 f1 16 ac da cd e2 70 a4 57 1c d4 ab 94 54 f1 16 af c7 d2 e2 4e 14 57 ef 1c a7 94 64 1c d9 9b 94 5c 16 ae dc d2 c5 d9 e2 52 16 ee 93 d2 db a4 a5 e2 2b a4 68 1c d1 } //1
$a_01_1 = {b7 94 54 1c 5c 94 9f 16 ae d0 f2 e3 c7 e2 9e 16 ee 93 e5 f8 f4 d6 e3 91 d0 14 57 93 7c 72 94 68 94 6c 1c c1 b3 94 6d a4 45 f1 1c 80 1c 6d 1c d1 87 df 94 6f a4 5e 1c 58 94 5e 94 5e 94 d9 8b 94 5c 1c ae 94 6c 7e fe 96 97 97 c9 10 60 1c 40 a4 57 60 47 1c 5f 65 38 1e a5 1a d5 9f c5 c7 c4 68 85 cd 1e d5 93 1a e5 82 c5 c1 68 c5 93 cd a4 57 3b 13 57 e2 6e a4 5e 1d 99 13 5e e3 9e c5 c1 c4 68 85 cd 3c 75 7f d1 c5 c1 68 c5 93 cd 1c 4f a4 57 3b 13 57 e2 6e a4 5e 1d 99 17 6e 95 e3 9e c5 } //1
$a_01_2 = {c1 c4 68 85 cd 3c 75 70 a4 57 c7 d7 c7 d7 c7 68 c0 7f 04 fd 87 c1 c4 68 c0 7b fd 95 c4 68 c0 67 a4 57 c0 c7 27 9b 3c cf 3c d7 3c c8 df c7 c0 c1 3a c1 68 c0 57 df c7 c0 3a c1 3a c1 68 c0 57 df 27 d3 1e 90 c0 68 c0 53 a4 57 1c d1 63 1e d0 ab 1e d0 d7 1c 91 1e d0 af a4 57 f1 2f 96 96 1e d0 bb c0 c0 a4 57 c7 c7 c7 d7 c7 df c7 c7 3a c1 a4 57 c7 68 c0 5f 68 e1 67 68 c0 5b 68 e1 6b 68 c0 5b df c7 c7 c4 68 c0 63 1c 4f a4 57 23 93 c7 56 7f 93 c7 68 c0 43 1c 67 a4 57 1c 5f 22 93 c7 c7 } //1
$a_01_3 = {c0 c6 c1 68 e0 3f 68 c0 47 14 a8 96 eb b5 a4 57 c7 c0 68 a0 c1 68 e0 3f 68 c0 4b 9c 57 e3 b8 a4 57 c7 68 a0 c1 c4 68 c0 6f fd c7 68 c0 77 7c 5f a4 57 c7 23 93 c7 c1 c4 68 c0 6b c0 a4 5e c6 c7 c1 68 e0 3b 68 c0 4f fd c7 68 c0 77 7c 3d c7 68 c0 73 7c 69 cf c7 1e d5 65 54 1c d3 b3 9b 92 2f 97 97 97 50 97 ef c1 a3 85 a4 57 54 7c 7b 7f 75 6a 68 68 7f 05 69 68 68 dc c1 70 e0 b4 17 70 e0 db f8 f6 f3 db fe f5 e5 f6 e5 ee d6 97 dc d2 c5 d9 d2 db a4 a5 97 d4 e5 f2 f6 e3 f2 c7 fe e7 f2 } //1
$a_01_4 = {97 d0 f2 e3 c4 e3 f6 e5 e3 e2 e7 de f9 f1 f8 d6 97 d4 e5 f2 f6 e3 f2 c7 e5 f8 f4 f2 e4 e4 d6 97 d4 fb f8 e4 f2 df f6 f9 f3 fb f2 97 c7 f2 f2 fc d9 f6 fa f2 f3 c7 fe e7 f2 97 d0 fb f8 f5 f6 fb d6 fb fb f8 f4 97 c0 e5 fe e3 f2 d1 fe fb f2 97 c5 f2 f6 f3 d1 fe fb f2 97 c4 fb f2 f2 e7 97 d2 ef fe e3 c7 e5 f8 f4 f2 e4 e4 97 97 c0 c4 d8 d4 dc a4 a5 97 e4 f8 f4 fc f2 e3 97 f5 fe f9 f3 97 fb fe e4 e3 f2 f9 97 f6 f4 f4 f2 e7 e3 97 e4 f2 f9 f3 97 e5 f2 f4 e1 97 95 97 89 fb 97 97 97 97 97 97 97 97 97 97 97 97 f4 fa f3 b9 f2 ef f2 97 68 68 68 68 } //1
$a_01_5 = {90 83 eb 7e 90 83 eb 7e 90 83 eb 7e 90 83 eb 7e 90 83 eb 7e 90 83 eb 7e 90 83 eb 50 90 83 eb 50 90 8b e3 90 90 90 90 90 58 83 c0 64 90 8b e0 90 90 90 90 90 58 50 c3 } //1
$a_01_6 = {47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 } //1 GET %s HTTP/1.0
$a_01_7 = {2f 63 67 69 2d 62 69 6e 2f } //1 /cgi-bin/
condition:
((#a_01_0 & 1)*1+(#a_01_1 & 1)*1+(#a_01_2 & 1)*1+(#a_01_3 & 1)*1+(#a_01_4 & 1)*1+(#a_01_5 & 1)*1+(#a_01_6 & 1)*1+(#a_01_7 & 1)*1) >=8
}
Reference in New Issue View Git Blame Copy Permalink