12 lines
1014 B
Plaintext
12 lines
1014 B
Plaintext
|
|
rule Trojan_O97M_Encdoc_PRBA_MTB{
|
|
meta:
|
|
description = "Trojan:O97M/Encdoc.PRBA!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,02 00 02 00 02 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {28 22 66 79 66 2f 6f 73 73 22 29 [0-64] 3d 65 6e 76 69 72 6f 6e 24 28 22 74 65 6d 70 22 29 26 22 5c 22 26 [0-ff] 3d [0-20] 28 22 66 79 66 2f [0-50] 2f [0-30] 2f 78 78 78 30 30 3b 74 71 75 75 69 22 29 [0-0f] 2c [0-50] 2c 90 1b 00 2c 30 2c [0-30] 2c 22 6f 70 65 6e 22 2c 90 1b 00 2c 22 22 2c 76 62 6e 75 6c 6c 73 74 72 69 6e 67 2c 76 62 6e 6f 72 6d 61 6c 66 6f 63 75 73 65 6e 64 73 75 62 } //1
|
|
$a_03_1 = {73 75 62 77 6f 72 6b 62 6f 6f 6b 5f 6f 70 65 6e 28 29 [0-40] 28 65 6e 63 29 64 69 6d 76 2c 72 2c 74 65 6d 70 65 6e 63 3d 73 74 72 72 65 76 65 72 73 65 28 65 6e 63 29 66 6f 72 72 3d 31 74 6f 6c 65 6e 28 65 6e 63 29 76 3d 6d 69 64 28 65 6e 63 2c 72 2c 31 29 74 65 6d 70 3d 74 65 6d 70 26 63 68 72 28 61 73 63 28 76 29 2d 31 29 [0-30] 3d 74 65 6d 70 65 6e 64 66 75 6e 63 74 69 6f 6e } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1) >=2
|
|
|
|
} |