14 lines
1.3 KiB
Plaintext
14 lines
1.3 KiB
Plaintext
|
|
rule TrojanDownloader_O97M_Obfuse_MRV_MTB{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/Obfuse.MRV!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,04 00 04 00 04 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {6e 5f 5f 5f 64 20 3d 20 43 68 72 28 73 61 20 2d 20 32 30 30 29 } //01 00 n___d = Chr(sa - 200)
|
|
$a_01_1 = {6e 5f 5f 5f 64 28 32 38 37 29 20 26 20 6e 5f 5f 5f 64 28 32 38 33 29 20 26 20 6e 5f 5f 5f 64 28 32 36 37 29 20 26 20 6e 5f 5f 5f 64 28 33 31 34 29 20 26 20 6e 5f 5f 5f 64 28 33 30 35 29 20 26 20 6e 5f 5f 5f 64 28 33 31 32 29 20 26 20 6e 5f 5f 5f 64 28 32 38 34 29 20 26 20 6e 5f 5f 5f 64 28 32 34 36 29 20 26 20 6e 5f 5f 5f 64 28 33 31 35 29 20 26 20 6e 5f 5f 5f 64 28 32 37 32 29 20 26 20 6e 5f 5f 5f 64 28 32 36 39 29 20 26 20 6e 5f 5f 5f 64 28 33 30 38 29 20 26 20 6e 5f 5f 5f 64 28 32 37 36 29 } //01 00 n___d(287) & n___d(283) & n___d(267) & n___d(314) & n___d(305) & n___d(312) & n___d(284) & n___d(246) & n___d(315) & n___d(272) & n___d(269) & n___d(308) & n___d(276)
|
|
$a_01_2 = {66 64 67 73 64 65 72 20 3d 20 32 32 0d 0a 4f 6e 20 45 72 72 6f 72 20 52 65 73 75 6d 65 20 4e 65 78 74 } //01 00
|
|
$a_01_3 = {73 64 69 75 61 66 68 75 70 69 66 20 3d 20 22 64 61 73 6b 66 6a 64 6f 61 73 69 20 64 66 69 61 73 75 73 20 64 73 61 38 39 64 73 66 38 73 61 66 75 22 } //00 00 sdiuafhupif = "daskfjdoasi dfiasus dsa89dsf8safu"
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |