13 lines
1017 B
Plaintext
13 lines
1017 B
Plaintext
|
|
rule TrojanSpy_Win32_Banker_XE{
|
|
meta:
|
|
description = "TrojanSpy:Win32/Banker.XE,SIGNATURE_TYPE_PEHSTR_EXT,03 00 03 00 03 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {ff 8b 4d f8 b2 01 a1 ?? ?? ?? ?? e8 ?? 01 00 00 a3 ?? ?? ?? ?? 8d 55 f4 b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 45 f4 50 68 ?? ?? ?? ?? 8d 55 f0 b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 4d f0 b2 01 a1 ?? ?? ?? ?? e8 ?? 01 00 00 a3 ?? ?? ?? ?? 33 c0 5a } //1
|
|
$a_03_1 = {74 4c 8d 55 f8 b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 45 f8 e8 ?? ?? ?? ?? 50 a1 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? a3 ?? ?? ?? ?? 8d 55 f4 b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 45 f4 e8 ?? ?? ?? ?? 50 a1 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? a3 ?? ?? ?? ?? 33 c0 5a } //1
|
|
$a_03_2 = {8b 45 f0 50 8d 55 e8 b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 45 e8 5a e8 ?? ?? ?? ?? 85 c0 0f 8f ?? 00 00 00 8d 45 e0 8b 53 04 e8 ?? ?? ?? ?? 8b 45 e0 8d 55 e4 e8 ?? ?? ?? ?? 8b 45 e4 50 8d 55 dc b8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8b 45 dc 5a e8 ?? ?? ?? ?? 85 c0 (0f|7f) } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1) >=3
|
|
|
|
} |