17 lines
841 B
Plaintext
17 lines
841 B
Plaintext
|
|
rule TrojanSpy_Win32_Bimagip_A{
|
|
meta:
|
|
description = "TrojanSpy:Win32/Bimagip.A,SIGNATURE_TYPE_PEHSTR_EXT,07 00 07 00 07 00 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {63 6f 6c 6f 73 6f 73 2e 62 61 74 00 } //1
|
|
$a_01_1 = {42 4d 47 41 50 50 00 } //1
|
|
$a_01_2 = {41 53 6b 79 6c 69 6e 65 2e 65 78 65 00 } //1
|
|
$a_03_3 = {4f 70 74 69 6f 6e 73 2e 64 61 74 ?? ?? ?? ?? ?? ?? ?? ?? ?? 2e 61 73 7a 00 } //1
|
|
$a_03_4 = {63 3a 5c 69 6e 73 69 64 65 74 6d ?? ?? ?? ?? ?? ?? ?? ?? ?? 43 3a 5c 61 6e 61 6c 79 73 69 73 00 } //1
|
|
$a_01_5 = {6a 6f 65 62 6f 78 63 6f 6e 74 72 6f 6c 2e 65 78 65 00 } //1
|
|
$a_03_6 = {64 69 72 5f 77 61 74 63 68 2e 64 6c 6c ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 75 73 65 72 6e 61 6d 65 00 } //1
|
|
condition:
|
|
((#a_01_0 & 1)*1+(#a_01_1 & 1)*1+(#a_01_2 & 1)*1+(#a_03_3 & 1)*1+(#a_03_4 & 1)*1+(#a_01_5 & 1)*1+(#a_03_6 & 1)*1) >=7
|
|
|
|
} |