11 lines
411 B
Plaintext
11 lines
411 B
Plaintext
|
|
rule TrojanSpy_Win32_Broler_RC_dha{
|
|
meta:
|
|
description = "TrojanSpy:Win32/Broler.RC!dha,SIGNATURE_TYPE_PEHSTR_EXT,01 00 01 00 01 00 00 "
|
|
|
|
strings :
|
|
$a_02_0 = {2b fe c7 45 ?? ?? ?? ?? ?? 6a ?? 6a ?? 6a ?? e8 ?? ?? ?? ?? 8b 45 ?? 32 04 37 6a ?? 6a ?? 6a ?? 88 06 e8 ?? ?? ?? ?? 8b 45 ?? 6a ?? c1 e0 ?? 6a ?? 89 45 ?? 6a ?? e8 ?? ?? ?? ?? 8b 45 ?? 6a ?? c1 e8 } //1
|
|
condition:
|
|
((#a_02_0 & 1)*1) >=1
|
|
|
|
} |