16 lines
933 B
Plaintext
16 lines
933 B
Plaintext
|
|
rule TrojanSpy_Win32_Keylogger_CN{
|
|
meta:
|
|
description = "TrojanSpy:Win32/Keylogger.CN,SIGNATURE_TYPE_PEHSTR,2a 00 14 00 06 00 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {73 76 63 2e 63 6e 66 00 2f 25 73 2f 25 73 00 00 54 45 4d 50 00 } //1
|
|
$a_01_1 = {2e 65 78 65 20 72 75 6e 00 } //1
|
|
$a_01_2 = {25 73 5c 4b 45 59 5f 25 64 5f 25 30 2e 32 64 5f 25 30 2e 32 64 2e 4b 6c 67 00 } //10
|
|
$a_01_3 = {25 73 5c 53 43 52 5f 25 64 5f 25 30 2e 32 64 5f 25 30 2e 32 64 5f 25 30 2e 32 64 25 30 2e 32 64 25 30 2e 32 64 2e 53 6c 6d 00 } //10
|
|
$a_01_4 = {25 73 5c 57 41 56 5f 25 64 25 30 2e 32 64 25 30 2e 32 64 25 30 2e 32 64 25 30 2e 32 64 25 30 2e 32 64 2e 57 6c 6d 00 } //10
|
|
$a_01_5 = {25 73 5c 43 41 4d 5f 25 64 5f 25 30 2e 32 64 5f 25 30 2e 32 64 5f 25 30 2e 32 64 25 30 2e 32 64 25 30 2e 32 64 2e 43 6c 6d 00 } //10
|
|
condition:
|
|
((#a_01_0 & 1)*1+(#a_01_1 & 1)*1+(#a_01_2 & 1)*10+(#a_01_3 & 1)*10+(#a_01_4 & 1)*10+(#a_01_5 & 1)*10) >=20
|
|
|
|
} |