12 lines
689 B
Plaintext
12 lines
689 B
Plaintext
|
|
rule VirTool_BAT_CryptInject_YU_MTB{
|
|
meta:
|
|
description = "VirTool:BAT/CryptInject.YU!MTB,SIGNATURE_TYPE_PEHSTR_EXT,02 00 02 00 02 00 00 "
|
|
|
|
strings :
|
|
$a_02_0 = {00 06 0a 06 7b ?? ?? ?? 04 14 fe 01 0d 09 ?? ?? 00 06 7b ?? ?? ?? 04 28 ?? ?? ?? 06 13 04 06 11 04 28 ?? ?? ?? 06 28 ?? ?? ?? 06 7d ?? ?? ?? 04 00 06 7b ?? ?? ?? 04 28 ?? ?? ?? 0a 0b 07 14 72 ?? ?? ?? 70 16 8d ?? ?? ?? 01 14 14 28 ?? ?? ?? 0a 0c 08 14 72 ?? ?? ?? 70 18 8d ?? ?? ?? 01 14 14 28 ?? ?? ?? 0a 26 2a } //1
|
|
$a_00_1 = {13 04 11 04 11 04 47 02 09 1f 10 5d 91 61 d2 52 00 09 17 d6 0d 09 08 fe 02 16 fe 01 13 05 11 05 2d d6 06 13 06 2b 00 11 06 2a } //1
|
|
condition:
|
|
((#a_02_0 & 1)*1+(#a_00_1 & 1)*1) >=2
|
|
|
|
} |