14 lines
1.1 KiB
Plaintext
14 lines
1.1 KiB
Plaintext
|
|
rule VirTool_Win64_Dilenesz_A_MTB{
|
|
meta:
|
|
description = "VirTool:Win64/Dilenesz.A!MTB,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {41 8b f4 ff 15 ?? ?? ?? ?? 48 8b f8 48 85 c0 74 77 48 8d ?? ?? ?? ?? ?? 48 8b c8 ff 15 ?? ?? ?? ?? 48 8d ?? ?? ?? ?? ?? 48 8b cf 48 8b d8 ff 15 ?? ?? ?? ?? 4c ?? ?? ?? ?? 45 33 c0 48 8d } //1
|
|
$a_03_1 = {4d 89 32 4d 8b c5 4c 89 64 24 20 48 8b d3 48 8b cf ff 15 ?? ?? ?? ?? 48 8b d3 48 8d ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 41 b9 14 01 00 00 4c 89 64 24 20 4c 8d ?? ?? ?? ?? ?? 48 8b cf 48 8d ?? ?? ?? ?? ?? ff 15 ?? ?? ?? ?? 48 8d ?? ?? ?? ?? ?? 48 8d ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? b9 20 00 00 00 4c 89 64 24 58 48 89 5c 24 50 48 89 74 24 48 e8 c9 } //1
|
|
$a_03_2 = {48 8b f8 e8 ?? ?? ?? ?? 48 8b d6 48 8b cf e8 ?? ?? ?? ?? 33 d2 c7 44 24 20 40 00 00 00 41 b9 00 30 00 00 41 b8 4a 01 00 00 48 8b cf ff 15 ?? ?? ?? ?? 48 8d } //1
|
|
$a_03_3 = {8b 85 94 00 00 00 49 8b d6 89 05 2b 07 02 00 48 89 1d 11 07 02 00 4c 89 64 24 20 48 8b cf ff 15 ?? ?? ?? ?? 49 8b d6 48 8d } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1+(#a_03_3 & 1)*1) >=4
|
|
|
|
} |