13 lines
1006 B
Plaintext
13 lines
1006 B
Plaintext
|
|
rule VirTool_Win64_Mortar_C{
|
|
meta:
|
|
description = "VirTool:Win64/Mortar.C,SIGNATURE_TYPE_PEHSTR_EXT,03 00 03 00 03 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {48 8b 4d e0 e8 ?? ?? ?? ?? 48 8b 55 e0 8b 45 d8 48 c1 e0 0a 8b 4d dc 48 8d ?? ?? ?? 8b 55 c8 89 14 88 48 8b 55 e0 8b 45 d8 48 c1 e0 0a 48 63 4d dc 48 8d ?? ?? ?? 8b 55 cc 89 14 88 83 45 dc 02 81 7d dc ff 00 00 00 ?? ?? 83 7d d8 03 ?? ?? 48 c7 45 c0 01 00 00 00 48 83 7d e0 00 ?? ?? 48 83 7d e8 00 ?? ?? 48 8b 4d e0 48 8b 45 e0 48 8b 00 ff ?? 88 00 00 00 } //1
|
|
$a_03_1 = {48 8b 55 f8 48 8b 4d e0 e8 ?? ?? ?? ?? 48 8b 4d e0 48 8b 45 e0 48 8b 00 ff ?? e0 00 00 00 48 85 c0 ?? ?? 48 8b 4d e0 48 8b 45 e0 48 8b 00 ff ?? e0 00 00 00 48 89 c2 48 8d ?? ?? 45 31 c0 } //1
|
|
$a_03_2 = {53 56 48 8d ?? ?? ?? 48 89 cb 40 30 f6 48 c7 44 24 20 00 00 00 00 e8 ?? ?? ?? ?? 48 89 c1 4c 8d ?? ?? ?? 48 89 da 41 b9 10 00 00 00 e8 ?? ?? ?? ?? 85 c0 0f 84 ?? ?? ?? ?? 0f 1f 00 31 d2 41 b2 01 } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1) >=3
|
|
|
|
} |