13 lines
1.2 KiB
Plaintext
13 lines
1.2 KiB
Plaintext
|
|
rule VirTool_Win64_RoguePot_A{
|
|
meta:
|
|
description = "VirTool:Win64/RoguePot.A,SIGNATURE_TYPE_PEHSTR_EXT,03 00 03 00 03 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {45 33 c9 89 5d 20 ?? ?? ?? ?? 45 33 c0 48 8b cf 48 89 44 24 20 ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 8b 45 20 85 c0 ?? ?? ?? ?? ?? ?? 8b c8 e8 ?? ?? ?? ?? 44 8b 4d 20 48 8b f0 ?? ?? ?? ?? 4c 8b c6 ba 01 00 00 00 48 89 44 24 20 48 8b cf ff ?? ?? ?? ?? ?? 48 8b 16 48 8b 4d ?? ff ?? ?? ?? ?? ?? 48 8b ce 8b f8 e8 ?? ?? ?? ?? 48 8b 4d ?? e8 ?? ?? ?? ?? 85 ff ?? ?? ?? ?? ?? ?? 48 8b 4d 88 ff ?? ?? ?? ?? ?? 85 c0 } //1
|
|
$a_03_1 = {48 8b 4d 88 ?? ?? ?? ?? 48 89 44 24 28 41 b9 02 00 00 00 45 33 c0 c7 44 24 20 01 00 00 00 ba ff 01 0f 00 ff ?? ?? ?? ?? ?? 85 c0 ?? ?? ?? ?? ?? ?? 48 8b 4d 88 ?? ?? ?? ?? 48 89 44 24 28 41 b9 02 00 00 00 45 33 c0 c7 44 24 20 02 00 00 00 ba ff 01 0f 00 ff ?? ?? ?? ?? ?? 85 c0 } //1
|
|
$a_03_2 = {48 33 c4 48 89 84 24 ?? 00 00 00 33 c9 ff ?? ?? ?? ?? ?? 33 ff ?? ?? ?? ?? ?? 33 c9 48 89 7c 24 50 48 89 7c 24 48 ?? ?? ?? ff ?? ?? ?? ?? ?? 48 8b 4c 24 48 ?? ?? ?? ?? ?? 45 33 c0 ba 12 10 00 00 ff ?? ?? ?? ?? ?? 8d ?? ?? e8 ?? ?? ?? ?? 0f 57 c0 } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1) >=3
|
|
|
|
} |