15 lines
1.6 KiB
Plaintext
15 lines
1.6 KiB
Plaintext
|
|
rule Worm_DOS_Victy_A{
|
|
meta:
|
|
description = "Worm:DOS/Victy.A,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {46 49 4c 45 43 4f 50 59 20 28 20 40 55 53 45 52 50 52 4f 46 49 4c 45 44 49 52 20 26 20 22 5c 61 75 74 6f 72 75 6e 2e 69 6e 66 22 20 2c 20 24 56 4f 4c 55 4d 45 20 26 20 22 5c 61 75 74 6f 72 75 6e 2e 69 6e 66 22 20 2c 20 31 20 29 } //01 00 FILECOPY ( @USERPROFILEDIR & "\autorun.inf" , $VOLUME & "\autorun.inf" , 1 )
|
|
$a_03_1 = {49 46 20 46 49 4c 45 47 45 54 53 49 5a 45 20 28 20 24 53 55 42 44 49 52 20 26 20 22 2e 65 78 65 22 20 29 20 3c 3e 20 24 49 4e 49 54 53 49 5a 45 20 54 48 45 4e 20 46 49 4c 45 43 4f 50 59 20 28 20 40 53 54 41 52 54 55 50 44 49 52 20 26 20 22 5c 90 02 0a 2e 65 78 65 22 20 2c 20 24 53 55 42 44 49 52 20 26 20 22 2e 65 78 65 22 20 2c 20 31 20 29 90 00 } //01 00
|
|
$a_03_2 = {52 45 47 57 52 49 54 45 20 28 20 22 48 4b 45 59 5f 43 55 52 52 45 4e 54 5f 55 53 45 52 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 52 75 6e 22 20 2c 20 22 4b 49 4c 4c 22 20 2c 20 22 52 45 47 5f 53 5a 22 20 2c 20 40 53 54 41 52 54 55 50 44 49 52 20 26 20 22 5c 90 02 0a 2e 65 78 65 22 20 29 90 00 } //01 00
|
|
$a_01_3 = {49 46 20 24 53 4c 4f 54 2e 49 6e 74 65 72 66 61 63 65 54 79 70 65 20 3d 20 22 55 53 42 22 20 54 48 45 4e 20 53 50 52 45 41 44 20 28 20 24 4d 41 50 56 4f 4c 20 2c 20 24 53 4c 4f 54 2e 50 4e 50 64 65 76 69 63 65 49 44 20 29 } //00 00 IF $SLOT.InterfaceType = "USB" THEN SPREAD ( $MAPVOL , $SLOT.PNPdeviceID )
|
|
$a_00_4 = {5d 04 } //00 00 ѝ
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |