14 lines
896 B
Plaintext
14 lines
896 B
Plaintext
|
|
rule Backdoor_Win32_Refpron_E{
|
|
meta:
|
|
description = "Backdoor:Win32/Refpron.E,SIGNATURE_TYPE_PEHSTR_EXT,28 00 28 00 04 00 00 0a 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {56 62 42 45 36 6c 35 4f 55 6a 55 4c 45 33 52 4b 43 71 45 55 50 70 67 6f 64 35 48 79 39 63 36 71 68 4e 35 6e 58 75 34 66 43 52 38 65 38 72 49 72 4f 6e 49 6a 62 5a 34 58 7a 33 5a 36 4a 66 71 52 79 64 6e 42 6d 32 43 48 2b 44 62 57 7a 36 48 00 ff ff ff ff 12 00 00 00 57 61 72 6e 4f 6e 5a 6f 6e 65 43 72 6f 73 73 69 6e 67 00 00 ff ff ff ff 12 00 00 00 57 61 72 6e 4f 6e 50 6f 73 74 52 65 64 69 72 65 63 74 00 00 } //0a 00
|
|
$a_00_1 = {6e 65 74 73 74 61 74 20 2d 61 20 2d 6e 20 2d 70 20 74 63 70 20 7c 20 66 69 6e 64 73 74 72 20 4c 49 53 54 45 4e 49 4e 47 00 } //0a 00
|
|
$a_00_2 = {57 61 72 6e 6f 6e 42 61 64 43 65 72 74 52 65 63 76 69 6e 67 00 } //0a 00
|
|
$a_00_3 = {53 65 78 6d 65 3a } //00 00 Sexme:
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |