11 lines
925 B
Plaintext
11 lines
925 B
Plaintext
|
|
rule TrojanDownloader_O97M_Bartallex_N{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/Bartallex.N,SIGNATURE_TYPE_MACROHSTR_EXT,01 00 01 00 01 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {46 6f 72 20 4b 53 52 44 79 52 6a 4f 72 61 45 64 6b 7a 6d 6b 20 3d 20 39 39 38 35 20 2d 20 26 48 32 36 45 31 20 54 6f 20 5f 0d 0a 31 33 37 38 31 20 2d 20 5f 0d 0a 26 48 33 35 35 37 0d 0a 49 66 20 5f 0d 0a 49 6e 53 74 72 28 20 5f 0d 0a 70 6d 4b 56 6c 73 64 62 44 42 65 42 42 45 74 7a 76 2c 20 43 68 72 28 4b 53 52 44 79 52 6a 4f 72 61 45 64 6b 7a 6d 6b 29 29 20 3d 20 5f 0d 0a 30 20 54 68 65 6e 20 48 71 6a 75 58 46 55 4a 66 7a 78 46 51 67 78 69 4a 66 69 74 70 52 74 49 51 6e 78 50 46 46 48 20 3d 20 48 71 6a 75 58 46 55 4a 66 7a 78 46 51 67 78 69 4a 66 69 74 70 52 74 49 51 6e 78 50 46 46 48 20 26 20 43 68 72 28 20 5f 0d 0a 4b 53 52 44 79 52 6a 4f 72 61 45 64 6b 7a 6d 6b 29 0d 0a 4e 65 78 74 20 5f } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |