12 lines
1.0 KiB
Plaintext
12 lines
1.0 KiB
Plaintext
|
|
rule TrojanDownloader_O97M_Powdow_DPK_MTB{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/Powdow.DPK!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,01 00 01 00 02 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {3d 73 68 65 6c 6c 28 22 63 6d 64 2f 63 63 65 72 74 75 74 69 6c 2e 65 78 65 2d 75 72 6c 63 61 63 68 65 2d 73 70 6c 69 74 2d 66 22 22 68 74 74 70 3a 2f 2f 31 38 35 2e 32 34 36 2e 32 32 30 2e 36 35 2f 90 02 03 2f 90 02 0f 2e 65 78 65 22 22 90 02 1f 2e 65 78 65 2e 65 78 65 26 26 90 1b 02 2e 65 78 65 2e 65 78 65 22 2c 76 62 68 69 64 65 29 65 6e 64 73 75 90 00 } //01 00
|
|
$a_03_1 = {3d 73 68 65 6c 6c 28 22 63 6d 64 2f 63 63 65 72 74 75 74 69 6c 2e 65 78 65 2d 75 72 6c 63 61 63 68 65 2d 73 70 6c 69 74 2d 66 22 22 68 74 74 70 3a 2f 2f 69 6e 73 74 72 75 69 6e 67 65 6e 69 65 72 69 61 2e 63 6f 6d 2f 70 72 6f 63 65 73 73 65 64 69 6e 76 6f 69 63 65 63 6f 70 79 2e 65 78 65 22 22 90 02 1f 2e 65 78 65 2e 65 78 65 26 26 90 1b 00 2e 65 78 65 2e 65 78 65 22 2c 76 62 68 69 64 65 29 65 6e 64 73 75 90 00 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |