14 lines
900 B
Plaintext
14 lines
900 B
Plaintext
|
|
rule Worm_Win32_Vobfus_DP{
|
|
meta:
|
|
description = "Worm:Win32/Vobfus.DP,SIGNATURE_TYPE_PEHSTR_EXT,04 00 04 00 04 00 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {c1 e1 04 8b 45 ?? 8b 40 ?? 03 c8 ff 15 ?? ?? ?? ?? 8d 4d ?? 51 8b 15 ?? ?? ?? ?? 52 a1 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 8d 4d ?? 51 6a 00 ff 15 } //1
|
|
$a_03_1 = {c1 e0 04 8b 4d ?? 8b 49 ?? 03 c8 ff 15 ?? ?? ?? ?? 8d 55 ?? 52 a1 ?? ?? ?? ?? 50 8b 0d ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8d 55 ?? 52 6a 00 ff 15 ?? ?? ?? ?? 8b 85 ?? ?? ?? ?? 89 45 } //1
|
|
$a_03_2 = {b8 05 00 00 00 2b 41 ?? c1 e0 04 8b 4d ?? 8b 49 ?? 03 c8 ff 15 ?? ?? ?? ?? 8d 55 ?? 52 a1 ?? ?? ?? ?? 50 8b 0d ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 8d 55 ?? 52 6a 00 ff 15 } //1
|
|
$a_02_3 = {50 8d 45 e8 50 ff 15 ?? ?? ?? ?? 8b f0 68 ?? ?? ?? ?? 56 8b 0e ff 91 ?? ?? ?? ?? 3b c7 db e2 7d } //1
|
|
condition:
|
|
((#a_03_0 & 1)*1+(#a_03_1 & 1)*1+(#a_03_2 & 1)*1+(#a_02_3 & 1)*1) >=4
|
|
|
|
} |