qwqdanchun
/
DefenderYara
mirror of https://github.com/qwqdanchun/DefenderYara.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
DefenderYara/TrojanDownloader/O97M/Dridex/TrojanDownloader_O97M_Dride...

32 lines
5.1 KiB
Plaintext
Raw Blame History

rule TrojanDownloader_O97M_Dridex_RVB_MTB{
meta:
description = "TrojanDownloader:O97M/Dridex.RVB!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,02 00 02 00 02 00 00 02 00 "
strings :
$a_01_0 = {70 72 6f 63 65 73 73 20 63 61 6c 6c 20 63 72 65 61 74 65 20 22 6d 73 68 74 61 2e 65 78 65 20 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 46 6a 45 4b 56 4f 54 72 47 4d 66 43 70 61 45 66 50 54 79 2e 72 74 66 22 } //01 00
$a_03_1 = {70 72 6f 63 65 73 73 20 63 61 6c 6c 20 63 72 65 61 74 65 20 22 6d 73 68 74 61 2e 65 78 65 20 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 90 02 19 2e 72 74 66 22 90 00 } //00 00
$a_00_2 = {8f } //7c 05
condition:
any of ($a_*)
}
rule TrojanDownloader_O97M_Dridex_RVB_MTB_2{
meta:
description = "TrojanDownloader:O97M/Dridex.RVB!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,01 00 01 00 0a 00 00 01 00 "
strings :
$a_01_0 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 4f 65 55 5a 4d 70 3a 2f 2f 63 6c 69 65 6e 74 4f 65 55 5a 4d 70 65 31 33 2e 76 65 74 63 61 72 4f 65 55 5a 4d 70 65 62 61 4f 65 55 5a 4d 70 68 69 61 2e 63 6f 6d 2f 4f 65 55 5a 4d 70 6d 69 64 69 61 73 2f 61 6e 65 78 6f 73 2f 33 2f 34 2f 30 57 66 47 63 38 4f 65 55 5a 4d 70 33 48 30 59 2e 70 68 70 22 2c 20 22 4f 65 55 5a 4d 70 22 2c 20 22 22 29 } //01 00
$a_01_1 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 49 75 6b 65 29 49 75 6b 65 29 2f 2f 76 75 6c 6b 61 6e 76 65 67 61 73 62 49 75 6b 65 29 6f 6e 75 73 2e 6e 49 75 6b 65 29 61 6e 6f 64 61 74 6f 73 2e 63 6c 2f 63 73 73 2f 70 68 45 38 49 75 6b 65 29 79 5a 4f 69 55 2e 70 68 49 75 6b 65 29 50 22 2c 20 22 49 75 6b 65 29 22 2c 20 22 22 29 } //01 00
$a_01_2 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 67 72 61 6e 64 76 69 6c 61 66 6f 72 6d 6f 73 61 2e 63 6f 6d 4e 4f 75 78 67 63 2f 4e 4f 75 78 67 63 77 70 2d 63 6f 6e 74 65 6e 4e 4f 75 78 67 63 74 2f 70 6c 75 67 69 6e 73 4e 4f 75 78 67 63 2f 77 6f 4e 4f 75 78 67 63 72 64 70 72 65 73 73 2d 73 65 6f 2f 63 73 73 2f 64 69 73 4e 4f 75 78 67 63 74 2f 79 39 4f 64 30 55 61 42 65 57 5a 31 2e 70 68 70 22 2c 20 22 4e 4f 75 78 67 63 22 2c 20 22 22 29 } //01 00
$a_01_3 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 6d 61 69 6e 2e 62 67 73 72 2e 73 69 74 65 2f 77 70 2d 72 52 3a 2f 21 69 6e 63 6c 75 64 65 73 2f 73 6f 64 69 75 6d 5f 63 6f 6d 72 52 3a 2f 21 70 61 74 72 52 3a 2f 21 2f 73 72 63 2f 43 6f 72 65 33 32 2f 43 68 61 72 52 3a 2f 21 43 68 61 32 30 2f 64 36 38 54 6f 75 33 75 69 31 52 6f 55 41 2e 70 68 70 22 2c 20 22 72 52 3a 2f 21 22 2c 20 22 22 29 } //01 00
$a_01_4 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 73 69 74 69 6f 6d 6f 72 4b 6c 72 2d 2b 61 64 61 64 6f 73 61 6e 6a 6f 73 2e 63 6f 6d 2e 62 72 2f 73 69 74 65 2f 77 61 5f 4b 6c 72 2d 2b 70 5f 61 6c 62 75 6d 73 2f 70 5f 61 6c 62 75 6d 5f 6a 4b 6c 72 2d 2b 75 61 35 74 61 6d 38 30 2f 6a 75 61 35 72 63 62 33 62 7a 4b 6c 72 2d 2b 38 78 35 73 2f 74 68 75 6d 62 2f 4b 6c 72 2d 2b 47 78 62 46 5a 69 4b 49 58 77 46 56 2e 70 68 70 22 2c 20 22 4b 6c 72 2d 2b 22 2c 20 22 22 29 } //01 00
$a_01_5 = {52 65 70 6c 61 63 65 28 22 68 74 74 4f 63 56 5e 4b 54 69 70 73 3a 2f 2f 63 65 6e 74 72 61 6c 2e 67 61 6e 68 61 74 65 6d 70 6f 4f 63 56 5e 4b 54 69 2e 63 6f 6d 2f 74 70 6c 2f 69 6d 4f 63 56 5e 4b 54 69 4f 63 56 5e 4b 54 69 67 2f 62 72 61 6e 64 73 2f 54 4d 6a 6c 62 4f 63 56 5e 4b 54 69 74 4d 78 2e 70 68 70 22 2c 20 22 4f 63 56 5e 4b 54 69 22 2c 20 22 22 29 } //01 00
$a_01_6 = {52 65 70 6c 61 63 65 28 22 79 74 65 36 3b 68 74 74 70 73 3a 2f 2f 61 72 61 62 69 63 74 76 2e 6d 6c 2f 63 61 74 61 6c 6f 67 2f 63 6f 6e 74 72 6f 6c 79 74 65 36 3b 6c 65 72 2f 70 61 79 6d 65 6e 74 2f 6d 6f 6c 6c 69 65 2d 61 70 69 2d 63 6c 69 65 6e 74 2f 62 75 69 6c 64 2f 59 53 30 4c 66 45 78 50 63 37 4d 4a 55 33 2e 70 68 70 22 2c 20 22 79 74 65 36 3b 22 2c 20 22 22 29 } //01 00
$a_01_7 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 66 6f 72 62 65 73 6c 65 67 61 6c 67 25 43 43 46 59 70 6f 77 65 72 6c 69 73 74 32 30 67 25 43 43 46 59 32 30 2e 67 25 43 43 46 59 63 6f 6d 2f 69 6d 67 67 25 43 43 46 59 2f 69 63 6f 6e 73 2f 75 33 42 59 42 6a 65 61 62 74 67 25 43 43 46 59 4d 78 2e 70 68 70 22 2c 20 22 67 25 43 43 46 59 22 2c 20 22 22 29 } //01 00
$a_01_8 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 77 6f 72 64 70 72 65 73 73 2e 67 72 65 65 6b 73 74 72 61 64 69 6e 67 2e 63 6f 6d 2f 77 70 2d 63 6f 6e 74 65 6e 74 2f 70 6c 75 67 69 6e 73 2f 6d 65 67 61 6d 65 6e 75 2f 69 6e 74 65 67 25 6f 53 29 49 61 47 72 61 74 69 25 6f 53 29 49 61 47 6f 6e 2f 74 77 65 6e 74 79 73 65 76 65 6e 74 65 65 25 6f 53 29 49 61 47 6e 2f 62 66 43 5a 55 69 7a 5a 57 68 39 73 45 69 6d 2e 70 68 70 22 2c 20 22 25 6f 53 29 49 61 47 22 2c 20 22 22 29 } //01 00
$a_01_9 = {52 65 70 6c 61 63 65 28 22 68 74 74 70 73 3a 2f 2f 77 6f 2f 6b 53 73 78 6f 21 72 2f 6b 53 73 78 6f 21 64 70 72 65 73 73 2e 67 72 65 65 6b 73 74 72 61 64 69 6e 67 2e 63 6f 6d 2f 77 70 2d 63 6f 6e 74 65 6e 74 2f 70 6c 75 67 69 6e 73 2f 6d 65 67 61 6d 65 6e 75 2f 2f 6b 53 73 78 6f 21 69 6e 74 65 67 72 61 74 69 6f 6e 2f 74 77 65 6e 74 79 73 65 76 65 6e 74 65 65 6e 2f 62 66 43 5a 55 69 7a 5a 57 68 39 73 45 69 6d 2f 6b 53 73 78 6f 21 2e 70 68 70 22 2c 20 22 2f 6b 53 73 78 6f 21 22 2c 20 22 22 29 } //00 00
condition:
any of ($a_*)
}
Reference in New Issue View Git Blame Copy Permalink