13 lines
1.3 KiB
Plaintext
13 lines
1.3 KiB
Plaintext
|
|
rule TrojanDownloader_O97M_EncDoc_PABI_MTB{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/EncDoc.PABI!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,03 00 03 00 03 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_03_0 = {65 28 29 70 6f 6c 65 72 62 65 61 72 3d 22 61 73 64 32 65 66 77 32 61 32 33 64 78 6c 6c 33 32 32 64 32 73 78 64 7e 7e 21 21 40 7e 7e 61 73 6b 64 7e 7e 21 21 40 7e 7e 61 73 6b 64 2c 61 73 64 32 65 66 77 32 65 6c 6c 61 32 33 64 78 78 65 63 5f 7e 7e 21 21 40 7e 7e 61 73 21 40 24 24 6b 64 75 6e 64 7e 7e 21 21 40 7e 7e 61 73 6b 64 7e 7e 21 21 40 7e 7e 61 73 6b 64 22 22 33 31 32 33 61 73 64 32 65 66 77 32 21 64 61 64 77 32 21 21 61 64 64 61 32 65 64 69 61 73 6b 64 22 22 22 22 68 74 74 70 73 3a 2f 2f 62 69 74 62 75 63 6b 65 74 2e 6f 72 67 2f 21 61 70 69 2f 32 2e 30 2f 73 6e 69 70 70 65 74 73 2f 31 32 73 64 73 2f 90 02 08 2f 90 01 28 2f 66 69 6c 65 73 2f 73 6e 69 70 70 65 74 2e 74 78 74 90 00 } //01 00
|
|
$a_01_1 = {72 2c 22 7e 7e 21 21 40 7e 7e 61 73 21 40 24 24 6b 64 22 2c 22 72 22 29 70 6f 6c 65 72 62 65 61 72 3d 76 62 61 2e 72 65 70 6c 61 63 65 28 70 6f 6c 65 72 62 65 61 72 2c 22 61 32 33 64 78 22 2c 22 65 } //01 00
|
|
$a_01_2 = {3a 63 61 6c 6c 76 62 61 2e 73 68 65 6c 6c 40 28 22 72 75 6e 64 6c 6c 33 32 22 2b 22 22 2b 70 6f 6c 65 72 62 65 61 72 29 65 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |