18 lines
1.8 KiB
Plaintext
18 lines
1.8 KiB
Plaintext
|
|
rule TrojanDownloader_O97M_Ursnif_VI_MTB{
|
|
meta:
|
|
description = "TrojanDownloader:O97M/Ursnif.VI!MTB,SIGNATURE_TYPE_MACROHSTR_EXT,08 00 08 00 08 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {6c 37 37 5a 36 39 75 34 36 6b 38 32 62 37 33 70 37 30 7a 34 30 69 33 34 68 31 30 39 33 34 56 35 39 48 35 37 69 34 38 46 34 31 52 31 30 36 37 38 66 37 39 4e 37 37 65 36 39 51 34 36 55 38 32 75 37 33 69 37 30 67 34 30 61 33 34 73 36 38 70 33 } //01 00
|
|
$a_01_1 = {34 4d 35 39 69 33 34 47 39 32 4d 33 34 49 34 31 55 31 30 36 37 38 58 37 39 6d 37 37 48 36 39 4a 34 36 53 38 32 63 37 33 58 37 30 41 34 30 51 33 34 6a 31 31 32 33 34 44 35 39 57 33 34 51 34 38 } //01 00
|
|
$a_01_2 = {47 33 34 6d 34 31 76 31 30 36 37 38 76 37 39 74 37 37 79 36 39 6a 34 36 63 38 32 6b 37 33 4f 37 30 62 34 30 61 33 34 71 37 35 75 33 34 78 35 39 6f 33 34 4e 31 31 39 33 34 64 34 31 56 31 30 36 37 38 46 37 39 6e 37 37 71 36 39 4b 34 36 6e 38 } //01 00
|
|
$a_01_3 = {37 39 4e 37 37 48 36 39 5a 34 36 49 38 32 66 37 33 50 37 30 5a 34 30 66 33 34 62 31 30 34 33 34 6e 35 39 45 33 34 54 31 31 30 33 34 61 34 31 63 31 30 36 37 38 6c 37 39 4a 37 37 45 36 39 68 34 } //01 00
|
|
$a_01_4 = {36 6a 38 32 51 37 33 57 37 30 70 34 30 78 33 34 6e 37 36 53 33 34 4f 35 39 4f 37 33 4e 37 38 53 36 38 44 37 33 4a 36 37 52 36 39 68 34 30 49 38 } //01 00
|
|
$a_01_5 = {55 37 33 4a 37 30 64 34 30 55 33 34 4b 31 30 35 31 30 32 33 34 59 35 39 6a 36 37 52 37 39 52 36 38 45 37 33 45 36 37 67 36 39 6f 34 36 42 36 37 } //01 00
|
|
$a_01_6 = {64 36 35 77 38 32 63 36 35 41 38 34 53 38 34 65 34 30 53 34 39 50 34 39 4a 35 33 63 34 31 5a 34 31 76 31 30 36 37 38 66 37 39 71 37 37 77 36 39 } //01 00
|
|
$a_01_7 = {73 34 36 44 38 32 55 37 33 56 37 30 72 34 30 73 33 34 43 38 36 5a 33 34 47 35 39 6b 33 34 41 39 37 67 33 34 6d 34 31 47 31 30 36 37 38 4f 37 39 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |