16 lines
868 B
Plaintext
16 lines
868 B
Plaintext
|
|
rule Worm_Win32_Mocon_A{
|
|
meta:
|
|
description = "Worm:Win32/Mocon.A,SIGNATURE_TYPE_PEHSTR_EXT,29 00 28 00 06 00 00 0a 00 "
|
|
|
|
strings :
|
|
$a_00_0 = {5b 41 75 74 6f 52 75 6e 5d } //0a 00
|
|
$a_00_1 = {5c 61 75 74 6f 72 75 6e 2e 69 6e 66 } //0a 00
|
|
$a_02_2 = {6f 70 65 6e 3d 90 02 10 2e 65 78 65 90 00 } //0a 00
|
|
$a_02_3 = {3c 66 6f 72 6d 20 6e 61 6d 65 3d 6b 20 6d 65 74 68 6f 64 3d 70 6f 73 74 20 61 63 74 69 6f 6e 3d 22 68 74 74 70 3a 2f 2f 77 77 77 2e 90 02 20 2e 75 65 75 6f 2e 63 6f 6d 2f 90 02 10 2e 70 68 70 22 3e 3c 69 6e 70 75 74 20 74 79 70 65 3d 68 69 64 64 65 6e 20 6e 61 6d 65 3d 64 65 20 76 61 6c 75 65 3d 22 22 3e 3c 74 65 78 74 61 72 65 61 20 6e 61 6d 65 3d 74 65 78 74 6f 3e 90 00 } //01 00
|
|
$a_00_4 = {2f 63 73 73 72 73 2e 65 78 65 } //01 00
|
|
$a_00_5 = {61 74 74 72 69 62 20 2b 68 20 2b 73 20 2b 72 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |