17 lines
1.1 KiB
Plaintext
17 lines
1.1 KiB
Plaintext
|
|
rule Worm_Win32_Nimda_Q{
|
|
meta:
|
|
description = "Worm:Win32/Nimda.Q,SIGNATURE_TYPE_PEHSTR,07 00 07 00 07 00 00 01 00 "
|
|
|
|
strings :
|
|
$a_01_0 = {62 6f 75 6e 64 61 72 79 3d 22 3d 3d 3d 3d 5f 41 42 43 31 32 33 34 35 36 6a 37 38 39 30 44 45 46 5f 3d 3d 3d 3d } //01 00
|
|
$a_01_1 = {3c 69 66 72 61 6d 65 20 73 72 63 3d 33 44 63 69 64 3a 45 41 34 44 4d 47 42 50 39 70 20 68 65 69 67 68 74 3d 33 44 30 20 77 69 64 74 68 3d 33 44 30 3e } //01 00
|
|
$a_01_2 = {2f 6d 73 61 64 63 2f 2e 2e 25 32 35 35 63 2e 2e 2f 2e 2e 25 32 35 35 63 2e 2e 2f 2e 2e 25 32 35 35 63 2f 2e 2e 25 63 31 25 31 63 2e 2e 2f 2e 2e 25 63 31 25 31 63 2e 2e 2f 2e 2e 25 63 31 25 31 63 2e 2e } //01 00
|
|
$a_01_3 = {74 66 74 70 25 25 32 30 2d 69 25 25 32 30 25 73 25 25 32 30 47 45 54 25 25 32 30 } //01 00
|
|
$a_01_4 = {2f 5f 76 74 69 5f 62 69 6e 2f 2e 2e 25 32 35 35 63 2e 2e 2f 2e 2e 25 32 35 35 63 2e 2e 2f 2e 2e 25 32 35 35 63 2e 2e } //01 00
|
|
$a_01_5 = {2d 64 6f 6e 74 72 75 6e 6f 6c 64 } //01 00
|
|
$a_01_6 = {68 74 74 70 3a 2f 2f 6d 65 6d 62 65 72 73 2e 78 6f 6f 6d 2e 63 6f 6d 2f 6d 35 33 67 72 6f 75 70 } //00 00
|
|
condition:
|
|
any of ($a_*)
|
|
|
|
} |