50 lines
1.7 KiB
Text
50 lines
1.7 KiB
Text
|
private rule EvilGnomeDevStrings {
|
||
|
meta:
|
||
|
copyright = "Intezer Labs"
|
||
|
author = "Intezer Labs"
|
||
|
reference = "https://www.intezer.com"
|
||
|
|
||
|
strings:
|
||
|
$s1 = "/media/data/work/Rostov"
|
||
|
$s2 = "spy/spy-source/spy-agent"
|
||
|
$s3 = "spy-binary/Linux/spy-agent-setup-linux.run"
|
||
|
$s4 = "spy-build/Linux/spy-agent"
|
||
|
condition:
|
||
|
1 of them
|
||
|
}
|
||
|
|
||
|
private rule EvilGnomeRC5Key {
|
||
|
meta:
|
||
|
copyright = "Intezer Labs"
|
||
|
author = "Intezer Labs"
|
||
|
reference = "https://www.intezer.com"
|
||
|
strings:
|
||
|
$k1 = "sdg62_AS.sa$die3"
|
||
|
condition:
|
||
|
all of them
|
||
|
}
|
||
|
|
||
|
private rule EvilGnomeIntezerVaccine
|
||
|
{
|
||
|
meta:
|
||
|
sha256 = "7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869"
|
||
|
strings:
|
||
|
$s1 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 77 }
|
||
|
$s2 = { 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? }
|
||
|
$s3 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? }
|
||
|
$s4 = { 41 ?? 41 ?? 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 }
|
||
|
|
||
|
condition:
|
||
|
all of them
|
||
|
}
|
||
|
|
||
|
rule EvilGnomeYara
|
||
|
{
|
||
|
meta:
|
||
|
copyright = "Intezer Labs"
|
||
|
author = "Intezer Labs"
|
||
|
reference = "https://www.intezer.com"
|
||
|
condition:
|
||
|
EvilGnomeRC5Key or EvilGnomeDevStrings or EvilGnomeIntezerVaccine
|
||
|
}
|