private rule Intezer_Iranian_Wipers1 { meta: copyright = "Intezer Labs" description = "Automatic YARA vaccination rule created based on the file's genes" author = "Intezer Labs" reference = "https://analyze.intezer.com" date = "2020-01-09" strings: $5368717821_288 = { 0F B6 ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 4C ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 4C ?? ?? ?? ?? ?? ?? 45 ?? ?? ?? 49 ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? 45 ?? ?? ?? 48 ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? EB } $5368717578_239 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 0F BE ?? 66 ?? ?? ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? 33 ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 8B ?? 33 ?? B8 ?? ?? ?? ?? F7 ?? 8B ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 ?? ?? 4C ?? ?? ?? ?? ?? ?? 33 ?? 45 ?? ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 80 B? ?? ?? ?? ?? ?? 0F 85 } $5368713933_78 = { 48 ?? ?? ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? 4D ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? 66 ?? ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 } $5368718117_44 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F B7 ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? ?? 33 ?? 3B ?? 41 ?? ?? 74 } $5368717533_41 = { 44 ?? ?? ?? ?? 45 ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4D ?? ?? 4C ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 0F 82 } $86175_71 = { 0F B7 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? 75 } $94204_37 = { 48 ?? ?? 48 ?? 81 E? ?? ?? ?? ?? 48 ?? ?? 25 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 89 ?? ?? ?? ?? ?? ?? 41 ?? ?? 0F 84 } $86257_35 = { 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? FF 1? ?? ?? ?? ?? 41 ?? ?? 8B ?? 0F 8C } $86141_30 = { 48 ?? ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? FF 1? ?? ?? ?? ?? 41 ?? ?? 8B ?? 0F 8C } condition: 3 of them } private rule Intezer_Iranian_Wipers2 { meta: copyright = "Intezer Labs" description = "Automatic YARA vaccination rule created based on the file's genes" author = "Intezer Labs" reference = "https://analyze.intezer.com" date = "2020-01-09" strings: $4204144_200 = { 5? 8B ?? 83 ?? ?? 83 ?? ?? 83 ?? ?? 5? 8B ?? ?? 89 ?? ?? ?? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 5? 83 ?? ?? A1 ?? ?? ?? ?? 33 ?? 89 ?? ?? 5? 5? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? 89 ?? ?? 8A ?? ?? 0F 57 ?? 68 ?? ?? ?? ?? 88 ?? 8D ?? ?? 6A ?? 5? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 ?? ?? ?? 83 ?? ?? 0F 57 ?? C7 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 66 ?? ?? ?? 8D ?? ?? 6A ?? 5? 66 ?? ?? ?? ?? 0F 11 ?? ?? 0F 11 ?? ?? FF 1? ?? ?? ?? ?? 8B ?? 89 ?? ?? 83 ?? ?? 0F 84 } $4205297_194 = { 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 3B ?? 66 ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 42 ?? 83 ?? ?? ?? ?? ?? ?? 5? 0F 43 ?? ?? ?? ?? ?? 5? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 0F 57 ?? 8D ?? ?? ?? ?? ?? 5? 0F 11 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 68 ?? ?? ?? ?? 8B ?? C6 ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 ?? 0F 11 ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 66 ?? ?? C6 ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 72 } $4204515_127 = { 6A ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? C7 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 8D ?? ?? 66 ?? ?? ?? 0F 43 ?? ?? 66 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? 83 ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 ?? ?? 68 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? FF 7? ?? E8 ?? ?? ?? ?? 8B ?? ?? 83 ?? ?? 89 ?? ?? 83 ?? ?? 72 } $4206304_125 = { 5? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 81 E? ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 ?? 89 ?? ?? 5? 5? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? F3 ?? 0F 57 ?? 8D ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 33 ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 85 ?? 7E } $4207936_111 = { 5? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 83 ?? ?? 5? 5? 5? A1 ?? ?? ?? ?? 33 ?? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? 89 ?? ?? C7 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 0F 57 ?? 8B ?? 66 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 66 } $4206904_97 = { 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 5? FF 1? ?? ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? A2 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 0F 8E } $4210311_73 = { 8B ?? ?? 6A ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B ?? ?? 03 ?? 8B ?? ?? 0B ?? 8B ?? 83 ?? ?? 83 ?? ?? ?? 0F 45 ?? 5? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 } $4204380_66 = { 8B ?? ?? F7 ?? ?? FF 7? ?? 8B ?? ?? 8B ?? 8B ?? F7 ?? ?? 5? 8B ?? 8B ?? F7 ?? ?? 03 ?? 5? 5? E8 ?? ?? ?? ?? 8B ?? ?? 0F AC ?? ?? 89 ?? ?? 8B ?? ?? 89 ?? ?? 8B ?? ?? 0F AF ?? ?? 0F AF ?? 8B ?? ?? 89 } $4207008_66 = { 6A ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? ?? ?? ?? 89 ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 0F 57 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 5? 0F 11 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 } $4201168_66 = { 5? 8B ?? 83 ?? ?? 83 ?? ?? 83 ?? ?? 5? 8B ?? ?? 89 ?? ?? ?? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 5? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 33 ?? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? ?? 85 ?? 0F 84 } $4204736_60 = { 5? 8B ?? 83 ?? ?? 8B ?? ?? 5? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? ?? 89 ?? ?? 8B ?? ?? ?? ?? ?? ?? 2B ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 85 ?? 0F 8E } $4206842_58 = { 8B ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 83 ?? ?? ?? ?? ?? ?? FF 8? ?? ?? ?? ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 39 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 0F 8C } $4207084_54 = { 8B ?? ?? ?? ?? ?? 0F 57 ?? 66 ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 6A ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 } $4207699_50 = { 0F B6 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? 33 ?? B8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? F7 ?? ?? 8B ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 78 } $4207760_46 = { 68 ?? ?? ?? ?? 5? 33 ?? 8B ?? 85 ?? 0F 4E ?? 99 5? 5? FF 7? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 2B ?? 79 } $4211536_44 = { 5? 8B ?? 83 ?? ?? 8B ?? ?? 5? 8B ?? 89 ?? ?? 5? 8B ?? ?? 5? 8B ?? 8B ?? 8B ?? ?? 2B ?? 2B ?? C1 ?? ?? C1 ?? ?? 3D ?? ?? ?? ?? 0F 84 } $4206706_43 = { 8B ?? ?? ?? ?? ?? 33 ?? 89 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 85 ?? 0F 8E } $4206768_38 = { 8B ?? ?? ?? 8D ?? ?? 8D ?? ?? 3B ?? 0F 46 ?? 8D ?? ?? 8D ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 39 ?? ?? 74 } $4204850_34 = { 2B ?? 33 ?? 68 ?? ?? ?? ?? 85 ?? 8B ?? 5? 0F 4E ?? 99 5? 5? FF 7? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 79 } $4206466_33 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 8B ?? ?? ?? ?? ?? 33 ?? 2B ?? 85 ?? 0F 8E } $4209857_26 = { 8B ?? ?? 8B ?? ?? ?? ?? ?? 85 ?? 0F 94 ?? ?? C7 ?? ?? ?? ?? ?? ?? 85 ?? 0F 85 } $4212384_26 = { 0F 10 ?? 8D ?? ?? 0F 11 ?? ?? F3 ?? ?? ?? ?? 83 ?? ?? 66 ?? ?? ?? ?? 3B ?? 75 } $4211656_24 = { 8D ?? ?? 83 ?? ?? 3B ?? 0F 46 ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 0F 84 } $4206807_21 = { 0F 10 ?? 0F 11 ?? F3 ?? ?? ?? ?? 66 ?? ?? ?? ?? 83 ?? ?? ?? EB } $4206624_19 = { 8B ?? ?? ?? ?? ?? 4? 8B ?? ?? ?? ?? ?? 2B ?? 3B ?? 0F 8C } $4205969_16 = { 8B ?? ?? 83 ?? ?? 2B ?? 83 ?? ?? 83 ?? ?? 0F 87 } $4205248_14 = { 8D ?? ?? 8D ?? ?? 89 ?? ?? ?? ?? ?? 0F 1F } condition: 16 of them } private rule Intezer_Iranian_Wipers3 { meta: copyright = "Intezer Labs" description = "Automatic YARA vaccination rule created based on the file's genes" author = "Intezer Labs" reference = "https://analyze.intezer.com" date = "2020-01-09" strings: $5368714732_207 = { 8B ?? ?? ?? 44 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? 8B ?? ?? ?? 89 ?? ?? 8D ?? ?? 48 ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? ?? 4C ?? ?? ?? ?? BA ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? ?? 45 ?? ?? ?? 4C ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 } $5368719357_162 = { 8B ?? ?? ?? ?? ?? ?? 8B ?? F7 ?? 1B ?? 83 ?? ?? 83 ?? ?? 8B ?? F7 ?? 1B ?? F7 ?? 81 C? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? F3 ?? ?? ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? 44 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 88 } $5368714420_123 = { 0F 10 ?? ?? ?? ?? ?? 33 ?? 4C ?? ?? ?? ?? 45 ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? 8D ?? ?? 8B ?? F3 ?? 48 ?? ?? ?? 89 ?? ?? ?? 48 ?? ?? ?? ?? 49 ?? ?? 89 ?? ?? ?? 48 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? 44 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 } $5368714547_113 = { 33 ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? 8D ?? ?? 8B ?? 44 ?? ?? F3 ?? 8B ?? ?? ?? 8D ?? ?? 89 ?? ?? 8B ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 89 ?? ?? ?? 89 ?? ?? BA ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? 89 ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 } $5368717893_104 = { 48 ?? ?? ?? ?? 33 ?? 8D ?? ?? F3 ?? 49 ?? ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? F3 ?? ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 89 ?? ?? ?? 85 ?? 79 } $5368714943_103 = { 33 ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? BA ?? ?? ?? ?? 4C ?? ?? ?? 8D ?? ?? 8B ?? 44 ?? ?? F3 ?? 8B ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 89 ?? ?? 8B ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 44 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? 89 ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 } $5368717358_85 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 89 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? FF 1? } $5368716611_81 = { 8B ?? 4D ?? ?? 89 ?? 0F B7 ?? ?? 66 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 41 ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 } $5368715384_78 = { 48 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 5? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 33 ?? 33 ?? 89 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 33 ?? 33 ?? 48 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 0F 84 } $5368715956_75 = { 48 ?? ?? ?? ?? 5? 5? 5? 41 ?? 41 ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 ?? ?? C7 ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? 4C ?? ?? ?? 83 ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 0F 84 } $5368716537_73 = { 0F 10 ?? 0F 11 ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 49 ?? ?? 0F 10 ?? ?? 49 ?? ?? 0F 11 ?? ?? 48 ?? ?? ?? 75 } $5368714348_68 = { 48 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 5? 41 ?? 41 ?? 41 ?? 41 ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 45 ?? ?? 49 ?? ?? ?? 8B ?? 44 ?? ?? ?? 4C ?? ?? 4C ?? ?? ?? ?? 4D ?? ?? 0F 84 } $5368718028_66 = { 83 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? C6 ?? ?? ?? ?? 41 ?? ?? 45 ?? ?? 33 ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 89 ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 } $5368714664_64 = { 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 49 ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 0F 84 } $5368716388_57 = { 49 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? 48 ?? ?? ?? 45 ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F 84 } $5368718098_49 = { 65 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 44 ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 0F 84 } $5368718212_49 = { 48 ?? ?? 48 ?? ?? FF D? 89 ?? ?? ?? 65 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? ?? 33 ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 83 ?? ?? ?? ?? 0F 8C } $5368716035_48 = { 33 ?? 48 ?? ?? ?? 49 ?? ?? 8D ?? ?? F3 ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 4C ?? ?? ?? 33 ?? 4C ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 88 } $5368715483_46 = { BA ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 8B ?? 33 ?? F3 ?? 48 ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? 0F 82 } $5368715466_13 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 } condition: 10 of them } rule Intezer_Iranian_Wipers { meta: copyright = "Intezer Labs" description = "Shamoon, ZeroCleare and Dustman" author = "Intezer Labs" reference = "https://analyze.intezer.com" date = "2020-01-09" condition: Intezer_Iranian_Wipers1 or Intezer_Iranian_Wipers2 or Intezer_Iranian_Wipers3 }