private rule EvilGnomeDevStrings { meta: copyright = "Intezer Labs" author = "Intezer Labs" reference = "https://www.intezer.com" strings: $s1 = "/media/data/work/Rostov" $s2 = "spy/spy-source/spy-agent" $s3 = "spy-binary/Linux/spy-agent-setup-linux.run" $s4 = "spy-build/Linux/spy-agent" condition: 1 of them } private rule EvilGnomeRC5Key { meta: copyright = "Intezer Labs" author = "Intezer Labs" reference = "https://www.intezer.com" strings: $k1 = "sdg62_AS.sa$die3" condition: all of them } private rule EvilGnomeIntezerVaccine { meta: sha256 = "7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869" strings: $s1 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 77 } $s2 = { 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? } $s3 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? } $s4 = { 41 ?? 41 ?? 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 } condition: all of them } rule EvilGnomeYara { meta: copyright = "Intezer Labs" author = "Intezer Labs" reference = "https://www.intezer.com" condition: EvilGnomeRC5Key or EvilGnomeDevStrings or EvilGnomeIntezerVaccine }