111 lines
15 KiB
Text
111 lines
15 KiB
Text
private rule Intezer_Iranian_Wipers1
|
|
{
|
|
meta:
|
|
copyright = "Intezer Labs"
|
|
description = "Automatic YARA vaccination rule created based on the file's genes"
|
|
author = "Intezer Labs"
|
|
reference = "https://analyze.intezer.com"
|
|
date = "2020-01-09"
|
|
strings:
|
|
$5368717821_288 = { 0F B6 ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 4C ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F B6 ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 4C ?? ?? ?? ?? ?? ?? 45 ?? ?? ?? 49 ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? 45 ?? ?? ?? 48 ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? EB }
|
|
$5368717578_239 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 0F BE ?? 66 ?? ?? ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? 33 ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 8B ?? 33 ?? B8 ?? ?? ?? ?? F7 ?? 8B ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 ?? ?? 4C ?? ?? ?? ?? ?? ?? 33 ?? 45 ?? ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 80 B? ?? ?? ?? ?? ?? 0F 85 }
|
|
$5368713933_78 = { 48 ?? ?? ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? 4D ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? 66 ?? ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 }
|
|
$5368718117_44 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F B7 ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? ?? 33 ?? 3B ?? 41 ?? ?? 74 }
|
|
$5368717533_41 = { 44 ?? ?? ?? ?? 45 ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4D ?? ?? 4C ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 0F 82 }
|
|
$86175_71 = { 0F B7 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 ?? ?? 75 }
|
|
$94204_37 = { 48 ?? ?? 48 ?? 81 E? ?? ?? ?? ?? 48 ?? ?? 25 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 89 ?? ?? ?? ?? ?? ?? 41 ?? ?? 0F 84 }
|
|
$86257_35 = { 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? FF 1? ?? ?? ?? ?? 41 ?? ?? 8B ?? 0F 8C }
|
|
$86141_30 = { 48 ?? ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? FF 1? ?? ?? ?? ?? 41 ?? ?? 8B ?? 0F 8C }
|
|
|
|
condition:
|
|
3 of them
|
|
}
|
|
|
|
private rule Intezer_Iranian_Wipers2
|
|
{
|
|
meta:
|
|
copyright = "Intezer Labs"
|
|
description = "Automatic YARA vaccination rule created based on the file's genes"
|
|
author = "Intezer Labs"
|
|
reference = "https://analyze.intezer.com"
|
|
date = "2020-01-09"
|
|
strings:
|
|
$4204144_200 = { 5? 8B ?? 83 ?? ?? 83 ?? ?? 83 ?? ?? 5? 8B ?? ?? 89 ?? ?? ?? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 5? 83 ?? ?? A1 ?? ?? ?? ?? 33 ?? 89 ?? ?? 5? 5? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? 89 ?? ?? 8A ?? ?? 0F 57 ?? 68 ?? ?? ?? ?? 88 ?? 8D ?? ?? 6A ?? 5? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 ?? ?? ?? 83 ?? ?? 0F 57 ?? C7 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 66 ?? ?? ?? 8D ?? ?? 6A ?? 5? 66 ?? ?? ?? ?? 0F 11 ?? ?? 0F 11 ?? ?? FF 1? ?? ?? ?? ?? 8B ?? 89 ?? ?? 83 ?? ?? 0F 84 }
|
|
$4205297_194 = { 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 3B ?? 66 ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 42 ?? 83 ?? ?? ?? ?? ?? ?? 5? 0F 43 ?? ?? ?? ?? ?? 5? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 0F 57 ?? 8D ?? ?? ?? ?? ?? 5? 0F 11 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 68 ?? ?? ?? ?? 8B ?? C6 ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 ?? 0F 11 ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 66 ?? ?? C6 ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 72 }
|
|
$4204515_127 = { 6A ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? C7 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 8D ?? ?? 66 ?? ?? ?? 0F 43 ?? ?? 66 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? 83 ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 ?? ?? 68 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? FF 7? ?? E8 ?? ?? ?? ?? 8B ?? ?? 83 ?? ?? 89 ?? ?? 83 ?? ?? 72 }
|
|
$4206304_125 = { 5? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 81 E? ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 ?? 89 ?? ?? 5? 5? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? F3 ?? 0F 57 ?? 8D ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 33 ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 85 ?? 7E }
|
|
$4207936_111 = { 5? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 83 ?? ?? 5? 5? 5? A1 ?? ?? ?? ?? 33 ?? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? 89 ?? ?? C7 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 0F 57 ?? 8B ?? 66 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 66 }
|
|
$4206904_97 = { 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 5? FF 1? ?? ?? ?? ?? 0F B7 ?? ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? A2 ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 33 ?? C7 ?? ?? ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 0F 8E }
|
|
$4210311_73 = { 8B ?? ?? 6A ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B ?? ?? 03 ?? 8B ?? ?? 0B ?? 8B ?? 83 ?? ?? 83 ?? ?? ?? 0F 45 ?? 5? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 }
|
|
$4204380_66 = { 8B ?? ?? F7 ?? ?? FF 7? ?? 8B ?? ?? 8B ?? 8B ?? F7 ?? ?? 5? 8B ?? 8B ?? F7 ?? ?? 03 ?? 5? 5? E8 ?? ?? ?? ?? 8B ?? ?? 0F AC ?? ?? 89 ?? ?? 8B ?? ?? 89 ?? ?? 8B ?? ?? 0F AF ?? ?? 0F AF ?? 8B ?? ?? 89 }
|
|
$4207008_66 = { 6A ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? ?? ?? ?? 89 ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 0F 57 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 5? 0F 11 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 }
|
|
$4201168_66 = { 5? 8B ?? 83 ?? ?? 83 ?? ?? 83 ?? ?? 5? 8B ?? ?? 89 ?? ?? ?? 8B ?? 6A ?? 68 ?? ?? ?? ?? 64 ?? ?? ?? ?? ?? 5? 5? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 33 ?? 5? 8D ?? ?? 64 ?? ?? ?? ?? ?? 8B ?? ?? 85 ?? 0F 84 }
|
|
$4204736_60 = { 5? 8B ?? 83 ?? ?? 8B ?? ?? 5? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? ?? 89 ?? ?? 8B ?? ?? ?? ?? ?? ?? 2B ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 85 ?? 0F 8E }
|
|
$4206842_58 = { 8B ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 83 ?? ?? ?? ?? ?? ?? FF 8? ?? ?? ?? ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 39 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 0F 8C }
|
|
$4207084_54 = { 8B ?? ?? ?? ?? ?? 0F 57 ?? 66 ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? C6 ?? ?? ?? 6A ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 74 }
|
|
$4207699_50 = { 0F B6 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? 33 ?? B8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? F7 ?? ?? 8B ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 78 }
|
|
$4207760_46 = { 68 ?? ?? ?? ?? 5? 33 ?? 8B ?? 85 ?? 0F 4E ?? 99 5? 5? FF 7? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? 2B ?? 79 }
|
|
$4211536_44 = { 5? 8B ?? 83 ?? ?? 8B ?? ?? 5? 8B ?? 89 ?? ?? 5? 8B ?? ?? 5? 8B ?? 8B ?? 8B ?? ?? 2B ?? 2B ?? C1 ?? ?? C1 ?? ?? 3D ?? ?? ?? ?? 0F 84 }
|
|
$4206706_43 = { 8B ?? ?? ?? ?? ?? 33 ?? 89 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 2B ?? F7 ?? C1 ?? ?? 8B ?? C1 ?? ?? 03 ?? 85 ?? 0F 8E }
|
|
$4206768_38 = { 8B ?? ?? ?? 8D ?? ?? 8D ?? ?? 3B ?? 0F 46 ?? 8D ?? ?? 8D ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 39 ?? ?? 74 }
|
|
$4204850_34 = { 2B ?? 33 ?? 68 ?? ?? ?? ?? 85 ?? 8B ?? 5? 0F 4E ?? 99 5? 5? FF 7? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 79 }
|
|
$4206466_33 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 8B ?? ?? ?? ?? ?? 33 ?? 2B ?? 85 ?? 0F 8E }
|
|
$4209857_26 = { 8B ?? ?? 8B ?? ?? ?? ?? ?? 85 ?? 0F 94 ?? ?? C7 ?? ?? ?? ?? ?? ?? 85 ?? 0F 85 }
|
|
$4212384_26 = { 0F 10 ?? 8D ?? ?? 0F 11 ?? ?? F3 ?? ?? ?? ?? 83 ?? ?? 66 ?? ?? ?? ?? 3B ?? 75 }
|
|
$4211656_24 = { 8D ?? ?? 83 ?? ?? 3B ?? 0F 46 ?? 5? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 0F 84 }
|
|
$4206807_21 = { 0F 10 ?? 0F 11 ?? F3 ?? ?? ?? ?? 66 ?? ?? ?? ?? 83 ?? ?? ?? EB }
|
|
$4206624_19 = { 8B ?? ?? ?? ?? ?? 4? 8B ?? ?? ?? ?? ?? 2B ?? 3B ?? 0F 8C }
|
|
$4205969_16 = { 8B ?? ?? 83 ?? ?? 2B ?? 83 ?? ?? 83 ?? ?? 0F 87 }
|
|
$4205248_14 = { 8D ?? ?? 8D ?? ?? 89 ?? ?? ?? ?? ?? 0F 1F }
|
|
|
|
condition:
|
|
16 of them
|
|
}
|
|
|
|
private rule Intezer_Iranian_Wipers3
|
|
{
|
|
meta:
|
|
copyright = "Intezer Labs"
|
|
description = "Automatic YARA vaccination rule created based on the file's genes"
|
|
author = "Intezer Labs"
|
|
reference = "https://analyze.intezer.com"
|
|
date = "2020-01-09"
|
|
strings:
|
|
$5368714732_207 = { 8B ?? ?? ?? 44 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? 8B ?? ?? ?? 89 ?? ?? 8D ?? ?? 48 ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? ?? 4C ?? ?? ?? ?? BA ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 44 ?? ?? ?? ?? 45 ?? ?? ?? 4C ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 }
|
|
$5368719357_162 = { 8B ?? ?? ?? ?? ?? ?? 8B ?? F7 ?? 1B ?? 83 ?? ?? 83 ?? ?? 8B ?? F7 ?? 1B ?? F7 ?? 81 C? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? F3 ?? ?? ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? 44 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 88 }
|
|
$5368714420_123 = { 0F 10 ?? ?? ?? ?? ?? 33 ?? 4C ?? ?? ?? ?? 45 ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? 8D ?? ?? 8B ?? F3 ?? 48 ?? ?? ?? 89 ?? ?? ?? 48 ?? ?? ?? ?? 49 ?? ?? 89 ?? ?? ?? 48 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 44 ?? ?? ?? ?? 4C ?? ?? ?? ?? 44 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 }
|
|
$5368714547_113 = { 33 ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? 8D ?? ?? 8B ?? 44 ?? ?? F3 ?? 8B ?? ?? ?? 8D ?? ?? 89 ?? ?? 8B ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 89 ?? ?? ?? 89 ?? ?? BA ?? ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? 89 ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 }
|
|
$5368717893_104 = { 48 ?? ?? ?? ?? 33 ?? 8D ?? ?? F3 ?? 49 ?? ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? F3 ?? ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 89 ?? ?? ?? 85 ?? 79 }
|
|
$5368714943_103 = { 33 ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? BA ?? ?? ?? ?? 4C ?? ?? ?? 8D ?? ?? 8B ?? 44 ?? ?? F3 ?? 8B ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 89 ?? ?? 8B ?? ?? ?? 89 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? 44 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? 89 ?? ?? 44 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 }
|
|
$5368717358_85 = { 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 89 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 0F 57 ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? F3 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? FF 1? }
|
|
$5368716611_81 = { 8B ?? 4D ?? ?? 89 ?? 0F B7 ?? ?? 66 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 41 ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 }
|
|
$5368715384_78 = { 48 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 5? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 33 ?? 33 ?? 89 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 33 ?? 33 ?? 48 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 0F 84 }
|
|
$5368715956_75 = { 48 ?? ?? ?? ?? 5? 5? 5? 41 ?? 41 ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 ?? ?? C7 ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? 4C ?? ?? ?? 83 ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? 4C ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 0F 84 }
|
|
$5368716537_73 = { 0F 10 ?? 0F 11 ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 0F 10 ?? ?? 0F 11 ?? ?? 49 ?? ?? 0F 10 ?? ?? 49 ?? ?? 0F 11 ?? ?? 48 ?? ?? ?? 75 }
|
|
$5368714348_68 = { 48 ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? 5? 41 ?? 41 ?? 41 ?? 41 ?? 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 45 ?? ?? 49 ?? ?? ?? 8B ?? 44 ?? ?? ?? 4C ?? ?? 4C ?? ?? ?? ?? 4D ?? ?? 0F 84 }
|
|
$5368718028_66 = { 83 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? C6 ?? ?? ?? ?? 41 ?? ?? 45 ?? ?? 33 ?? 48 ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 89 ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 }
|
|
$5368714664_64 = { 48 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 49 ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 0F 84 }
|
|
$5368716388_57 = { 49 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? 48 ?? ?? ?? 45 ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 0F 84 }
|
|
$5368718098_49 = { 65 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 44 ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 0F 84 }
|
|
$5368718212_49 = { 48 ?? ?? 48 ?? ?? FF D? 89 ?? ?? ?? 65 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? ?? 33 ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 83 ?? ?? ?? ?? 0F 8C }
|
|
$5368716035_48 = { 33 ?? 48 ?? ?? ?? 49 ?? ?? 8D ?? ?? F3 ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 4C ?? ?? ?? 33 ?? 4C ?? ?? ?? 48 ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 88 }
|
|
$5368715483_46 = { BA ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 8B ?? 33 ?? F3 ?? 48 ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? 0F 82 }
|
|
$5368715466_13 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 }
|
|
|
|
condition:
|
|
10 of them
|
|
}
|
|
|
|
rule Intezer_Iranian_Wipers
|
|
{
|
|
meta:
|
|
copyright = "Intezer Labs"
|
|
description = "Shamoon, ZeroCleare and Dustman"
|
|
author = "Intezer Labs"
|
|
reference = "https://analyze.intezer.com"
|
|
date = "2020-01-09"
|
|
condition:
|
|
Intezer_Iranian_Wipers1 or
|
|
Intezer_Iranian_Wipers2 or
|
|
Intezer_Iranian_Wipers3
|
|
}
|