Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-08 17:57:13 +00:00
Code Issues Packages Projects Releases Wiki Activity

Added new YARA rules.

Browse Source
This commit is contained in:
Threat Analyst
2020-09-18 17:00:02 +02:00
parent cac9c2d919
commit 21dab57aad
1 changed files with 20 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
yara/trojan/Win32.Trojan.Emotet.yara
+20
View File
@@ -69,6 +69,22 @@ rule Win32_Trojan_Emotet : tc_detection malicious
?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3
}
$decrypt_resource_v4 = {
56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ??
?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ??
89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ??
?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57
FF D0 5F 5E C3
}
$generate_filename_snippet_v4 = {
A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ??
?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D
04 43 66 89 08 5D 5B 59 C3
}
condition:
uint16(0) == 0x5A4D and
(
@@ -82,5 +98,9 @@ rule Win32_Trojan_Emotet : tc_detection malicious
(
$decrypt_resource_v3 and
$generate_filename_v3
) or
(
$decrypt_resource_v4 and
$generate_filename_snippet_v4
)
}