Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-11 03:01:18 +00:00
Code Issues Packages Projects Releases Wiki Activity

Added new YARA rules.

Browse Source
This commit is contained in:
Threat Analyst
2020-09-18 17:00:02 +02:00
parent cac9c2d919
commit 21dab57aad
1 changed files with 20 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
yara/trojan/Win32.Trojan.Emotet.yara
+20
View File
@@ -69,6 +69,22 @@ rule Win32_Trojan_Emotet : tc_detection malicious
?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3 ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3
} }
$decrypt_resource_v4 = {
56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ??
?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ??
89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ??
?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57
FF D0 5F 5E C3
}
$generate_filename_snippet_v4 = {
A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ??
?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D
04 43 66 89 08 5D 5B 59 C3
}
condition: condition:
uint16(0) == 0x5A4D and uint16(0) == 0x5A4D and
( (
@@ -82,5 +98,9 @@ rule Win32_Trojan_Emotet : tc_detection malicious
( (
$decrypt_resource_v3 and $decrypt_resource_v3 and
$generate_filename_v3 $generate_filename_v3
) or
(
$decrypt_resource_v4 and
$generate_filename_snippet_v4
) )
} }