Added new YARA rules.

2026-06-11 03:01:18 +00:00 · 2020-08-31 12:00:02 +02:00
parent c08d9512b1
commit a7f6e10dcd
2 changed files with 170 additions and 0 deletions
@@ -54,6 +54,21 @@ rule Win32_Trojan_Emotet : tc_detection malicious
            E8 ?? ?? ?? ?? FF D0 B8 ?? ?? ?? ?? 5E 8B E5 5D C3 33 C0 8B E5 5D C3 
        }

+        $decrypt_resource_v3 = {
+            56 8B F1 BA [6-9] B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 56 6A ?? 50 68 ?? ?? ?? ?? 
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 5E C3 
+        }
+
+        $generate_filename_v3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F1 8B FA 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BB ?? 
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 
+            C4 ?? 8D 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B D3 56 50 BE ?? ?? ?? ?? [2-5] 8B CE E8 ?? 
+            ?? ?? ?? 59 FF D0 57 8D 85 ?? ?? ?? ?? 8B D3 50 [2-5] 8B CE E8 ?? ?? ?? ?? 59 FF D0 
+            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 
+            ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? 
+            ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3 
+        }
+
    condition:
        uint16(0) == 0x5A4D and 
        (
@@ -63,5 +78,9 @@ rule Win32_Trojan_Emotet : tc_detection malicious
        (
            $decrypt_resource_v2 and 
            $generate_filename_v2
+        ) or
+        (
+            $decrypt_resource_v3 and 
+            $generate_filename_v3
        )
 }