From af35d842f569bd9f726a9a77f947dda7763f87ec Mon Sep 17 00:00:00 2001 From: Software Developer Date: Mon, 13 Oct 2025 11:00:03 +0200 Subject: [PATCH] Added new YARA rules. --- .../ByteCode.MSIL.Backdoor.Veaty.yara | 84 +++++ yara/backdoor/Linux.Backdoor.BPFDoor.yara | 326 ++++++++++++++++++ 2 files changed, 410 insertions(+) create mode 100644 yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara create mode 100644 yara/backdoor/Linux.Backdoor.BPFDoor.yara diff --git a/yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara b/yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara new file mode 100644 index 0000000..aa7e0df --- /dev/null +++ b/yara/backdoor/ByteCode.MSIL.Backdoor.Veaty.yara @@ -0,0 +1,84 @@ +rule ByteCode_MSIL_Backdoor_Veaty : tc_detection malicious +{ + meta: + + author = "ReversingLabs" + + source = "ReversingLabs" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "MALWARE" + malware = "VEATY" + description = "Yara rule that detects Veaty backdoor." + + tc_detection_type = "Backdoor" + tc_detection_name = "Veaty" + tc_detection_factor = 5 + + strings: + + $fetch_commands = { + 73 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0D 02 03 04 05 0E ?? 28 ?? ?? ?? + ?? 0C 72 ?? ?? ?? ?? 13 ?? 08 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? + ?? 13 ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 + ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C + ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 + ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 16 6F ?? ?? ?? ?? 06 11 ?? 6F ?? ?? ?? ?? 72 ?? + ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE + ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 2D ?? 09 72 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ?? + ?? ?? 06 6F ?? ?? ?? ?? 09 13 ?? DD ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 07 + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? DE ?? 13 ?? 72 ?? + ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 + ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A + 09 2A 11 + } + + $read_mailbox_folder = { + 73 ?? ?? ?? ?? 0A 03 04 28 ?? ?? ?? ?? 26 1F ?? 0B 18 8D ?? ?? ?? ?? 25 16 7E ?? ?? + ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 0C 17 08 13 ?? 11 ?? 73 ?? ?? ?? ?? 0D 07 73 ?? ?? + ?? ?? 13 ?? 05 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 17 6F ?? + ?? ?? ?? 11 ?? 18 6F ?? ?? ?? ?? 11 ?? 05 6F ?? ?? ?? ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 0E ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 04 11 ?? 11 ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? + ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? + ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 05 6F ?? ?? ?? ?? 2D ?? 03 + 04 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? + ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 06 11 ?? 6F + ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE + ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 13 ?? 72 ?? ?? ?? ?? 11 ?? 25 2D + ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 73 + ?? ?? ?? ?? 7A 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? + 73 ?? ?? ?? ?? 25 80 + } + + $add_move_to_inbox_rule = { + 02 7B ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? + ?? ?? ?? 6F ?? ?? ?? ?? 0A DE ?? 0B 72 ?? ?? ?? ?? 07 25 2D ?? 26 14 2B ?? 6F ?? ?? + ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 0C 72 ?? ?? + ?? ?? 08 25 2D ?? 26 14 2B ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? + ?? ?? ?? 73 ?? ?? ?? ?? 7A 00 73 ?? ?? ?? ?? 0D 09 05 6F ?? ?? ?? ?? 09 6F ?? ?? ?? + ?? 0E ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 09 6F ?? + ?? ?? ?? 16 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 04 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 2B ?? 04 + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? + ?? 09 73 ?? ?? ?? ?? 13 ?? 06 17 8D ?? ?? ?? ?? 25 16 11 ?? A2 17 6F ?? ?? ?? ?? 7E + ?? ?? ?? ?? 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13 ?? DE + } + + condition: + uint16(0) == 0x5A4D and + ( + $fetch_commands + ) and + ( + $read_mailbox_folder + ) and + ( + $add_move_to_inbox_rule + ) +} \ No newline at end of file diff --git a/yara/backdoor/Linux.Backdoor.BPFDoor.yara b/yara/backdoor/Linux.Backdoor.BPFDoor.yara new file mode 100644 index 0000000..5ee4ea6 --- /dev/null +++ b/yara/backdoor/Linux.Backdoor.BPFDoor.yara @@ -0,0 +1,326 @@ +rule Linux_Backdoor_BPFDoor : tc_detection malicious +{ + meta: + + author = "ReversingLabs" + + source = "ReversingLabs" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "MALWARE" + malware = "BPFDOOR" + description = "Yara rule that detects BPFDoor backdoor." + + tc_detection_type = "Backdoor" + tc_detection_name = "BPFDoor" + tc_detection_factor = 5 + + strings: + + $packet_loop_v1_p1 = { + 55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BB + ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 D7 48 89 DE 48 89 C1 F3 48 A5 66 C7 85 ?? ?? FF FF + ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 + C0 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? + ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? BE + ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 90 48 8D 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 + 8D 9D ?? ?? ?? ?? 8B 45 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? + ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48 + 89 45 ?? 48 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ?? 89 45 ?? 83 7D ?? ?? 7F ?? + 90 EB ?? 48 8B 45 ?? 0F B6 40 ?? 0F B6 C0 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 + ?? E9 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 + ?? 48 8B 45 ?? 0F B6 40 ?? C0 E8 ?? 0F B6 C0 C1 E0 ?? 89 45 ?? 8B 45 ?? 48 63 D0 8B + 45 ?? 48 98 48 8D 04 02 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? EB ?? + 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? EB ?? 48 8B + } + + $packet_loop_v1_p2 = { + 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 48 83 7D ?? ?? 0F + 84 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? EB + ?? 48 8B 45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 45 ?? + BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 EC 00 00 00 + 00 48 C7 85 70 FC FF FF 00 00 00 00 48 C7 85 78 FC FF FF 00 00 00 00 C7 85 80 FC FF + FF 00 00 00 00 C6 85 50 FC FF FF 2F C6 85 51 FC FF FF 75 C6 85 52 FC FF FF 73 C6 85 + 53 FC FF FF 72 C6 85 54 FC FF FF 2F C6 85 55 FC FF FF 6C C6 85 56 FC FF FF 69 C6 85 + 57 FC FF FF 62 C6 85 58 FC FF FF 65 C6 85 59 FC FF FF 78 C6 85 5A FC FF FF 65 C6 85 + 5B FC FF FF 63 C6 85 5C FC FF FF 2F C6 85 5D FC FF FF 70 C6 85 5E FC FF FF 6F C6 85 + 5F FC FF FF 73 C6 85 60 FC FF FF 74 C6 85 61 FC FF FF 66 C6 85 62 FC FF FF 69 C6 85 + 63 FC FF FF 78 C6 85 64 FC FF FF 2F C6 85 65 FC FF FF 6D C6 85 66 FC FF FF 61 C6 85 + 67 FC FF FF 73 C6 85 68 FC FF FF 74 C6 85 69 FC FF FF 65 C6 85 6A FC FF FF 72 C6 85 + 6B FC FF FF 00 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8 ?? + ?? ?? ?? 48 89 C2 48 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D + } + + $packet_loop_v1_p3 = { + 95 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? + ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? + 48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48 83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7 + E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C1 48 8B 45 ?? 48 + 83 C0 ?? BA ?? ?? ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 + C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 85 C0 + 74 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 8B 40 ?? 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? + ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 C7 E8 + ?? ?? ?? ?? 0F B7 D0 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B + 45 ?? 0F B7 40 ?? 0F B7 D0 8B 45 ?? 89 D6 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? + 7E ?? 8B 45 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? + 0F B7 40 ?? 0F B7 D0 8B 45 + } + + $reverse_shell_v1_p1 = { + 48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 + ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 + C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? + ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B C9 C3 + E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? + ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? + ?? 8B 05 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? BE ?? ?? + ?? ?? 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? + ?? 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 8B 05 + ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 B8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 8D 9D ?? ?? ?? ?? 48 89 D1 48 89 DF FC F3 48 AB 89 F8 89 CA 89 55 ?? 89 45 + ?? 8B 05 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 0D ?? ?? + ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DE 48 D3 E6 48 89 F1 48 09 C8 48 89 84 D5 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 89 C2 48 8B 84 C5 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 83 E1 ?? BB ?? ?? ?? ?? 48 89 DF 48 D3 E7 48 89 F9 48 09 C8 48 89 84 D5 ?? + ?? ?? ?? 8B 05 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7E ?? 8B 05 ?? ?? ?? ?? 83 C0 ?? EB + } + + $reverse_shell_v1_p2 = { + 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 8D 9D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 89 DE 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? + 48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48 89 C2 8B 05 ?? ?? ?? ?? 83 E0 ?? 48 89 + D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 74 ?? 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? + ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? + ?? 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 85 + C0 0F 8E ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E8 ?? 48 8B 84 C5 ?? ?? ?? ?? 48 + 89 C2 8B 85 ?? ?? ?? ?? 83 E0 ?? 48 89 D3 89 C1 48 D3 EB 48 89 D8 83 E0 ?? 84 C0 0F + 84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? + ?? 8B 45 ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 + 89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 29 + C2 8B 45 ?? 8D 04 02 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 63 + D0 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 7D ?? ?? 7F + ?? B8 ?? ?? ?? ?? 89 C2 2B 55 ?? 8B 45 ?? 48 63 C8 48 8D 85 ?? ?? ?? ?? 48 01 C8 8B + } + + $reverse_shell_v1_p3 = { + 8D ?? ?? ?? ?? 48 89 C6 89 CF E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? FF FF ?? ?? 0F + B7 85 ?? ?? ?? ?? 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F B6 C0 89 C2 C1 E2 ?? + 0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 0F B6 85 ?? ?? ?? ?? 0F + B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 8D 04 02 66 89 85 ?? ?? FF FF 8B + 05 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 85 ?? ?? ?? ?? 48 + 89 D6 48 29 C6 48 89 F0 48 89 C2 8B 05 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 CE 89 + C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8D 85 ?? ?? ?? ?? 89 C2 8B 45 ?? 01 C2 48 8B 45 ?? 89 + D7 29 C7 89 F8 83 E8 ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 + 8B 45 ?? 48 8D 48 ?? 8B 05 ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? 89 45 ?? E9 ?? + ?? ?? ?? 8B 45 ?? 48 63 D0 8B 05 ?? ?? ?? ?? 48 8B 4D ?? 48 89 CE 89 C7 E8 ?? ?? ?? + ?? 48 85 C0 0F 8F ?? ?? ?? ?? EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 8B 85 ?? ?? ?? ?? + 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 + } + + $set_process_name_v1_p1 = { + 55 48 89 E5 48 83 EC ?? 89 7D ?? 48 89 75 ?? 48 89 55 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 + C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 89 05 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 + 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 03 45 ?? 48 83 C0 ?? 48 89 45 ?? 83 45 ?? + ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 75 + ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? B8 ?? ?? ?? + ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? + 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05 + ?? ?? ?? ?? 8B 4D ?? 48 63 C9 48 C1 E1 ?? 48 01 C8 48 8B 08 48 8B 45 ?? 48 89 CE 48 + 89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 8D 14 10 + 48 8B 45 ?? 48 89 02 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 + } + + $set_process_name_v1_p2 = { + 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 48 8B 05 ?? ?? ?? + ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B + 45 ?? 48 8B 00 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 C1 E0 ?? 48 + 03 45 ?? 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 ?? ?? 8B 45 + ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 + 48 C1 E2 ?? 48 01 D0 48 8B 00 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 01 45 ?? 83 45 + ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 55 ?? 48 63 D2 48 C1 E2 ?? 48 01 D0 48 8B 00 48 85 C0 + 75 ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ?? 48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 05 + ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 05 ?? ?? ?? ?? + 48 89 D1 48 29 C1 48 89 C8 48 89 C2 48 8B 4D ?? 48 8B 05 ?? ?? ?? ?? 48 89 CE 48 89 + C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + B8 ?? ?? ?? ?? C9 C3 + } + + $packet_loop_v2_p1 = { + 55 89 E5 57 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? + 66 C7 85 ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? + ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 + ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B6 00 0F B6 C0 83 E0 ?? C1 E0 ?? + 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 0F B6 C0 89 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? + EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ?? 8D 04 02 89 45 ?? 8B 45 ?? 0F B6 40 ?? 0F + B6 C0 25 ?? ?? ?? ?? C1 F8 ?? C1 E0 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B 45 ?? + 01 C2 8B 45 ?? 8D 04 02 89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0 + } + + $packet_loop_v2_p2 = { + 89 45 ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F + 84 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 75 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? EB ?? 8B + 45 ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 + 85 9C FC FF FF 2F C6 85 9D FC FF FF 75 C6 85 9E FC FF FF 73 C6 85 9F FC FF FF 72 C6 + 85 A0 FC FF FF 2F C6 85 A1 FC FF FF 6C C6 85 A2 FC FF FF 69 C6 85 A3 FC FF FF 62 C6 + 85 A4 FC FF FF 65 C6 85 A5 FC FF FF 78 C6 85 A6 FC FF FF 65 C6 85 A7 FC FF FF 63 C6 + 85 A8 FC FF FF 2F C6 85 A9 FC FF FF 70 C6 85 AA FC FF FF 6F C6 85 AB FC FF FF 73 C6 + 85 AC FC FF FF 74 C6 85 AD FC FF FF 66 C6 85 AE FC FF FF 69 C6 85 AF FC FF FF 78 C6 + 85 B0 FC FF FF 2F C6 85 B1 FC FF FF 6D C6 85 B2 FC FF FF 61 C6 85 B3 FC FF FF 73 C6 + 85 B4 FC FF FF 74 C6 85 B5 FC FF FF 65 C6 85 B6 FC FF FF 72 C6 85 B7 FC FF FF ?? E8 + ?? ?? ?? ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 8D 50 ?? A1 ?? + ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 + } + + $packet_loop_v2_p3 = { + 44 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC + 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? + ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 8B BD ?? ?? ?? ?? F2 AE 89 C8 F7 D0 83 E8 ?? 89 C2 8B + 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? + 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? + ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 + ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 0F B7 40 + ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 0F B7 C0 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 83 F8 ?? 74 ?? 8B 45 ?? 8B 40 ?? 85 + C0 74 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? C7 00 ?? + ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 0F B7 + 40 ?? 0F B7 C0 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 + } + + $reverse_shell_v2_p1 = { + 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? + ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? + E8 ?? ?? ?? ?? 85 C0 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B + 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 + 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? B8 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F + 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? + ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? + ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 + } + + $reverse_shell_v2_p2 = { + E8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? FC F3 AB 89 4D + ?? 89 7D ?? A1 ?? ?? ?? ?? 89 C2 C1 EA ?? A1 ?? ?? ?? ?? 83 E0 ?? 0F AB 84 95 ?? ?? + ?? ?? 8B 45 ?? 89 C2 C1 EA ?? 8B 45 ?? 83 E0 ?? 0F AB 84 95 ?? ?? ?? ?? A1 ?? ?? ?? + ?? 3B 45 ?? 7E ?? A1 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? + 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 85 C0 + 0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 C2 83 E2 ?? A1 ?? ?? ?? ?? C1 E8 ?? 0F A3 94 85 + ?? ?? ?? ?? 0F 92 C0 84 C0 74 ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B + 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 + C0 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 C2 83 E2 ?? 8B 45 ?? C1 E8 ?? 0F A3 94 85 ?? ?? ?? + ?? 0F 92 C0 84 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? + ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ?? + ?? ?? 29 C2 8B 45 ?? 29 D0 89 45 ?? 83 7D ?? ?? 7E ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? + 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 83 7D ?? ?? 7F ?? B8 ?? ?? ?? ?? 89 + } + + $reverse_shell_v2_p3 = { + C1 2B 4D ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 4C 24 ?? 89 44 24 ?? 8B 45 ?? + 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 + 89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2 C1 E2 ?? 0F B6 85 ?? ?? ?? + ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 89 C2 + C1 E2 ?? 0F B6 85 ?? ?? ?? ?? 66 0F B6 C0 8D 04 02 66 89 85 ?? ?? ?? ?? 8B 15 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 85 ?? ?? ?? + ?? 89 D1 29 C1 89 C8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89 + 14 24 E8 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 C2 03 55 ?? 8B 45 ?? 83 C0 ?? 89 + D1 29 C1 89 C8 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 83 C2 ?? 8B + 0D ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 89 45 ?? E9 ?? ?? ?? + ?? 8B 45 ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ?? + ?? 85 C0 7E ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 + 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 + E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 81 C4 ?? ?? ?? ?? 5E 5F 5D C3 + } + + $set_process_name_v2_p1 = { + 55 89 E5 57 56 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8B 45 ?? 8B 00 A3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 89 + C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? + F2 AE 89 C8 F7 D0 83 E8 ?? 03 45 ?? 83 C0 ?? 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ?? + 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 + 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 + 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 48 ?? 8B 45 ?? C1 E0 + ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 10 8B 45 ?? 89 C7 89 D6 FC F3 A4 8B 45 ?? C1 E0 + ?? 89 C2 A1 ?? ?? ?? ?? 01 C2 8B 45 ?? 89 02 8B 5D ?? 83 C3 ?? 8B 45 ?? C1 E0 ?? 89 + C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D + } + + $set_process_name_v2_p2 = { + F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 A1 + ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? C7 45 ?? + ?? ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 8B 00 B9 ?? ?? ?? ?? + 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 02 89 45 ?? 83 + 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 5D ?? 83 C3 ?? 8B 45 + ?? C1 E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? + ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 8D 04 03 89 45 ?? 83 45 ?? ?? 8B 45 ?? C1 + E0 ?? 89 C2 A1 ?? ?? ?? ?? 8D 04 02 8B 00 85 C0 75 ?? 8B 55 ?? A1 ?? ?? ?? ?? 89 D1 + 29 C1 89 C8 89 C2 A1 ?? ?? ?? ?? 89 C7 FC 89 D1 B8 ?? ?? ?? ?? F3 AA 8B 55 ?? A1 ?? + ?? ?? ?? 89 D7 29 C7 89 F8 8B 15 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 89 14 + 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5B 5E 5F 5D C3 + } + + condition: + uint32(0) == 0x464C457F and + ( + ( + ( + all of ($packet_loop_v1_p*) + ) and + ( + all of ($reverse_shell_v1_p*) + ) and + ( + all of ($set_process_name_v1_p*) + ) + ) or + ( + ( + all of ($packet_loop_v2_p*) + ) and + ( + all of ($reverse_shell_v2_p*) + ) and + ( + all of ($set_process_name_v2_p*) + ) + ) + ) +} \ No newline at end of file