Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-08 17:57:13 +00:00
Code Issues Packages Projects Releases Wiki Activity

Added new YARA rules.

Browse Source
This commit is contained in:
Software Developer
2025-11-03 16:00:02 +01:00
parent af35d842f5
commit e0a0be54aa
2 changed files with 342 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
yara/infostealer/Win64.Infostealer.WeaselStore.yara
+198
View File
@@ -0,0 +1,198 @@
rule Win64_Infostealer_WeaselStore : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "WEASELSTORE"
description = "Yara rule that detects WeaselStore infostealer."
tc_detection_type = "Infostealer"
tc_detection_name = "WeaselStore"
tc_detection_factor = 5
strings:
$spawn_shell_p1 = {
4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
?? 48 89 84 24 ?? ?? ?? ?? 66 44 0F D6 BC 24 ?? ?? 00 00 C6 44 24 ?? ?? 44 0F 11 BC
24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85
DB 0F 86 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ??
?? ?? ?? 48 8B 18 48 8B 48 ?? 48 8D 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ??
?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
8B 94 24 ?? ?? ?? ?? 48 8B 5A ?? 48 8B 4A ?? 48 8D 44 24 ?? 0F 1F 40 ?? E8 ?? ?? ??
?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F 1F 40 ??
48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B
5A ?? 48 8B 4A ?? 31 C0 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
?? 48 8B 94 24 ?? ?? ?? ?? 48 83 C2 ?? 48 F7 DA 48 C1 FA ?? 83 E2 ?? 48 8B B4 24 ??
?? ?? ?? 48 01 F2 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89
8C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ??
?? 48 8B 94 24 ?? ?? ?? ?? 31 C9 EB ?? 48 89 04 11 48 8B 94 24 ?? ?? ?? ?? 48 83 C2
?? 4C 8D 46 ?? 48 89 C8 4C 89 C1 48 8B B4 24 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 39 F1 7D
?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 1A 48 8B 4A ?? 31 C0 66 90
E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 D6 48 C1 E2 ?? 48 8B 8C 24 ?? ?? ?? ??
48 89 5C 11 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 11 4D 89
43 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 0F 85 ?? ?? ?? ?? 48 8B 94
}
$spawn_shell_p2 = {
24 ?? ?? ?? ?? 81 3A ?? ?? ?? ?? 90 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 1D
?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
?? C6 44 24 ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ??
?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 85 FF 0F
84 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C6 40 ?? ?? 48 8B 8C 24 ??
?? ?? ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 D9 48 89 C3 31 C0 E8 ?? ??
?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D
05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D
?? ?? ?? ?? ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? EB ?? E8 ?? ??
?? ?? 48 8B 8C 24 ?? ?? ?? ?? 49 89 0B 48 8B 9C 24 ?? ?? ?? ?? 49 89 5B ?? 48 89 08
48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 89 58 ??
48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 02 FF D0 48 8B 84 24 ?? ?? ??
?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B B4
}
$spawn_shell_p3 = {
24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ??
?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ??
?? ?? C7 00 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 C7 40
?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 8C 24 ?? ??
?? ?? 48 8B 9C 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 49 89 0B
48 8B 9C 24 ?? ?? ?? ?? 49 89 5B ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48
8B 8C 24 ?? ?? ?? ?? 48 89 48 ?? 48 89 58 ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ??
?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ??
?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ??
?? ?? ?? 48 8B 02 FF D0 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B BC 24
?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D
C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 C1 48 89 F7 48 8B 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ??
?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ??
?? C6 40 ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48
89 D9 48 89 C3 31 C0 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ??
?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B
}
$spawn_shell_p4 = {
84 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 84 24
?? ?? ?? ?? 4D 89 43 ?? 48 89 10 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 94 24 ??
?? ?? ?? 48 89 50 ?? 4C 89 40 ?? 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7
84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ??
?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 81 C4 ?? ?? ?? ?? 5D C3 48
8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 9C
24 ?? ?? ?? ?? 48 89 D9 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ??
?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8
?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48
89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48
8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 31 C0
E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ??
?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? EB ??
E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 84 24 ?? ?? ?? ?? 4D 89 43 ??
48 89 10 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 4C
89 40 ?? 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24
}
$gather_chrome_cookies = {
49 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 83 EC ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ??
?? ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 44
0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4C 24 ?? 48 89 4C 24 ?? 48
8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 48 8D 05 ??
?? ?? ?? 48 8B 5C 24 ?? 41 B8 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ??
?? ?? C7 00 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 C7 41 ?? ?? ?? ?? ?? 48 C7 41 ?? ?? ?? ??
?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 11 49 89 53 ?? 48 89 01
48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 08 48 B9 ??
?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 8B 4C 24 ?? 48 C7 41 ?? ?? ?? ?? ?? 48 C7 41 ??
?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 51 ?? 49 89 53
?? 48 89 41 ?? 48 8B 54 24 ?? 4C 8B 42 ?? 48 8B 42 ?? 49 39 C0 72 ?? 4C 8B 0A 48 8B
52 ?? 48 29 C2 49 29 C0 4C 89 41 ?? 48 89 51 ?? 48 F7 DA 48 C1 FA ?? 48 21 D0 49 8D
14 01 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 13 4C 8B 41 ?? 4D 89 43 ?? 48
89 51 ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 83 C4 ?? 5D
C3
}
$change_chrome_profile_p1 = {
4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7
44 24 ?? ?? ?? ?? ?? 44 0F 11 7C 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48
8D 8C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F
11 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? BF ?? ??
?? ?? 48 89 FE E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 C0 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ??
?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? EB ??
48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? 48 8B 54 24 ?? 48 FF CA 48 8B 44 24 ?? 48 85 D2
0F 8E ?? ?? ?? ?? 48 89 54 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 01 48 89 44 24 ?? 48
8B 59 ?? 48 89 5C 24 ?? 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 89 44 24 ?? 48
8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44
}
$change_chrome_profile_p2 = {
24 ?? 48 8D 1D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ??
?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 1D ?? ?? ?? ?? 48
89 C1 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24
?? E8 ?? ?? ?? ?? 48 89 DF 48 89 CE 41 B8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 89 C1 48 8B
44 24 ?? 90 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
44 24 ?? C7 00 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 B9
?? ?? ?? ?? ?? ?? ?? ?? 48 89 08 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 B9 ??
?? ?? ?? ?? ?? ?? ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 40 ?? ??
?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? 4C
8B 44 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B 44 24 ?? 4D 89 43 ??
48 89 10 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 4C 89 40 ?? BB ?? ?? ?? ??
48 89 C1 BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5D C3
}
$network_communication_p1 = {
4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89
8C 24 ?? ?? ?? ?? 66 44 0F D6 BC 24 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24
?? ?? ?? ?? C6 44 24 ?? ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 85 C9 48 8D 15 ??
?? ?? ?? 48 0F 45 D1 48 89 F9 48 89 D0 48 89 CB E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89
4C 24 ?? 48 89 44 24 ?? 90 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89
50 ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 48 8B 15 ?? ?? ?? ?? 90 48 8B 9C
24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 8D 05
?? ?? ?? ?? 49 89 C1 48 89 D0 E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 48 ?? 84 01 48 8B
50 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 35 ?? ??
?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 48 ?? 48 8B 58 ?? 48
}
$network_communication_p2 = {
85 C9 0F 84 ?? ?? ?? ?? 48 8B 51 ?? 48 8B 35 ?? ?? ?? ?? 48 8B 3E 8B 49 ?? E9 ?? ??
?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 05
?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
?? ?? ?? ?? E8 ?? ?? ?? ?? 44 0F 11 7C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B BC
24 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 81 C4 ?? ?? ?? ?? 5D
C3 48 89 C8 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48
89 44 24 ?? 48 89 5C 24 ?? 44 0F 11 7C 24 ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ??
48 8B 0A FF D1 48 8B 4C 24 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 7C 24 ?? 48 81 C4
?? ?? ?? ?? 5D C3 49 89 C8 48 21 F9 48 C1 E1 ?? 4C 8B 4C 31 ?? 49 39 D1 74 ?? 49 8D
48 ?? 4D 85 C9 75 ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 D3 E8 ?? ??
?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 C1
}
condition:
uint16(0) == 0x5A4D and
(
all of ($spawn_shell_p*)
) and
(
$gather_chrome_cookies
) and
(
all of ($change_chrome_profile_p*)
) and
(
all of ($network_communication_p*)
)
}