Regla generica en YARA para VBS ofuscado.

Buenas, esta entrada va a ser cortita, hace unos meses windows 10 implemento en su windows defender una nueva funcion de defensa, esta vez contra archivos del tipo visual basic scripts la cual es capaz de detectar codigo ofuscado, tal que asi:

30at168

No se como funcionara a nivel interno el windows defender ya que no ocupo este sistema operativo, pero a continuacion comparto una regla en YARA para la deteccion de codigo ofuscado en vbs.

rule Malware.Gen.Vbs.Obfuscated
{
    meta:
    Description = "Deteccion de archivos visual basic script ofuscados"
    Author = "SadFud"
    Date = "28/05/2016"
    
    strings:
    $eg = { 45 78 65 63 75 74 65 47 6c 6f 62 61 6c } nocase
    $e = { 45 78 65 63 75 74 65 } nocase
    
    condition:
    $eg or $e
    
}

Eso es todo, actualmente estoy con un proyecto mas grnade de reglas YARA que publicare en las próximas semanas.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s