Common Information
| Type | Value |
|---|---|
| Value |
rule crime_win32_perma_uefi_dll : Module {
meta:
author = "@VK_Intel | Advanced Intelligence"
description = "Detects TrickBot Banking module permaDll"
md5 = "491115422a6b94dc952982e6914adc39"
strings:
$module_cfg = "moduleconfig"
$str_imp_01 = "Start"
$str_imp_02 = "Control"
$str_imp_03 = "FreeBuffer"
$str_imp_04 = "Release"
$module = "user_platform_check.dll"
$intro_routine = { 83 EC 40 8B ?? ?? ?? 53 8B ?? ?? ?? 55 33 ED A3 ?? ?? ?? ?? 8B ?? ?? ?? 56 57 89 ?? ?? ?? A3 ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? 8D ?? ?? ?? 89 ?? ?? ?? 50 6A 40 8D ?? ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 85 C0 78 ?? 8B ?? ?? ?? 85 FF 74 ?? 47 57 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 57 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C EB ?? }
condition:
6 of them
}
|
| Category | |
| Type | Yara Rule |
| Misp Type | |
| Description |