Página 1 de 1

Reglas para la deteccion de VBS ofuscado con YARA

MensajePublicado:28 May 2016, 18:24
por SadFud
Estaba navegando por el foro cuando me encontre esto:
Imagen
A continuacion expongo un ejemplo con una regla muy sencilla en YARA para detectar vbs ofuscado
rule Malware.Gen.Vbs.Obfuscated
{
	meta:
	Description = "Deteccion de archivos visual basic script ofuscados"
	Author = "SadFud"
	Date = "28/05/2016"
	
	strings:
	$eg = { 45 78 65 63 75 74 65 47 6c 6f 62 61 6c } nocase
	$e = { 45 78 65 63 75 74 65 } nocase 
	
	condition:
	$eg or $e
	
}