Reglas para la deteccion de VBS ofuscado con YARA
Publicado: 28 May 2016, 18:24
Estaba navegando por el foro cuando me encontre esto:
A continuacion expongo un ejemplo con una regla muy sencilla en YARA para detectar vbs ofuscado
A continuacion expongo un ejemplo con una regla muy sencilla en YARA para detectar vbs ofuscado
rule Malware.Gen.Vbs.Obfuscated
{
meta:
Description = "Deteccion de archivos visual basic script ofuscados"
Author = "SadFud"
Date = "28/05/2016"
strings:
$eg = { 45 78 65 63 75 74 65 47 6c 6f 62 61 6c } nocase
$e = { 45 78 65 63 75 74 65 } nocase
condition:
$eg or $e
}