Azorult

1. alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"TROJAN AZORult Variant Checkin"; flow:established,to_server; content:"POST"; http_method; content:".php"; http_uri; content:"|4a 2f fb 3|"; content:"|2f fb 3|"; http_client_body; depth:11; fast_pattern; content:!"Referer"; http_header; content:!"User-Agent"; http_header; metadata: former_category TROJAN; reference:md5,0ac55b5056364cdac63aaf05f9d7f654; classtype:trojan-activity; sid:xxxxxxx; rev:1; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, signature_severity Major, created_at 2018_07_20, malware_family Stealer, malware_family AZORult, updated_at 2018_07_20;)
2.  
3.  
4. 0000 4a 2f fb 3a 2f fb 39 2f fb 3f 4b 8a 4b 2f fb 39 J/.:/.9/.?K.K/.9
5. 0010 2f fa 49 2f fb 3e 2f fb 3e 2f fb 39 2f fb 3e 4b /.I/.>/.>/.9/.>K
6. 0020 ed 3e 38 8d 4e 2f fa 49 2f fb 3b 2f fb 38 2f fb .>8.N/.I/.;/.8/.
7. 0030 3a 2f fb 3f 2f fb 35 4e ed 3e 39 ed 3e 3a ed 3f :/.?/.5N.>9.>:.?
8. 0040 4e 8e 28 39 f0 28 39 f9 28 39 f8 4c 2f fb 3a 4e N.(9.(9.(9.L/.:N
9. 0050 ed 3e 3a ed 3f 4e 8c 28 39 f1 28 39 fb 28 39 fc .>:.?N.(9.(9.(9.
10. 0060 4c 48 ed 3e 3b ed 3e 3e 89 LH.>;.>>.
11.  
12. 0000 4a 2f fb 3c 2f fb 3f 2f fb 3b 4e ed 3e 32 ed 3e J/.</.?/.;N.>2.>
13. 0010 3a ed 3e 38 ed 3f 4e ed 3e 3b ed 3e 39 ed 3e 3e :.>8.?N.>;.>9.>>
14. 0020 ed 3e 39 89 28 39 fa 48 49 ed 3f 4e ed 3e 3c ed .>9.(9.HI.?N.><.
15. 0030 3e 3b ed 3e 3c 8c 28 39 f8 4b 49 8e 28 38 8c 28 >;.><.(9.KI.(8.(
16. 0040 39 fa 4f 2f fb 34 4b ed 3e 3d ed 3e 3e 89 4e 2f 9.O/.4K.>=.>>.N/
17. 0050 fa 49 4c ed 3e 32 89 28 39 f0 28 39 fa 28 39 fd .IL.>2.(9.(9.(9.
18. 0060 28 39 fe 4f 2f fb 38 (9.O/.8
19.  
20. 0000 4a 2f fb 3f 2f fb 39 2f fb 3d 4c 8a 28 39 ff 28 J/.?/.9/.=L.(9.(
21. 0010 39 f9 28 38 8c 28 39 fb 28 39 fa 28 39 fb 28 39 9.(8.(9.(9.(9.(9
22. 0020 f9 4c 48 8d 28 39 fe 28 38 8c 4f 49 ed 3e 39 8c .LH.(9.(8.OI.>9.
23. 0030 28 39 f1 28 39 fe 28 39 ff 28 39 ff 28 38 8c 28 (9.(9.(9.(9.(8.(
24. 0040 39 fd 28 39 fd 28 39 fa 4f 2f fb 3c 48 ed 3e 39 9.(9.(9.O/.<H.>9
25. 0050 8d 28 38 8c 28 39 f1 28 39 fb 4e 2f fb 3d 2f fb .(8.(9.(9.N/.=/.
26. 0060 3c 2f fb 38 4e ed 3e 33 8d </.8N.>3.
27.  
28. 0000 4a 2f fb 3a 2f fb 39 2f fb 3f 4b 8a 4b 2f fb 39 J/.:/.9/.?K.K/.9
29. 0010 2f fa 49 2f fb 3e 2f fb 3e 2f fb 39 2f fb 3e 4b /.I/.>/.>/.9/.>K
30. 0020 ed 3e 38 8d 4e 2f fa 49 2f fb 3b 2f fb 38 2f fb .>8.N/.I/.;/.8/.
31. 0030 3a 2f fb 3f 2f fb 35 4e ed 3e 39 ed 3e 3a ed 3f :/.?/.5N.>9.>:.?
32. 0040 4e 8e 28 39 f0 28 39 f9 28 39 f8 4c 2f fb 3a 4e N.(9.(9.(9.L/.:N
33. 0050 ed 3e 3a ed 3f 4e 8c 28 39 f1 28 39 fb 28 39 fc .>:.?N.(9.(9.(9.
34. 0060 4c 48 ed 3e 3b ed 3e 3e 89 LH.>;.>>.
35.  
36. 0000 4a 2f fb 3f 2f fb 39 2f fb 3d 4c 8a 28 39 ff 28 J/.?/.9/.=L.(9.(
37. 0010 39 f9 28 38 8c 28 39 fb 28 39 fa 28 39 fb 28 39 9.(8.(9.(9.(9.(9
38. 0020 f9 4c 48 8d 28 39 fe 28 38 8c 4f 49 ed 3e 39 8c .LH.(9.(8.OI.>9.
39. 0030 28 39 f1 28 39 fe 28 39 ff 28 39 ff 28 38 8c 28 (9.(9.(9.(9.(8.(
40. 0040 39 fd 28 39 fd 28 39 fa 4f 2f fb 3c 48 ed 3e 39 9.(9.(9.O/.<H.>9
41. 0050 8d 28 38 8c 28 39 f1 28 39 fb 4e 2f fb 3d 2f fb .(8.(9.(9.N/.=/.
42. 0060 3c 2f fb 38 4e ed 3e 33 8d </.8N.>3.