API tools faq
paste
Advertisement
MalwareMustDie

Netwire RAT Sigs

MalwareMustDie
Apr 6th, 2015
718
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
JavaScript 10.02 KB | None | 0 0
raw download clone embed print report
  1. #####################
  2. # compiled by @malwaremustdie
  3. # sample family: NetWire RAT
  4. # hash: 1931bcb54655ca2018fec60bf84776f7
  5. #####################
  6. #
  7. #   binary strings:
  8. #
  9. #####################
  10. // Relevance: 6.0 Appears at: 65cf
  11. $s0 = "SMTP Password" fullword nocase wide ascii
  12. // Relevance: 6.0 Appears at: 659d
  13. $s1 = "HTTP Server" fullword nocase wide ascii
  14. // Relevance: 6.0 Appears at: 65c1
  15. $s2 = "SMTP Server" fullword nocase wide ascii
  16. // Relevance: 6.0 Appears at: 6246
  17. $s3 = "Mozilla Firefox" fullword nocase wide ascii
  18. // Relevance: 6.0 Appears at: 6591
  19. $s4 = "HTTP User" fullword nocase wide ascii
  20. // Relevance: 6.0 Appears at: 65b5
  21. $s5 = "SMTP User" fullword nocase wide ascii
  22. // Relevance: 6.0 Appears at: 65ab
  23. $s6 = "HTTP Password" fullword nocase wide ascii
  24. // Relevance: 6.0 Appears at: 6739
  25. $s7 = "USERNAME" fullword nocase wide ascii
  26. // Relevance: 3.0 Appears at: 6162
  27. $s8 = "mozcrt19.dll" fullword nocase wide ascii
  28. // Relevance: 3.0 Appears at: 6549
  29. $s9 = "POP3 User" fullword nocase wide ascii
  30. // Relevance: 3.0 Appears at: 616e
  31. $s10 = "sqlite3.dll" fullword nocase wide ascii
  32. // Relevance: 3.0 Appears at: 6137
  33. $s11 = "ComSpec" fullword nocase wide ascii
  34. // Relevance: 3.0 Appears at: 5e
  35. $s12 = "0`.data" fullword nocase wide ascii
  36. // Relevance: 3.0 Appears at: 6730
  37. $s13 = "localhost" fullword nocase wide ascii
  38. // Relevance: 3.0 Appears at: 61ae
  39. $s14 = "nss3.dll" fullword nocase wide ascii
  40. // Relevance: 3.0 Appears at: 6376
  41. $s15 = "PK11SDR_Decrypt" fullword nocase wide ascii
  42. // Relevance: 3.0 Appears at: 631c
  43. $s16 = "%s\\signons.sqlite" fullword nocase wide ascii
  44. // Relevance: 3.0 Appears at: 6181
  45. $s17 = "plc4.dll" fullword nocase wide ascii
  46. // Relevance: 3.0 Appears at: 6227
  47. $s18 = "mozglue.dll" fullword nocase wide ascii
  48. // Relevance: 3.0 Appears at: 6587
  49. $s19 = "IMAP Password" fullword nocase wide ascii
  50. // Opcode sequence from the PE entrypoint
  51. $entrypointOpCode = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? E8 ?? ?? }
  52. condition:
  53. all of them
  54. // PE Section check
  55. and pe.sections[0].name contains ".text"
  56. and pe.sections[1].name contains ".data"
  57. and pe.sections[2].name contains ".bss"
  58. and pe.sections[3].name contains ".idata"
  59. // PE Image characteristic check
  60. and pe.characteristics & pe.LOCAL_SYMS_STRIPPED
  61. and pe.characteristics & pe.EXECUTABLE_IMAGE
  62. and pe.characteristics & pe.DEBUG_STRIPPED
  63. and pe.characteristics & pe.LINE_NUMS_STRIPPED
  64. and pe.characteristics & pe.RELOCS_STRIPPED
  65. // PE subsystem check
  66. and pe.subsystem & pe.SUBSYSTEM_WINDOWS_GUI
  67. #####################
  68. #
  69. #   memory strings:
  70. #   (experimental)
  71. #
  72. #####################
  73. strings:
  74. // Relevance: 33.434  API Chain: GetSystemMetrics,GetSystemMetrics,GetDesktopWindow,GetDC,CreateCompatibleDC,CreateCompatibleBitmap,SelectObject,BitBlt,GetDIBits,malloc,GetDIBits,ReleaseDC,DeleteDC,DeleteObject,
  75. $code0 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? C7 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 89 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 89 ?? E8 ?? ?? ?? ?? 89 ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 89 ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 89 ?? ?? 8B ?? 89 ?? ?? ?? 8B ?? 89 ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? 83 ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 50 C7 ?? ?? ?? ?? ?? ?? ?? C7  }
  76. // Relevance: 28.197  API Chain: getenv,getenv,CreatePipe,CreatePipe,GetStartupInfoA,CreateProcessA,CloseHandle,CloseHandle,PeekNamedPipe,malloc,ReadFile,CloseHandle,CloseHandle,TerminateProcess,
  77. $code1 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ??  }
  78. // Relevance: 25.152  API Chain: malloc,getenv,WSACleanup,ExitProcess,malloc,getenv,malloc,malloc,malloc,malloc,malloc,malloc,
  79. $code2 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 0F B6 ?? ?? 85 ?? 7E ?? 8B ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 ?? 74 ?? 89 ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 3C ?? 0F 87 ?? ?? ?? ?? 0F B6 ?? FF ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89  }
  80. // Relevance: 21.187  API Chain: GetKeyState,GetKeyState,GetKeyState,GetKeyboardState,MapVirtualKeyA,ToAscii,GetKeyState,MapVirtualKeyA,GetKeyNameTextA,GetKeyState,
  81. $code3 = { 55 89 ?? 53 81 ?? ?? ?? ?? ?? 8B ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 77 ?? 83 ?? ?? 0F 83 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 0F 84 ?? ??  }
  82. // Relevance: 21.18  API Chain: CreateToolhelp32Snapshot,Process32First,CloseHandle,OpenProcess,GetProcessTimes,FileTimeToSystemTime,CloseHandle,Process32Next,CloseHandle,
  83. $code4 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 89 ?? 83 ?? ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 52 85 ?? 75 ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 85 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ??  }
  84. // Relevance: 19.688  API Chain: socket,gethostbyname,htons,connect,send,fopen,recv,fclose,fwrite,fwrite,fclose,recv,fclose,
  85. $code5 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 42 89 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 05 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 89 ?? 85 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? 8B ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52  }
  86. // Relevance: 16.189  API Chain: getenv,getenv,getenv,getenv,getenv,getenv,strlen,strlen,
  87. $code6 = { 55 89 ?? 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 84 ?? 74 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 }
  88. // Relevance: 15.966  API Chain: GetVersionExA,GetVersionExA,GetSystemInfo,GetSystemMetrics,RegOpenKeyExA,RegQueryValueExA,RegCloseKey,
  89. $code7 = { 55 89 ?? 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 85 ?? 0F 95 ?? 74 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 85 ?? 8D ?? ?? ?? ?? ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 85 ?? 74 ?? E9 ?? ?? ?? ?? 89 ?? ?? FF ?? EB ?? 89 ?? ?? E8 ?? ?? ?? ?? 56 84 ?? 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 74 ?? B8 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 83 ?? ?? ?? ?? ?? ?? 0F }
  90. // Relevance: 14.28  API Chain: RegOpenKeyExA,RegOpenKeyExA,CryptUnprotectData,LocalFree,RegCloseKey,RegEnumKeyExA,RegCloseKey,
  91. $code8 = { 55 89 ?? 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ??  }
  92. // Relevance: 14.085  API Chain: RegisterClassExA,CreateWindowExA,CreateWindowExA,TranslateMessage,DispatchMessageA,GetMessageA,
  93. $code9 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8D ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? ?? A4 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 ?? 85 ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ??  }
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!