Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #####################
- # compiled by @malwaremustdie
- # sample family: NetWire RAT
- # hash: 1931bcb54655ca2018fec60bf84776f7
- #####################
- #
- # binary strings:
- #
- #####################
- // Relevance: 6.0 Appears at: 65cf
- $s0 = "SMTP Password" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 659d
- $s1 = "HTTP Server" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 65c1
- $s2 = "SMTP Server" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 6246
- $s3 = "Mozilla Firefox" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 6591
- $s4 = "HTTP User" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 65b5
- $s5 = "SMTP User" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 65ab
- $s6 = "HTTP Password" fullword nocase wide ascii
- // Relevance: 6.0 Appears at: 6739
- $s7 = "USERNAME" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6162
- $s8 = "mozcrt19.dll" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6549
- $s9 = "POP3 User" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 616e
- $s10 = "sqlite3.dll" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6137
- $s11 = "ComSpec" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 5e
- $s12 = "0`.data" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6730
- $s13 = "localhost" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 61ae
- $s14 = "nss3.dll" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6376
- $s15 = "PK11SDR_Decrypt" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 631c
- $s16 = "%s\\signons.sqlite" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6181
- $s17 = "plc4.dll" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6227
- $s18 = "mozglue.dll" fullword nocase wide ascii
- // Relevance: 3.0 Appears at: 6587
- $s19 = "IMAP Password" fullword nocase wide ascii
- // Opcode sequence from the PE entrypoint
- $entrypointOpCode = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? E8 ?? ?? }
- condition:
- all of them
- // PE Section check
- and pe.sections[0].name contains ".text"
- and pe.sections[1].name contains ".data"
- and pe.sections[2].name contains ".bss"
- and pe.sections[3].name contains ".idata"
- // PE Image characteristic check
- and pe.characteristics & pe.LOCAL_SYMS_STRIPPED
- and pe.characteristics & pe.EXECUTABLE_IMAGE
- and pe.characteristics & pe.DEBUG_STRIPPED
- and pe.characteristics & pe.LINE_NUMS_STRIPPED
- and pe.characteristics & pe.RELOCS_STRIPPED
- // PE subsystem check
- and pe.subsystem & pe.SUBSYSTEM_WINDOWS_GUI
- #####################
- #
- # memory strings:
- # (experimental)
- #
- #####################
- strings:
- // Relevance: 33.434 API Chain: GetSystemMetrics,GetSystemMetrics,GetDesktopWindow,GetDC,CreateCompatibleDC,CreateCompatibleBitmap,SelectObject,BitBlt,GetDIBits,malloc,GetDIBits,ReleaseDC,DeleteDC,DeleteObject,
- $code0 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? C7 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 89 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 89 ?? E8 ?? ?? ?? ?? 89 ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 89 ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 89 ?? ?? 8B ?? 89 ?? ?? ?? 8B ?? 89 ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? 83 ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 50 C7 ?? ?? ?? ?? ?? ?? ?? C7 }
- // Relevance: 28.197 API Chain: getenv,getenv,CreatePipe,CreatePipe,GetStartupInfoA,CreateProcessA,CloseHandle,CloseHandle,PeekNamedPipe,malloc,ReadFile,CloseHandle,CloseHandle,TerminateProcess,
- $code1 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? }
- // Relevance: 25.152 API Chain: malloc,getenv,WSACleanup,ExitProcess,malloc,getenv,malloc,malloc,malloc,malloc,malloc,malloc,
- $code2 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 0F B6 ?? ?? 85 ?? 7E ?? 8B ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 ?? 74 ?? 89 ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 3C ?? 0F 87 ?? ?? ?? ?? 0F B6 ?? FF ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 }
- // Relevance: 21.187 API Chain: GetKeyState,GetKeyState,GetKeyState,GetKeyboardState,MapVirtualKeyA,ToAscii,GetKeyState,MapVirtualKeyA,GetKeyNameTextA,GetKeyState,
- $code3 = { 55 89 ?? 53 81 ?? ?? ?? ?? ?? 8B ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 77 ?? 83 ?? ?? 0F 83 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 77 ?? 83 ?? ?? 0F 84 ?? ?? }
- // Relevance: 21.18 API Chain: CreateToolhelp32Snapshot,Process32First,CloseHandle,OpenProcess,GetProcessTimes,FileTimeToSystemTime,CloseHandle,Process32Next,CloseHandle,
- $code4 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 89 ?? 83 ?? ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 52 85 ?? 75 ?? 89 ?? ?? E8 ?? ?? ?? ?? 50 C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 85 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? }
- // Relevance: 19.688 API Chain: socket,gethostbyname,htons,connect,send,fopen,recv,fclose,fwrite,fwrite,fclose,recv,fclose,
- $code5 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 42 89 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 05 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 89 ?? 85 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? 8B ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 }
- // Relevance: 16.189 API Chain: getenv,getenv,getenv,getenv,getenv,getenv,strlen,strlen,
- $code6 = { 55 89 ?? 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 84 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 84 ?? 74 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 }
- // Relevance: 15.966 API Chain: GetVersionExA,GetVersionExA,GetSystemInfo,GetSystemMetrics,RegOpenKeyExA,RegQueryValueExA,RegCloseKey,
- $code7 = { 55 89 ?? 56 53 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 51 85 ?? 0F 95 ?? 74 ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 85 ?? 8D ?? ?? ?? ?? ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 85 ?? 74 ?? E9 ?? ?? ?? ?? 89 ?? ?? FF ?? EB ?? 89 ?? ?? E8 ?? ?? ?? ?? 56 84 ?? 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 83 ?? ?? 74 ?? B8 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 83 ?? ?? ?? ?? ?? ?? 0F }
- // Relevance: 14.28 API Chain: RegOpenKeyExA,RegOpenKeyExA,CryptUnprotectData,LocalFree,RegCloseKey,RegEnumKeyExA,RegCloseKey,
- $code8 = { 55 89 ?? 81 ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 85 ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? ?? 8B ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? }
- // Relevance: 14.085 API Chain: RegisterClassExA,CreateWindowExA,CreateWindowExA,TranslateMessage,DispatchMessageA,GetMessageA,
- $code9 = { 55 89 ?? 57 56 53 81 ?? ?? ?? ?? ?? 8D ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? ?? A4 C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 ?? 75 ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? 8D ?? ?? 89 ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 52 ?? 85 ?? 75 ?? EB ?? C7 ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? }
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement