Virtumonde

Hallo Matt,

with a german paragraph:

> AutoRun:"2cc32117","<$SYSDIR>\bumokoju.dll","flagifnofile=1"

If "2cc32117" is a variable name field, a generic approach would be better.

Code: 
AutoRun:"*","<$SYSDIR>\bumokoju.dll","filesize>0"

Because of the asterisk wildcard (*) in the name field, I discarded for safety reasons the "flagifnofile" parameter.

1)
> File:"<$FILE_LIBRARY>","<$SYSDIR>\mumonuwi.dll"
> File:"<$FILE_LIBRARY>","<$SYSDIR>\mumonuwi.dll"
2)
> File:"<$FILE_WEBPAGE>","<$SYSDIR>\kemuboti.dll"
> File:"<$FILE_LIBRARY>","<$SYSDIR>\kemuboti.dll"


Dupes. Always the first rule triggers and alerts with the descripton used in the rule. In the second case the triggering rule would inform with a "$FILE_WEBPAGE" message.

Kind regards,
Roberto.

--

Wenn "2cc32117" ein variabler Name ist, dann empfiehlt sich die Verwendung von Wildcards, um alle Fälle abzudecken.

Wegen des Sternchens wird der flagifnofile Parameter entfernt.

Dopplungen sind nicht schlimm, können aber die Scanzeit erhöhen.
Im zweiten Fall würde die erste der beiden Regeln die Datei finden und dann eine $FILE_WEBPAGE melden.

Gruesse,
Roberto.
 
Hallo Roberto,

leider kann ich kaum sagen, ob es sich bei einer Dateienbezeichnung um variable Namen handelt oder nicht.

:thanks:
 
You must log in or register to reply here.
Back
Top