YARA — Détecter des malwares avec des règles
★★★★★
Syntaxe d'une règle YARA
rule DetecterMalwareX {
meta:
description = "Détecte le malware X"
severity = "high"
strings:
$texte1 = "commande_malveillante" ascii
$texte2 = "C2_server" wide
$hexa = { 4D 5A 90 00 } // magic bytes PE
$regex = /https?:\/\/[a-z]{5}\.ru\// nocase
condition:
$hexa at 0 and filesize < 5MB and any of ($texte*)
} Utilisation
yara regles.yar fichier.exe
yara -r regles.yar /dossier/ # récursif
yara regles.yar -p 1234 # processus en cours Sources de règles
github.com/Neo23x0/signature-base (Florian Roth) · github.com/Yara-Rules/rules · bazaar.abuse.ch