RisePro хортой программ

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж RisePro.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан RisePro.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар RisePro хортой кодыг хайна.

 Жишээ нь: 

• C дискээс RisePro хортой программыг хайх команд: "yara64.exe -r RisePro.yara C:\ 2>NUL"
• D дискээс RisePro хортой программыг хайх команд: "yara64.exe -r RisePro.yara D:\ 2>NUL"

rule RisePro {

meta:

author = "ANY.RUN"

description = "Detects RisePro (stealer version)"

date = "2023-11-27"

reference = "https://any.run/cybersecurity-blog/risepro-malwarecommunication-analysis/" strings:

$ = { 74 2e 6d 65 2f 52 69 73 65 50 72 6f 53 55 50 50 4f 52 54 }

condition:

any of them

} 

• Дээрх YARA дүрмийг ашиглан RisePro төрлийн хортой кодыг илрүүлэх.
• RisePro төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.