EvilGnome.yar

private rule EvilGnomeDevStrings {
	meta:
		copyright = "Intezer Labs"
		author = "Intezer Labs"
		reference = "https://www.intezer.com"
		
	strings:
		$s1 = "/media/data/work/Rostov"
		$s2 = "spy/spy-source/spy-agent"
		$s3 = "spy-binary/Linux/spy-agent-setup-linux.run"
		$s4 = "spy-build/Linux/spy-agent"
	condition:
		1 of them
}

private rule EvilGnomeRC5Key {
	meta:
		copyright = "Intezer Labs"
		author = "Intezer Labs"
		reference = "https://www.intezer.com"
    strings:
        $k1 = "sdg62_AS.sa$die3"
    condition:
        all of them
}

private rule EvilGnomeIntezerVaccine
{
	meta:
		sha256 = "7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869"
	strings:
        $s1 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? 77 }
		$s2 = { 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? }
		$s3 = { 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? }
		$s4 = { 41 ?? 41 ?? 49 ?? ?? 5? 5? 48 ?? ?? 89 ?? 49 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 64 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 31 ?? E8 ?? ?? ?? ?? 49 ?? ?? ?? 0F B7 ?? 48 ?? ?? 48 ?? ?? 48 ?? ?? E8 }

	condition:
		all of them
}

rule EvilGnomeYara
{
	meta:
		copyright = "Intezer Labs"
		author = "Intezer Labs"
		reference = "https://www.intezer.com"
	condition:
		EvilGnomeRC5Key or EvilGnomeDevStrings or EvilGnomeIntezerVaccine
}