MeldSecurity
Press Enter to search
CVE Database & Search →
Sign In Get Started

Linux_Backdoor_AutoColor

YARA-2025-0469 High general Active

Yara rule that detects AutoColor backdoor.

Linux_Backdoor_AutoColor.yar Valid Syntax 
rule Linux_Backdoor_AutoColor : tc_detection malicious
{
    meta:

        author              = "ReversingLabs"

        source              = "ReversingLabs"
        status              = "RELEASED"
        sharing             = "TLP:WHITE"
        category            = "MALWARE"
        malware             = "AUTOCOLOR"
        description         = "Yara rule that detects AutoColor backdoor."

        tc_detection_type   = "Backdoor"
        tc_detection_name   = "AutoColor"
        tc_detection_factor = 5

    strings:

        $install_library_implant_p1 = {
            F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
            89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35
            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48
            8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??
            48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??
            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89
            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6
            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
            ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
            89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45
            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??
            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??
            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
        }

        $install_library_implant_p2 = {
            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??
            4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48
            89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??
            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89
            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
            ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??
            ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
            45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
            C4 ?? ?? ?? ?? 5B 41 5C 5D C3
        }

        $self_delete = {
            F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83
            7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
            ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
            E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA
            48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??
            ?? ?? ?? 48 83 C4 ?? 5B 5D C3
        }

        $execute_local_file_p1 = {
            F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC
            ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??
            ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??
            ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
            48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??
            ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??
            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??
            48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??
            ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??
            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2
            48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??
            ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74
            ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
            DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??
            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??
            ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89
        }

        $execute_local_file_p2 = {
            C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF
            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??
            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89
            C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??
            48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85
            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48
            89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??
            48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39
            85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??
            48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83
        }

        $execute_local_file_p3 = {
            85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??
            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85
            ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85
            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48
            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89
            E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E
            FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC
            74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3
            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48
            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??
            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
            C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3
        }

        $network_proxy_communication_p1 = {
            F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48
            89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA
            89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48
            C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1
            EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA
            48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2
            C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA
            ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48
            63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??
            ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39
            85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
            8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??
            ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
            8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??
            ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0
        }

        $network_proxy_communication_p2 = {
            48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B
            85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??
            ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
            48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??
            ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89
            C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D
            B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89
            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB
            ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89
            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??
            ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??
            F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
        }

    condition:
        uint32(0) == 0x464C457F and
        (
            all of ($install_library_implant_p*)
        ) and
        (
            $self_delete
        ) and
        (
            all of ($execute_local_file_p*)
        ) and
        (
            all of ($network_proxy_communication_p*)
        )
}

Rule Metadata

author
ReversingLabs
source
ReversingLabs
status
RELEASED
sharing
TLP:WHITE
category
MALWARE
malware
AUTOCOLOR
description
Yara rule that detects AutoColor backdoor.
tc_detection_type
Backdoor
tc_detection_name
AutoColor

Tags

tc_detection malicious

String Definitions

{"name":"$install_library_implant_p1","value":"{\n F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48\n 89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??\n ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48\n 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??\n ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35\n ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48\n 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8\n ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??\n 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??\n ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89\n C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6\n 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8\n ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48\n 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45\n ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??\n ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89\n 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??\n ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??\n ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??\n ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7\n }"}
{"name":"$install_library_implant_p2","value":"{\n E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??\n ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??\n 4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48\n 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??\n ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89\n C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??\n ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??\n ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??\n ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F\n 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D\n 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??\n ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F\n 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D\n 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81\n C4 ?? ?? ?? ?? 5B 41 5C 5D C3\n }"}
{"name":"$self_delete","value":"{\n F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0\n 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83\n 7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??\n ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7\n E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA\n 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??\n ?? ?? ?? 48 83 C4 ?? 5B 5D C3\n }"}
{"name":"$execute_local_file_p1","value":"{\n F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC\n ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??\n ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8\n ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??\n ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??\n 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??\n ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??\n C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??\n 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??\n ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??\n C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2\n 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??\n ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74\n ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89\n DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??\n ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??\n ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89\n }"}
{"name":"$execute_local_file_p2","value":"{\n C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89\n 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF\n ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??\n ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89\n C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8\n ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??\n 48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85\n ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48\n 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??\n 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??\n 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39\n 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??\n 48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83\n }"}
{"name":"$execute_local_file_p3","value":"{\n 85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??\n ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85\n ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85\n ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85\n ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48\n 8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB\n ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89\n E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E\n FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC\n 74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3\n 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48\n 8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB\n ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??\n ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81\n C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3\n }"}
{"name":"$network_proxy_communication_p1","value":"{\n F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48\n 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0\n B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA\n 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48\n C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1\n EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA\n 48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2\n C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA\n ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48\n 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??\n ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??\n ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39\n 85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??\n 8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??\n ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??\n ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??\n 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??\n ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0\n }"}
{"name":"$network_proxy_communication_p2","value":"{\n 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B\n 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89\n 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??\n ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??\n ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??\n 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??\n ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89\n C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D\n B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89\n C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB\n ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89\n C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??\n ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??\n F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3\n }"}

Threat Analysis

This YARA rule is designed to detect general threats.

Severity Level: High

The rule uses pattern matching to identify specific byte sequences, strings, or behavioral patterns associated with malicious activity.

Detection Capabilities

  • File-based detection for executables and documents
  • Memory scanning for running processes
  • Network traffic analysis support

Command Line Usage

# Scan a single file
yara Linux_Backdoor_AutoColor.yar /path/to/suspicious/file

# Scan a directory recursively
yara -r Linux_Backdoor_AutoColor.yar /path/to/directory/

# Scan with metadata output
yara -m Linux_Backdoor_AutoColor.yar target_file

# Scan process memory (Linux)
yara Linux_Backdoor_AutoColor.yar /proc/[pid]/exe

Integration Examples

Python (yara-python)

import yara
rules = yara.compile(filepath='Linux_Backdoor_AutoColor.yar')
matches = rules.match('/path/to/file')

ClamAV Integration

clamscan --yara-rules=Linux_Backdoor_AutoColor.yar /path/to/scan

Rule Information

YARA ID
YARA-2025-0469
Created
August 19, 2025
Last Updated
August 19, 2025
Last Imported
Never

Threat Intelligence

Risk Level High
Category general
Detection Confidence Analysis Pending
False Positive Rate Not Available
Last Seen in Wild No Data

Related Rules

Win32_Ransomware_RetMyData
YARA-2025-0202
Critical
Win32_Ransomware_CyberVolk
YARA-2025-0203
Critical
Linux_Backdoor_GobRAT
YARA-2025-0204
High
Linux_Backdoor_Krasue
YARA-2025-0205
High
Win32_Ransomware_Zoldon
YARA-2025-0206
Critical

Export Options

Similar Rules in general

YARA-2023-0001 CRI

Detect_Mimic_Ransomware

Detect_Mimic_Ransomware
YARA-2023-0002 MED

SystemBC_malware

Detect_SystemBC
YARA-2023-0003 MED

detect_catB

detect_CatB_ransomware
YARA-2022-0001 MED

detect_Typhon_Stealer

detect_Typhon_Stealer
YARA-2023-0004 MED

Nosu_stealer

Detect_Nosu_stealer
YARA-2022-0002 MED

detect_Lumma_stealer

detect_Lumma_stealer
YARA-2022-0003 MED

detect_StrelaStealer

detect_StrelaStealer
YARA-2022-0004 MED

detect_silence_Downloader

detect_silence_Downloader