1# OEM-PIRACY-PATTERNS.RC
2#
3#  Current patterns.
4#
5#  Updated and verified 2/17/2011
6#
7LOCALSCORE=0
8
9INCLUDERC=${SBDIR}/grey/botnet-cluster-patterns.rc
10
11# From Keywords
12#
13:0
14* -1000^0
15*  H ??  1100^0   ^From:.*[^0-9a-z](Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\
16                                   [*0o�����][*3e����]M([^0-9a-z]|$)
17*  H ??  1100^0   ^From:.*C[*0o�����]r[*3e����][*1il����|][^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ffers?)([^0-9a-z]|$)
18*  H ??  1100^0   ^From:.*M[*1il����|]cr[*0o�����]s[*0o�����]ft[^0-9a-z]*([*0o�����]ff[*1il����|]c[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
19*  H ??  1100^0   ^From:.*RS[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
20*  H ??  1100^0   ^From:.*R[*0o�����]s[*3e����]tt[@*a������][^0-9a-z]*St[*0o�����]n[*3e����]([^0-9a-z]|$)
21*  H ??  1100^0   ^From:.*W[*1il����|]nd[*0o�����]ws[^0-9a-z]*((200)?7|Pr[*0o�����]f[*3e����]ss[*1il����|][*0o�����]n[@*a������][*1il����|]|[u����][*1il����|]t[*1il����|]m[@*a������]t[*3e����]|XP)([^0-9a-z]|$)
22*  H ??  1100^0   ^From:.*[^0-9a-z][*0o�����][*3e����]M([^0-9a-z]|$)
23*  H ??  1100^0   ^From:.*[*1il����|][*0o�����]%[^0-9]*2[*0o�����]%[^0-9a-z]*[*0o�����]f.*[^0-9a-z](r[*3e����]t[@*a������][*1il����|]l|pr[*1il����|]c[*3e����])([^0-9a-z]|$)
24*  H ??  1100^0   ^From:.*[@*a������][u����]t[*0o�����]c[@*a������]d[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?)([^0-9a-z]|$)
25*  H ??  1100^0   ^From:.*[@*a������]d[*0o�����]b[*3e����].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
26*  H ??  1100^0   ^From:.*s[*0o�����]ftw[@*a������]r[*3e����]([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������]d[*3e����]d)
27{
28 SBLOG="C3T-${TESTNAME} (Keywords in From header)"
29 INCLUDERC=${SBDIR}/functions/loglevel.rc
30
31 :0
32 * $ ${LOCALSCORE}^0
33 * 2^0
34 { LOCALSCORE=$= }
35}
36
37
38# Subject Keywords
39#
40:0
41* -1000^0
42*  H ??  1100^0   ^Subject:.*[^0-9a-z](Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\
43                                       [*0o�����][*3e����]M([^0-9a-z]|$)
44*  H ??  1100^0   ^Subject:.*[^0-9a-z]C[*0o�����]r[*3e����][*1il����|].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ffers?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
45*  H ??  1100^0   ^Subject:.*[^0-9a-z]M[*1il����|]cr[*0o�����]s[*0o�����]ft([^0-9a-z]|=20)*([*0o�����]ff[*1il����|]c[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
46*  H ??  1100^0   ^Subject:.*[^0-9a-z]RS([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
47*  H ??  1100^0   ^Subject:.*[^0-9a-z]R[*0o�����]s[*3e����]tt[@*a������]([^0-9a-z]|=20)*St[*0o�����]n[*3e����]([^0-9a-z]|$)
48*  H ??  1100^0   ^Subject:.*[^0-9a-z]W[*1il����|]nd[*0o�����]ws([^0-9a-z]|=20)*((200)?7|Pr[*0o�����]f[*3e����]ss[*1il����|][*0o�����]n[@*a������][*1il����|]|[u����][*1il����|]t[*1il����|]m[@*a������]t[*3e����]|XP)([^0-9a-z]|$)
49*  H ??  1100^0   ^Subject:.*[^0-9a-z][*0o�����][*3e����]M([^0-9a-z]|$)
50*  H ??  1100^0   ^Subject:.*[^0-9a-z][*1il����|][*0o�����]%[^0-9]*2[*0o�����]%[^0-9a-z]*[*0o�����]f.*[^0-9a-z](r[*3e����]t[@*a������][*1il����|]l|pr[*1il����|]c[*3e����])([^0-9a-z]|$)
51*  H ??  1100^0   ^Subject:.*[^0-9a-z][@*a������][u����]t[*0o�����]c[@*a������]d([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?)([^0-9a-z]|$)
52*  H ??  1100^0   ^Subject:.*[@*a������]d[*0o�����]b[*3e����].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|S[*0o�����]ftw[@*a������]r[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$)
53*  H ??  1100^0   ^Subject:.*[^0-9a-z]s[*0o�����]ftw[@*a������]r[*3e����]([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������][ds][*3e����]d)
54{
55 SBLOG="C3T-${TESTNAME} (Keywords in Subject header)"
56 INCLUDERC=${SBDIR}/functions/loglevel.rc
57
58 :0
59 * $ ${LOCALSCORE}^0
60 * 2^0
61 { LOCALSCORE=$= }
62}
63
64# Body Keywords: URI Contains "OEM"
65#
66:0
67* -1000^0
68*  B ??   1100^0   (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))*([0-9a-z][-_0-9a-z]*)*oem(�|\.|[=%]2E)[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?([^a-z0-9.]|\. |\.$|$)
69*  B ??   1100^0   (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))*oem[^a-z][-_0-9a-z]*(�|\.|[=%]2E)[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?([^a-z0-9.]|\. |\.$|$)
70*  B ??   1100^0   (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))+[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?/([-_0-9a-z.]+/)*[-_0-9a-z.]+oem([^a-z0-9.]|\. |\.$|$)
71*  B ??   1100^0   (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))+[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?/([-_0-9a-z.]+/)*oem[0-9a-z]*([^a-z0-9.]|\. |\.$|$)
72{
73 SBLOG="C3T-${TESTNAME} (URI contains the string "OEM")"
74 INCLUDERC=${SBDIR}/functions/loglevel.rc
75
76 :0
77 * $ ${LOCALSCORE}^0
78 * 4^0
79 { LOCALSCORE=$= }
80}
81
82# Body Keywords: Body contains "OEM"
83#
84:0
85* -1000^0
86*  B ??   1100^1   (^|[^-_0-9a-z]|[=%]20)(Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\
87                                          [*0o�����][*3e����]M([^0-9a-z]|$)
88*  B ??   1100^1   (^|[^-_0-9a-z]|[=%]20)Authorized[^0-9a-z]*[*0o�����][*3e����]M([^a-z0-9.]|\. |\.$|$)
89*  B ??   1100^1   (^|[^-_0-9a-z]|[=%]20)[*0o�����][*3e����]M([^a-z0-9.]|\. |\.$|$)
90*  B ??   1100^1   (^|[^-_0-9a-z]|[=%]20)[*0o�����][*3e����]M[^0-9a-z]*Softwares?([^a-z0-9.]|\. |\.$|$)
91{
92 SBLOG="C3T-${TESTNAME} (Body contains word "OEM")"
93 INCLUDERC=${SBDIR}/functions/loglevel.rc
94
95 :0
96 * $ ${LOCALSCORE}^0
97 * 4^0
98 { LOCALSCORE=$= }
99}
100
101# Body Keywords: Contains Warez Company Name
102#
103:0
104* -1000^0
105*  B ??   1100^1   (^|[^-_0-9a-z]|[=%]20)(Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\
106                                          [*0o�����][*3e����]M([^0-9a-z]|$)
107*  B ??   1100^1   (Adobe|Corel|Microsoft|RS|Software|Windows)[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������][ds])
108{
109 SBLOG="C3T-${TESTNAME} (Body contains Warez Company name)"
110 INCLUDERC=${SBDIR}/functions/loglevel.rc
111
112 :0
113 * $ ${LOCALSCORE}^0
114 * 4^0
115 { LOCALSCORE=$= }
116}
117
118# Body Keywords: Contains OEM Target Software names
119#
120:0
121* -1000^0
122*  B ??   1100^0   C[^0-9a-z]*[*0o�����][^0-9a-z]*r[^0-9a-z]*[*3e����][^0-9a-z]*[*1il����|]
123*  B ??   1100^0   M[^0-9a-z]*[*1il����|][^0-9a-z]*c[^0-9a-z]*r[^0-9a-z]*[*0o�����][^0-9a-z]*s[^0-9a-z]*[*0o�����][^0-9a-z]*f[^0-9a-z]*t
124*  B ??   1100^0   (^|[^-_0-9a-z]|[=%]20)[*0o�����]ff[*1il����|]c[*3e����][^0-9a-z]*(Home|Student|XP|(200)?7)([^a-z0-9.]|\. |\.$|$)
125*  B ??   1100^0   R[*0o�����]s[*3e����]tt[@*a������][^0-9a-z]*St[*0o�����]n[*3e����]
126*  B ??   1100^0   (^|[^-_0-9a-z]|[=%]20)W[*1il����|]nd[*0o�����]ws[^0-9a-z]*(Home|Student|XP|7)([^a-z0-9.]|\. |\.$|$)
127*  B ??   1100^0   [@*a������][u����]t[*0o�����]c[@*a������]d
128*  B ??   1100^0   (^|[^-_0-9a-z]|[=%]20)[@*a������]d[*0o�����]b[*3e����][^0-9a-z]*(Creative[^0-9a-z]*Suite|Illustrator|Photoshop)
129{
130 SBLOG="C3T-${TESTNAME} (Body contains OEM Target Software names)"
131 INCLUDERC=${SBDIR}/functions/loglevel.rc
132
133 :0
134 * $ ${LOCALSCORE}^0
135 * 2^0
136 { LOCALSCORE=$= }
137}
138
139# Body Keywords: Contains typical Warez keywords
140#
141:0
142* -1000^0
143*  B ??   1100^0   (^|[^-_0-9a-z]|[=%]20)[0-9]+%.*[^0-9a-z]([*0o�����]ff|pr[*1il����|]c[*3e����]|r[*3e����]t[@*a������][*1il����|]l|s[@*a������]v[*1il����|]ngs?)([^a-z0-9.]|\. |\.$|$)
144*  B ??   1100^0   s[*0o�����]ftw[@*a������]r[*3e����][^0-9a-z]*([u����]pd[@*a������]t[*3e����]d|[u����]p[*1il����|][*0o�����][@*a������]d[*3e����]d)
145*  B ??   1100^0   /p=5Fweb=5Fimages/softdepot/
146{
147 SBLOG="C3T-${TESTNAME} (Body contains typical Warez keywords)"
148 INCLUDERC=${SBDIR}/functions/loglevel.rc
149
150 :0
151 * $ ${LOCALSCORE}^0
152 * 2^0
153 { LOCALSCORE=$= }
154}
155
156:0
157* -5^0
158* $ ${LOCALSCORE}^0
159{ LT4=yes }
160
161 :0 E
162 * -3^0
163 * $ ${LOCALSCORE}^0
164 {
165  TESTNAME="Probable ${TESTNAME}"
166  TESTSCORE=${TESTSCORE2}
167  LT4=yes
168 }
169