1# OEM-PIRACY-PATTERNS.RC 2# 3# Current patterns. 4# 5# Updated and verified 2/17/2011 6# 7LOCALSCORE=0 8 9INCLUDERC=${SBDIR}/grey/botnet-cluster-patterns.rc 10 11# From Keywords 12# 13:0 14* -1000^0 15* H ?? 1100^0 ^From:.*[^0-9a-z](Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\ 16 [*0o�����][*3e����]M([^0-9a-z]|$) 17* H ?? 1100^0 ^From:.*C[*0o�����]r[*3e����][*1il����|][^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ffers?)([^0-9a-z]|$) 18* H ?? 1100^0 ^From:.*M[*1il����|]cr[*0o�����]s[*0o�����]ft[^0-9a-z]*([*0o�����]ff[*1il����|]c[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 19* H ?? 1100^0 ^From:.*RS[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 20* H ?? 1100^0 ^From:.*R[*0o�����]s[*3e����]tt[@*a������][^0-9a-z]*St[*0o�����]n[*3e����]([^0-9a-z]|$) 21* H ?? 1100^0 ^From:.*W[*1il����|]nd[*0o�����]ws[^0-9a-z]*((200)?7|Pr[*0o�����]f[*3e����]ss[*1il����|][*0o�����]n[@*a������][*1il����|]|[u����][*1il����|]t[*1il����|]m[@*a������]t[*3e����]|XP)([^0-9a-z]|$) 22* H ?? 1100^0 ^From:.*[^0-9a-z][*0o�����][*3e����]M([^0-9a-z]|$) 23* H ?? 1100^0 ^From:.*[*1il����|][*0o�����]%[^0-9]*2[*0o�����]%[^0-9a-z]*[*0o�����]f.*[^0-9a-z](r[*3e����]t[@*a������][*1il����|]l|pr[*1il����|]c[*3e����])([^0-9a-z]|$) 24* H ?? 1100^0 ^From:.*[@*a������][u����]t[*0o�����]c[@*a������]d[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?)([^0-9a-z]|$) 25* H ?? 1100^0 ^From:.*[@*a������]d[*0o�����]b[*3e����].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 26* H ?? 1100^0 ^From:.*s[*0o�����]ftw[@*a������]r[*3e����]([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������]d[*3e����]d) 27{ 28 SBLOG="C3T-${TESTNAME} (Keywords in From header)" 29 INCLUDERC=${SBDIR}/functions/loglevel.rc 30 31 :0 32 * $ ${LOCALSCORE}^0 33 * 2^0 34 { LOCALSCORE=$= } 35} 36 37 38# Subject Keywords 39# 40:0 41* -1000^0 42* H ?? 1100^0 ^Subject:.*[^0-9a-z](Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\ 43 [*0o�����][*3e����]M([^0-9a-z]|$) 44* H ?? 1100^0 ^Subject:.*[^0-9a-z]C[*0o�����]r[*3e����][*1il����|].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ffers?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 45* H ?? 1100^0 ^Subject:.*[^0-9a-z]M[*1il����|]cr[*0o�����]s[*0o�����]ft([^0-9a-z]|=20)*([*0o�����]ff[*1il����|]c[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 46* H ?? 1100^0 ^Subject:.*[^0-9a-z]RS([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 47* H ?? 1100^0 ^Subject:.*[^0-9a-z]R[*0o�����]s[*3e����]tt[@*a������]([^0-9a-z]|=20)*St[*0o�����]n[*3e����]([^0-9a-z]|$) 48* H ?? 1100^0 ^Subject:.*[^0-9a-z]W[*1il����|]nd[*0o�����]ws([^0-9a-z]|=20)*((200)?7|Pr[*0o�����]f[*3e����]ss[*1il����|][*0o�����]n[@*a������][*1il����|]|[u����][*1il����|]t[*1il����|]m[@*a������]t[*3e����]|XP)([^0-9a-z]|$) 49* H ?? 1100^0 ^Subject:.*[^0-9a-z][*0o�����][*3e����]M([^0-9a-z]|$) 50* H ?? 1100^0 ^Subject:.*[^0-9a-z][*1il����|][*0o�����]%[^0-9]*2[*0o�����]%[^0-9a-z]*[*0o�����]f.*[^0-9a-z](r[*3e����]t[@*a������][*1il����|]l|pr[*1il����|]c[*3e����])([^0-9a-z]|$) 51* H ?? 1100^0 ^Subject:.*[^0-9a-z][@*a������][u����]t[*0o�����]c[@*a������]d([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?)([^0-9a-z]|$) 52* H ?? 1100^0 ^Subject:.*[@*a������]d[*0o�����]b[*3e����].*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|S[*0o�����]ftw[@*a������]r[*3e����]|W[*1il����|]nd[*0o�����]ws)([^0-9a-z]|$) 53* H ?? 1100^0 ^Subject:.*[^0-9a-z]s[*0o�����]ftw[@*a������]r[*3e����]([^0-9a-z]|=20)*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������][ds][*3e����]d) 54{ 55 SBLOG="C3T-${TESTNAME} (Keywords in Subject header)" 56 INCLUDERC=${SBDIR}/functions/loglevel.rc 57 58 :0 59 * $ ${LOCALSCORE}^0 60 * 2^0 61 { LOCALSCORE=$= } 62} 63 64# Body Keywords: URI Contains "OEM" 65# 66:0 67* -1000^0 68* B ?? 1100^0 (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))*([0-9a-z][-_0-9a-z]*)*oem(�|\.|[=%]2E)[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?([^a-z0-9.]|\. |\.$|$) 69* B ?? 1100^0 (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))*oem[^a-z][-_0-9a-z]*(�|\.|[=%]2E)[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?([^a-z0-9.]|\. |\.$|$) 70* B ?? 1100^0 (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))+[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?/([-_0-9a-z.]+/)*[-_0-9a-z.]+oem([^a-z0-9.]|\. |\.$|$) 71* B ?? 1100^0 (^|[^-_0-9a-z])https?://([0-9a-z][-_0-9a-z]*(�|\.|[=%]2E))+[a-z][a-z][a-z]?[a-z]?[a-z]?[a-z]?/([-_0-9a-z.]+/)*oem[0-9a-z]*([^a-z0-9.]|\. |\.$|$) 72{ 73 SBLOG="C3T-${TESTNAME} (URI contains the string "OEM")" 74 INCLUDERC=${SBDIR}/functions/loglevel.rc 75 76 :0 77 * $ ${LOCALSCORE}^0 78 * 4^0 79 { LOCALSCORE=$= } 80} 81 82# Body Keywords: Body contains "OEM" 83# 84:0 85* -1000^0 86* B ?? 1100^1 (^|[^-_0-9a-z]|[=%]20)(Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\ 87 [*0o�����][*3e����]M([^0-9a-z]|$) 88* B ?? 1100^1 (^|[^-_0-9a-z]|[=%]20)Authorized[^0-9a-z]*[*0o�����][*3e����]M([^a-z0-9.]|\. |\.$|$) 89* B ?? 1100^1 (^|[^-_0-9a-z]|[=%]20)[*0o�����][*3e����]M([^a-z0-9.]|\. |\.$|$) 90* B ?? 1100^1 (^|[^-_0-9a-z]|[=%]20)[*0o�����][*3e����]M[^0-9a-z]*Softwares?([^a-z0-9.]|\. |\.$|$) 91{ 92 SBLOG="C3T-${TESTNAME} (Body contains word "OEM")" 93 INCLUDERC=${SBDIR}/functions/loglevel.rc 94 95 :0 96 * $ ${LOCALSCORE}^0 97 * 4^0 98 { LOCALSCORE=$= } 99} 100 101# Body Keywords: Contains Warez Company Name 102# 103:0 104* -1000^0 105* B ?? 1100^1 (^|[^-_0-9a-z]|[=%]20)(Adobe|Authorized|Autocad|Autodesk|Certified|Corel|Microsoft|Rosetta|Rosy|RStone|Windows)\ 106 [*0o�����][*3e����]M([^0-9a-z]|$) 107* B ?? 1100^1 (Adobe|Corel|Microsoft|RS|Software|Windows)[^0-9a-z]*(D[*1il����|]r[*3e����]ct|D[*0o�����]wn[*1il����|][*0o�����][@*a������]ds?|[*0o�����]ff[*3e����]rs?|[u����]p[*1il����|][*0o�����][@*a������][ds]) 108{ 109 SBLOG="C3T-${TESTNAME} (Body contains Warez Company name)" 110 INCLUDERC=${SBDIR}/functions/loglevel.rc 111 112 :0 113 * $ ${LOCALSCORE}^0 114 * 4^0 115 { LOCALSCORE=$= } 116} 117 118# Body Keywords: Contains OEM Target Software names 119# 120:0 121* -1000^0 122* B ?? 1100^0 C[^0-9a-z]*[*0o�����][^0-9a-z]*r[^0-9a-z]*[*3e����][^0-9a-z]*[*1il����|] 123* B ?? 1100^0 M[^0-9a-z]*[*1il����|][^0-9a-z]*c[^0-9a-z]*r[^0-9a-z]*[*0o�����][^0-9a-z]*s[^0-9a-z]*[*0o�����][^0-9a-z]*f[^0-9a-z]*t 124* B ?? 1100^0 (^|[^-_0-9a-z]|[=%]20)[*0o�����]ff[*1il����|]c[*3e����][^0-9a-z]*(Home|Student|XP|(200)?7)([^a-z0-9.]|\. |\.$|$) 125* B ?? 1100^0 R[*0o�����]s[*3e����]tt[@*a������][^0-9a-z]*St[*0o�����]n[*3e����] 126* B ?? 1100^0 (^|[^-_0-9a-z]|[=%]20)W[*1il����|]nd[*0o�����]ws[^0-9a-z]*(Home|Student|XP|7)([^a-z0-9.]|\. |\.$|$) 127* B ?? 1100^0 [@*a������][u����]t[*0o�����]c[@*a������]d 128* B ?? 1100^0 (^|[^-_0-9a-z]|[=%]20)[@*a������]d[*0o�����]b[*3e����][^0-9a-z]*(Creative[^0-9a-z]*Suite|Illustrator|Photoshop) 129{ 130 SBLOG="C3T-${TESTNAME} (Body contains OEM Target Software names)" 131 INCLUDERC=${SBDIR}/functions/loglevel.rc 132 133 :0 134 * $ ${LOCALSCORE}^0 135 * 2^0 136 { LOCALSCORE=$= } 137} 138 139# Body Keywords: Contains typical Warez keywords 140# 141:0 142* -1000^0 143* B ?? 1100^0 (^|[^-_0-9a-z]|[=%]20)[0-9]+%.*[^0-9a-z]([*0o�����]ff|pr[*1il����|]c[*3e����]|r[*3e����]t[@*a������][*1il����|]l|s[@*a������]v[*1il����|]ngs?)([^a-z0-9.]|\. |\.$|$) 144* B ?? 1100^0 s[*0o�����]ftw[@*a������]r[*3e����][^0-9a-z]*([u����]pd[@*a������]t[*3e����]d|[u����]p[*1il����|][*0o�����][@*a������]d[*3e����]d) 145* B ?? 1100^0 /p=5Fweb=5Fimages/softdepot/ 146{ 147 SBLOG="C3T-${TESTNAME} (Body contains typical Warez keywords)" 148 INCLUDERC=${SBDIR}/functions/loglevel.rc 149 150 :0 151 * $ ${LOCALSCORE}^0 152 * 2^0 153 { LOCALSCORE=$= } 154} 155 156:0 157* -5^0 158* $ ${LOCALSCORE}^0 159{ LT4=yes } 160 161 :0 E 162 * -3^0 163 * $ ${LOCALSCORE}^0 164 { 165 TESTNAME="Probable ${TESTNAME}" 166 TESTSCORE=${TESTSCORE2} 167 LT4=yes 168 } 169