Для всех правил YARA в сервисе Dr.Web vxCube используется следующий стандартный формат:
rule RuleName1 : TAG1 TAG2 { meta: maliciousness = "neutral"
strings: $s = "SomeString"
condition: $s } |
Правило всегда начинается с ключевого слова rule. За ним следует имя правила (может состоять из букв латинского алфавита, цифр и подчеркиваний). После двоеточия указываются теги (необязательно). Если правило сработает, эти теги попадут в отчет. Тело правила может состоять из трех разделов:
•В обязательном разделе meta указывается тип вредоносности (поле maliciousness), который будет выставлен для файла, если правило сработает. Возможные значения для поля maliciousness: neutral, suspicious, malware.
•В обязательном разделе condition задается условие, при выполнении которого правило сработает.
•В необязательном разделе strings указываются строки, используемые в правиле.
1.В верхней части главной страницы Dr.Web vxCube нажмите Правила YARA.
2.Нажмите 
Добавить. Откроется окно с шаблоном правила.
3.Заполните шаблон, указав нужные вам параметры правила.
4.Нажмите Добавить.
Рисунок 8. Создание правила YARA