[Snort-sigs] Community rules, 100000279? Pcre error? Signature needs tightening up?

Snort 2.4.4, FREEBSD 4.11.

community-smtp.rules:alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25
(msg:"COMMUNITY SMTP Incoming WAB attachment"; flow:to_server,
established; content:"Content-Disposition|3A|"; nocase;
pcre:"/filename=\s*[\x2ewab]/smi"; reference:cve,2006-0014;
reference:url,www.microsoft.com/technet/security/bulletin/MS06-016.mspx;
classtype:suspicious-filename-detect; sid:100000279; rev:1;)

I see content-disposition at 4e0, filename at 510, I don't see the .wab:
(it is searching for Content-Disposition:.*filename=\s*.*\.wab  right?)



000 : 34 35 43 30 2D 39 41 35 38 2D 46 39 46 30 34 44   45C0-9A58-F9F04D
010 : 42 36 46 44 30 45 22 3E 3C 46 4F 4E 54 20 73 69   B6FD0E"><FONT si
020 : 7A 65 3D 33 44 32 3E 3C 54 54 3E 54 68 69 73 20   ze=3D2><TT>This 
030 : 65 6D 61 69 6C 20 69 73 20 63 6F 6E 66 69 64 65   email is confide
040 : 6E 74 69 61 6C 2E 20 49 66 3D 0D 0A 20 79 6F 75   ntial. If=.. you
050 : 20 61 72 65 20 6E 6F 74 20 74 68 65 20 61 64 64    are not the add
060 : 72 65 73 73 65 65 20 74 65 6C 6C 20 74 68 65 20   ressee tell the 
070 : 73 65 6E 64 65 72 20 69 6D 6D 65 64 69 61 74 65   sender immediate
080 : 6C 79 20 61 6E 64 20 64 65 73 74 72 6F 79 20 74   ly and destroy t
090 : 68 69 73 20 65 3D 0D 0A 6D 61 69 6C 20 77 69 74   his e=..mail wit
0a0 : 68 6F 75 74 20 75 73 69 6E 67 2C 20 73 65 6E 64   hout using, send
0b0 : 69 6E 67 20 6F 72 20 73 74 6F 72 69 6E 67 20 69   ing or storing i
0c0 : 74 2E 20 45 6D 61 69 6C 73 20 61 72 65 20 6E 6F   t. Emails are no
0d0 : 74 20 73 65 63 75 72 65 20 61 6E 64 20 6D 61 79   t secure and may
0e0 : 20 3D 0D 0A 73 75 66 66 65 72 20 65 72 72 6F 72    =..suffer error
0f0 : 73 2C 20 76 69 72 75 73 65 73 2C 20 64 65 6C 61   s, viruses, dela
100 : 79 2C 20 69 6E 74 65 72 63 65 70 74 69 6F 6E 20   y, interception 
110 : 61 6E 64 20 61 6D 65 6E 64 6D 65 6E 74 2E 20 53   and amendment. S
120 : 74 61 6E 64 61 72 64 20 43 68 61 72 74 3D 0D 0A   tandard Chart=..
130 : 65 72 65 64 20 50 4C 43 20 61 6E 64 20 73 75 62   ered PLC and sub
140 : 73 69 64 69 61 72 69 65 73 20 28 22 53 43 47 72   sidiaries ("SCGr
150 : 6F 75 70 22 29 20 64 6F 20 6E 6F 74 20 61 63 63   oup") do not acc
160 : 65 70 74 20 6C 69 61 62 69 6C 69 74 79 20 66 6F   ept liability fo
170 : 72 20 64 61 6D 61 67 65 20 3D 0D 0A 63 61 75 73   r damage =..caus
180 : 65 64 20 62 79 20 74 68 69 73 20 65 6D 61 69 6C   ed by this email
190 : 20 61 6E 64 20 6D 61 79 20 6D 6F 6E 69 74 6F 72    and may monitor
1a0 : 20 65 6D 61 69 6C 20 74 72 61 66 66 69 63 2E 3C    email traffic.<
1b0 : 42 52 3E 3C 2F 54 54 3E 3C 2F 46 4F 4E 54 3E 3C   BR></TT></FONT><
1c0 : 2F 44 49 56 3E 0D 0A 3C 44 49 56 3E 26 6E 62 73   /DIV>..<DIV>&nbs
1d0 : 70 3B 3C 2F 44 49 56 3E 3C 2F 54 44 3E 3C 2F 54   p;</DIV></TD></T
1e0 : 52 3E 0D 0A 3C 54 52 3E 0D 0A 3C 54 44 20 69 64   R>..<TR>..<TD id
1f0 : 3D 33 44 49 4E 43 52 45 44 49 46 4F 4F 54 45 52   =3DINCREDIFOOTER
200 : 20 77 69 64 74 68 3D 33 44 22 31 30 30 25 22 3E    width=3D"100%">
210 : 0D 0A 3C 54 41 42 4C 45 20 63 65 6C 6C 53 70 61   ..<TABLE cellSpa
220 : 63 69 6E 67 3D 33 44 30 20 63 65 6C 6C 50 61 64   cing=3D0 cellPad
230 : 64 69 6E 67 3D 33 44 30 20 77 69 64 74 68 3D 33   ding=3D0 width=3
240 : 44 22 31 30 30 25 22 3E 0D 0A 3C 54 42 4F 44 59   D"100%">..<TBODY
250 : 3E 0D 0A 3C 54 52 3E 0D 0A 3C 54 44 20 77 69 64   >..<TR>..<TD wid
260 : 74 68 3D 33 44 22 31 30 30 25 22 3E 3C 2F 54 44   th=3D"100%"></TD
270 : 3E 0D 0A 3C 54 44 20 69 64 3D 33 44 49 4E 43 52   >..<TD id=3DINCR
280 : 45 44 49 53 4F 55 4E 44 20 76 41 6C 69 67 6E 3D   EDISOUND vAlign=
290 : 33 44 62 6F 74 74 6F 6D 20 61 6C 69 67 6E 3D 33   3Dbottom align=3
2a0 : 44 6D 69 64 64 6C 65 3E 3C 2F 54 44 3E 0D 0A 3C   Dmiddle></TD>..<
2b0 : 54 44 20 69 64 3D 33 44 49 4E 43 52 45 44 49 41   TD id=3DINCREDIA
2c0 : 4E 49 4D 20 76 41 6C 69 67 6E 3D 33 44 62 6F 74   NIM vAlign=3Dbot
2d0 : 74 6F 6D 20 61 6C 69 67 6E 3D 33 44 6D 69 64 64   tom align=3Dmidd
2e0 : 6C 65 3E 3C 2F 54 44 3E 3C 2F 54 52 3E 3C 2F 54   le></TD></TR></T
2f0 : 42 4F 44 59 3E 3C 2F 54 3D 0D 0A 41 42 4C 45 3E   BODY></T=..ABLE>
300 : 3C 2F 54 44 3E 3C 2F 54 52 3E 3C 2F 54 42 4F 44   </TD></TR></TBOD
310 : 59 3E 3C 2F 54 41 42 4C 45 3E 3C 53 50 41 4E 20   Y></TABLE><SPAN 
320 : 69 64 3D 33 44 49 6E 63 72 65 64 69 53 74 61 6D   id=3DIncrediStam
330 : 70 3E 3C 53 50 41 4E 20 6C 74 72 3F 3F 3E 3C 41   p><SPAN ltr??><A
340 : 20 68 72 65 3D 0D 0A 66 3D 33 44 22 68 74 74 70    hre=..f=3D"http
350 : 3A 2F 2F 77 77 77 2E 69 6E 63 72 65 64 69 6D 61   ://www.incredima
360 : 69 6C 2E 63 6F 6D 2F 69 6E 64 65 78 2E 61 73 70   il.com/index.asp
370 : 3F 69 64 3D 33 44 35 30 39 26 61 6D 70 3B 6C 61   ?id=3D509&amp;la
380 : 6E 67 3D 33 44 39 22 3E 3C 49 4D 47 20 61 6C 74   ng=3D9"><IMG alt
390 : 3D 0D 0A 3D 33 44 22 22 20 68 73 70 61 63 65 3D   =..=3D"" hspace=
3a0 : 33 44 30 20 73 72 63 3D 33 44 22 63 69 64 3A 38   3D0 src=3D"cid:8
3b0 : 44 46 41 31 37 46 43 2D 35 32 39 36 2D 34 31 35   DFA17FC-5296-415
3c0 : 37 2D 39 31 42 35 2D 37 30 35 34 38 34 36 36 45   7-91B5-70548466E
3d0 : 46 45 45 22 20 61 6C 69 67 6E 3D 33 44 3D 0D 0A   FEE" align=3D=..
3e0 : 62 61 73 65 6C 69 6E 65 20 62 6F 72 64 65 72 3D   baseline border=
3f0 : 33 44 30 3E 3C 2F 41 3E 3C 2F 53 50 41 4E 3E 3C   3D0></A></SPAN><
400 : 2F 53 50 41 4E 3E 3C 2F 42 4F 44 59 3E 3C 2F 48   /SPAN></BODY></H
410 : 54 4D 4C 3E 3D 0D 0A 0D 0A 2D 2D 42 6F 75 6E 64   TML>=....--Bound
420 : 61 72 79 5F 28 49 44 5F 52 67 44 62 35 75 34 78   ary_(ID_RgDb5u4x
430 : 36 41 68 63 70 48 51 72 50 76 79 54 68 67 29 2D   6AhcpHQrPvyThg)-
440 : 2D 0D 0A 0D 0A 2D 2D 42 6F 75 6E 64 61 72 79 5F   -....--Boundary_
450 : 28 49 44 5F 4E 2B 56 65 41 6D 63 53 4D 58 79 64   (ID_N+VeAmcSMXyd
460 : 74 72 41 6B 47 71 66 30 4B 51 29 0D 0A 43 6F 6E   trAkGqf0KQ)..Con
470 : 74 65 6E 74 2D 69 64 3A 20 3C 35 33 42 35 42 42   tent-id: <53B5BB
480 : 36 35 2D 45 42 38 45 2D 34 35 43 30 2D 39 41 35   65-EB8E-45C0-9A5
490 : 38 2D 46 39 46 30 34 44 42 36 46 44 30 45 3E 0D   8-F9F04DB6FD0E>.
4a0 : 0A 43 6F 6E 74 65 6E 74 2D 74 79 70 65 3A 20 69   .Content-type: i
4b0 : 6D 61 67 65 2F 67 69 66 3B 20 6E 61 6D 65 3D 41   mage/gif; name=A
4c0 : 54 54 31 2E 67 69 66 0D 0A 43 6F 6E 74 65 6E 74   TT1.gif..Content
4d0 : 2D 74 72 61 6E 73 66 65 72 2D 65 6E 63 6F 64 69   -transfer-encodi
4e0 : 6E 67 3A 20 62 61 73 65 36 34 0D 0A 43 6F 6E 74   ng: base64..Cont
4f0 : 65 6E 74 2D 64 69 73 70 6F 73 69 74 69 6F 6E 3A   ent-disposition:
500 : 20 61 74 74 61 63 68 6D 65 6E 74 3B 20 66 69 6C    attachment; fil
510 : 65 6E 61 6D 65 3D 41 54 54 31 2E 67 69 66 0D 0A   ename=ATT1.gif..
520 : 0D 0A 52 30 6C 47 4F 44 6C 68 43 67 41 43 41 4F   ..R0lGODlhCgACAO
530 : 63 41 41 41 41 41 41 4E 33 2B 2F 77 41 41 2B 76   cAAAAAAN3+/wAA+v
540 : 2F 64 33 53 34 57 33 64 30 34 2F 41 41 41 35 41   /d3S4W3d04/AAA5A
550 : 45 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   EAAAAAAAAAAAAAAA
560 : 41 41 41 41 41 41 41 41 41 41 41 41 41 41 0D 0A   AAAAAAAAAAAAAA..
570 : 41 41 41 41 41 50 37 2F 41 41 44 36 2F 39 33 64   AAAAAP7/AAD6/93d
580 : 4C 68 62 64 33 54 6A 38 41 41 43 34 41 51 41 41   Lhbd3Tj8AAC4AQAA
590 : 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
5a0 : 2F 76 38 41 41 50 72 2F 33 64 30 75 46 74 33 64   /v8AAPr/3d0uFt3d
5b0 : 4F 50 77 41                                       OPwA

-- 
Michael Scheidell, CTO
561-999-5000, ext 1131
SECNAP Network Security Corporation
Keep up to date with latest information on IT security: Real time
security alerts: http://www.secnap.com/news
 


-------------------------------------------------------
This SF.Net email is sponsored by xPML, a groundbreaking scripting language
that extends applications into web and mobile media. Attend the live webcast
and join the prime developer group breaking into this new coding territory!
http://sel.as-us.falkag.net/sel?cmd_______________________________________________
Snort-sigs mailing list
Snort-sigs@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/snort-sigs