Just way too fraught with possibilities.
Way to inclusive, reading tcp on all ports?
Looking for a 016 then a 017 third byte into packet?
Could easily trigger fp on file transfers of binary data (ftp, http,
smb) or encrypted data (25, 995, etc)
Someone transferint a big accounting file would almost certanly trigger
this.
backdoor.rules:alert tcp $HOME_NET any -> $EXTERNAL_NET any
(msg:"BACKDOOR silent spy 2.10 runtime detection - init connection";
flow:from_server,established; flowbits:isset,Silent_Spy_InitConnection;
content:"017"; depth:3;
reference:url,www.spywareguide.com/product_show.php?id=1530;
reference:url,www3.ca.com/securityadvisor/pest/pest.aspx?id=453073048;
classtype:trojan-activity; sid:6022; rev:1;)
backdoor.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"BACKDOOR silent spy 2.10 runtime detection - init connection";
flow:to_server,established; content:"016"; depth:3;
flowbits:set,Silent_Spy_InitConnection; flowbits:noalert;
classtype:trojan-activity; sid:6021; rev:1;)
This was data on port 445 that triggered the alert.
000 : 30 31 37 34 33 20 86 51 01 00 30 30 30 30 35 32 01743
.Q..000052
010 : 32 30 20 87 51 01 00 30 30 30 30 35 32 32 30 20 20
.Q..00005220
020 : 88 51 01 00 30 30 32 35 39 37 32 33 20 89 51 01 .Q..00259723
.Q.
030 : 00 30 30 32 37 36 34 32 34 20 8A 51 01 00 30 30 .00276424
.Q..00
040 : 30 33 38 31 36 30 20 8B 51 01 00 30 30 30 36 35 038160
.Q..00065
050 : 30 32 33 20 8C 51 01 00 30 30 30 32 39 34 33 30 023
.Q..00029430
060 : 20 8D 51 01 00 30 30 30 30 36 35 32 33 20 8E 51
.Q..00006523 .Q
070 : 01 00 30 30 30 30 37 38 35 39 20 8F 51 01 00 30 ..00007859
.Q..0
080 : 30 33 30 33 36 36 37 20 90 51 01 00 30 30 32 35 0303667
.Q..0025
090 : 36 31 37 30 20 91 51 01 00 30 30 32 35 37 33 34 6170
.Q..0025734
0a0 : 37 20 92 51 01 00 30 30 30 31 33 39 32 30 20 93 7
.Q..00013920 .
0b0 : 51 01 00 30 30 30 30 37 38 35 39 20 94 51 01 00 Q..00007859
.Q..
0c0 : 30 30 30 31 33 39 32 30 20 95 51 01 00 30 30 30 00013920
.Q..000
0d0 : 35 32 31 30 30 20 96 51 01 00 30 30 30 35 32 31 52100
.Q..000521
0e0 : 30 30 20 97 51 01 00 30 30 32 38 30 31 34 30 20 00
.Q..00280140
0f0 : 98 51 01 00 30 30 30 30 37 38 35 39 20 99 51 01 .Q..00007859
.Q.
100 : 00 30 30 32 33 38 38 32 39 20 9A 51 01 00 30 30 .00238829
.Q..00
110 : 32 36 35 30 39 32 20 9B 51 01 00 30 30 30 30 37 265092
.Q..00007
120 : 38 35 39 20 9C 51 01 00 30 30 30 30 35 39 31 37 859
.Q..00005917
130 : 20 9D 51 01 00 30 30 32 36 35 39 30 30 20 9E 51
.Q..00265900 .Q
140 : 01 00 30 30 30 30 38 35 34 34 20 9F 51 01 00 30 ..00008544
.Q..0
150 : 30 30 30 35 39 31 37 20 A0 51 01 00 30 30 30 30 0005917
.Q..0000
160 : 38 35 34 34 20 A1 51 01 00 30 30 30 34 30 36 30 8544
.Q..0004060
170 : 38 20 A2 51 01 00 30 30 32 33 38 38 30 33 20 A3 8
.Q..00238803 .
180 : 51 01 00 30 30 30 34 30 36 31 34 20 A4 51 01 00 Q..00040614
.Q..
190 : 30 30 32 38 33 34 36 31 20 A5 51 01 00 30 30 32 00283461
.Q..002
1a0 : 38 33 34 32 33 20 A6 51 01 00 30 30 32 37 35 37 83423
.Q..002757
1b0 : 33 36 20 A7 51 01 00 30 30 32 30 31 31 35 34 20 36
.Q..00201154
1c0 : A8 51 01 00 30 30 30 30 38 33 36 37 20 A9 51 01 .Q..00008367
.Q.
1d0 : 00 30 30 30 30 38 33 36 37 20 AA 51 01 00 30 30 .00008367
.Q..00
1e0 : 32 34 37 37 35 35 20 AB 51 01 00 30 30 32 38 30 247755
.Q..00280
1f0 : 36 35 39 20 AC 51 01 00 30 30 32 34 35 31 38 38 659
.Q..00245188
200 : 20 AD 51 01 00 30 30 30 34 30 36 31 36 20 AE 51
.Q..00040616 .Q
210 : 01 00 30 30 30 34 30 36 31 36 20 AF 51 01 00 30 ..00040616
.Q..0
220 : 30 30 36 32 36 38 31 20 B0 51 01 00 30 30 30 36 0062681
.Q..0006
230 : 32 36 38 31 20 B1 51 01 00 30 30 32 32 34 36 33 2681
.Q..0022463
240 : 30 20 B2 51 01 00 30 30 32 32 34 36 33 30 20 B3 0
.Q..00224630 .
250 : 51 01 00 30 30 32 35 33 36 32 39 20 B4 51 01 00 Q..00253629
.Q..
260 : 30 30 32 35 36 33 37 30 20 B5 51 01 00 30 30 30 00256370
.Q..000
270 : 31 35 38 33 32 20 B6 51 01 00 30 30 30 31 35 38 15832
.Q..000158
280 : 33 32 20 B7 51 01 00 30 30 30 31 30 37 38 30 20 32
.Q..00010780
290 : B8 51 01 00 30 30 32 32 33 37 39 36 20 B9 51 01 .Q..00223796
.Q.
2a0 : 00 30 30 32 34 37 33 33 33 20 BA 51 01 00 30 30 .00247333
.Q..00
2b0 : 33 30 30 35 39 32 20 BB 51 01 00 30 30 30 34 38 300592
.Q..00048
2c0 : 35 34 33 20 BC 51 01 00 30 30 30 35 32 33 32 38 543
.Q..00052328
2d0 : 20 BD 51 01 00 30 30 32 37 34 37 35 39 20 BE 51
.Q..00274759 .Q
2e0 : 01 00 30 30 32 38 32 38 30 32 20 BF 51 01 00 30 ..00282802
.Q..0
2f0 : 30 32 32 38 33 32 31 20 C0 51 01 00 30 30 32 32 0228321
.Q..0022
300 : 38 33 32 31 20 C1 51 01 00 30 30 32 36 34 30 33 8321
.Q..0026403
310 : 38 20 C2 51 01 00 30 30 32 37 32 30 36 34 20 C3 8
.Q..00272064 .
320 : 51 01 00 30 30 32 38 32 36 37 35 20 C4 51 01 00 Q..00282675
.Q..
330 : 30 30 33 32 31 30 37 36 20 C5 51 01 00 30 30 33 00321076
.Q..003
340 : 32 31 30 37 36 20 C6 51 01 00 30 30 33 30 30 35 21076
.Q..003005
350 : 37 36 20 C7 51 01 00 30 30 33 30 30 35 37 36 20 76
.Q..00300576
360 : C8 51 01 00 30 30 32 36 37 33 36 35 20 C9 51 01 .Q..00267365
.Q.
370 : 00 30 30 30 31 35 39 33 38 20 CA 51 01 00 30 30 .00015938
.Q..00
380 : 30 35 30 37 30 32 20 CB 51 01 00 30 30 32 35 37 050702
.Q..00257
390 : 34 37 30 20 CC 51 01 00 30 30 30 35 30 37 30 32 470
.Q..00050702
3a0 : 20 CD 51 01 00 30 30 30 34 30 36 31 39 20 CE 51
.Q..00040619 .Q
3b0 : 01 00 30 30 30 34 30 36 31 39 20 CF 51 01 00 30 ..00040619
.Q..0
3c0 : 30 32 30 30 32 34 39 20 D0 51 01 00 30 30 30 39 0200249
.Q..0009
3d0 : 34 31 36 36 20 D1 51 01 00 30 30 32 30 30 32 34 4166
.Q..0020024
3e0 : 39 20 D2 51 01 00 30 30 32 37 33 35 34 35 20 D3 9
.Q..00273545 .
3f0 : 51 01 00 30 30 32 35 33 33 39 38 20 D4 51 01 00 Q..00253398
.Q..
400 : 30 30 32 35 33 33 39 38 20 D5 51 01 00 30 30 32 00253398
.Q..002
410 : 33 34 37 39 39 20 D6 51 01 00 30 30 32 33 34 37 34799
.Q..002347
420 : 39 39 20 D7 51 01 00 30 30 30 34 30 36 32 31 20 99
.Q..00040621
430 : D8 51 01 00 30 30 30 36 34 34 32 33 20 D9 51 01 .Q..00064423
.Q.
440 : 00 30 30 30 34 30 36 32 32 20 DA 51 01 00 30 30 .00040622
.Q..00
450 : 30 34 30 36 32 32 20 DB 51 01 00 30 30 32 33 35 040622
.Q..00235
460 : 30 38 30 20 DC 51 01 00 30 30 32 34 34 32 38 31 080
.Q..00244281
470 : 20 DD 51 01 00 30 30 32 37 39 36 35 35 20 DE 51
.Q..00279655 .Q
480 : 01 00 30 30 32 37 36 38 35 33 20 DF 51 01 00 30 ..00276853
.Q..0
490 : 30 32 38 32 35 33 36 20 E0 51 01 00 30 30 32 36 0282536
.Q..0026
4a0 : 35 35 38 32 20 E1 51 01 00 30 30 30 34 30 36 32 5582
.Q..0004062
4b0 : 35 20 E2 51 01 00 30 30 30 34 30 36 32 35 20 E3 5
.Q..00040625 .
4c0 : 51 01 00 30 30 32 38 34 33 37 31 20 E4 51 01 00 Q..00284371
.Q..
4d0 : 30 30 32 32 37 30 37 38 20 E5 51 01 00 30 30 32 00227078
.Q..002
4e0 : 32 37 30 37 38 20 E6 51 01 00 30 30 32 32 36 30 27078
.Q..002260
4f0 : 34 38 20 E7 51 01 00 30 30 30 37 38 33 39 32 20 48
.Q..00078392
500 : E8 51 01 00 30 30 30 37 38 33 39 32 20 E9 51 01 .Q..00078392
.Q.
510 : 00 30 30 32 37 37 36 39 32 20 EA 51 01 00 30 30 .00277692
.Q..00
520 : 33 30 33 33 31 34 20 EB 51 01 00 30 30 30 30 36 303314
.Q..00006
530 : 38 30 38 20 EC 51 01 00 30 30 33 30 33 33 31 34 808
.Q..00303314
540 : 20 ED 51 01 00 30 30 30 30 36 38 30 38 20 EE 51
.Q..00006808 .Q
550 : 01 00 30 30 32 37 37 36 39 32 20 EF 51 01 00 30 ..00277692
.Q..0
560 : 30 32 31 35 0215
--
Michael Scheidell, CTO
561-999-5000, ext 1131
SECNAP Network Security Corporation
Keep up to date with latest information on IT security: Real time
security alerts: http://www.secnap.com/news
-------------------------------------------------------
Using Tomcat but need to do more? Need to support web services, security?
Get stuff done quickly with pre-integrated technology to make your job easier
Download IBM WebSphere Application Server v.1.0.1 based on Apache Geronimo
http://sel.as-us.falkag.net/sel?cmd_______________________________________________
Snort-sigs mailing list
Snort-sigs@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/snort-sigs
