Snort mailing list archives

Previous By Date Next
Previous By Thread Next

RE: Re: pif worm

From: "James Friesen" <lucretia () telusplanet net>
Date: Thu, 23 Aug 2001 06:59:35 -0600
Um, folks any suggestions...?

These dumb email messages with PIF or SCR in the title are causing a LOT of
false alarms here.

How can I correct this but still leave the alerts?

These rules seem incredibly prone to false alarm, and easy to set off.

TIA!

The packet dump from my alert generated over this message is confirmed:

length = 1068

000 : 67 65 2E 6E 65 74 3F 73 75 62 6A 65 63 74 3D 73   ge.net?subject=s
010 : 75 62 73 63 72 69 62 65 3E 0D 0A 4C 69 73 74 2D   ubscribe>..List-
020 : 49 64 3A 20 53 6E 6F 72 74 20 75 73 65 72 73 20   Id: Snort users
030 : 74 61 6C 6B 20 61 62 6F 75 74 2E 2E 2E 20 53 6E   talk about... Sn
040 : 6F 72 74 21 20 3C 73 6E 6F 72 74 2D 75 73 65 72   ort! <snort-user
050 : 73 2E 6C 69 73 74 73 2E 73 6F 75 72 63 65 66 6F   s.lists.sourcefo
060 : 72 67 65 2E 6E 65 74 3E 0D 0A 4C 69 73 74 2D 55   rge.net>..List-U
070 : 6E 73 75 62 73 63 72 69 62 65 3A 20 3C 68 74 74   nsubscribe: <htt
080 : 70 3A 2F 2F 6C 69 73 74 73 2E 73 6F 75 72 63 65   p://lists.source
090 : 66 6F 72 67 65 2E 6E 65 74 2F 6C 69 73 74 73 2F   forge.net/lists/
0a0 : 6C 69 73 74 69 6E 66 6F 2F 73 6E 6F 72 74 2D 75   listinfo/snort-u
0b0 : 73 65 72 73 3E 2C 0D 0A 09 3C 6D 61 69 6C 74 6F   sers>,...<mailto
0c0 : 3A 73 6E 6F 72 74 2D 75 73 65 72 73 2D 72 65 71   :snort-users-req
0d0 : 75 65 73 74 40 6C 69 73 74 73 2E 73 6F 75 72 63   uest@lists.sourc
0e0 : 65 66 6F 72 67 65 2E 6E 65 74 3F 73 75 62 6A 65   eforge.net?subje
0f0 : 63 74 3D 75 6E 73 75 62 73 63 72 69 62 65 3E 0D   ct=unsubscribe>.
100 : 0A 4C 69 73 74 2D 41 72 63 68 69 76 65 3A 20 3C   .List-Archive: <
110 : 68 74 74 70 3A 2F 2F 6C 69 73 74 73 2E 73 6F 75   http://lists.sou
120 : 72 63 65 66 6F 72 67 65 2E 6E 65 74 2F 61 72 63   rceforge.net/arc
130 : 68 69 76 65 73 2F 2F 73 6E 6F 72 74 2D 75 73 65   hives//snort-use
140 : 72 73 2F 3E 0D 0A 44 61 74 65 3A 20 57 65 64 2C   rs/>..Date: Wed,
150 : 20 32 32 20 41 75 67 20 32 30 30 31 20 31 39 3A    22 Aug 2001 19:
160 : 31 37 3A 35 32 20 2D 30 35 30 30 0D 0A 0D 0A 20   17:52 -0500....
170 : 20 20 20 48 69 20 40 6C 6C 20 21 21 21 20 3D 29      Hi @ll !!! =)
180 : 0D 0A 20 20 20 20 43 61 6E 20 61 6E 79 6F 6E 65   ..    Can anyone
190 : 20 74 65 6C 6C 20 6D 65 20 77 68 61 74 20 74 68    tell me what th
1a0 : 65 20 70 69 66 20 77 6F 72 6D 20 69 73 3F 20 49   e pif worm is? I
1b0 : 66 20 74 68 69 73 20 69 6E 20 74 68 65 20 73 6E   f this in the sn
1c0 : 6F 72 74 20 6C 6F 67 73 3A 0D 0A 0D 0A 20 20 20   ort logs:....
1d0 : 20 56 69 72 75 73 20 2D 20 50 6F 73 73 69 62 6C    Virus - Possibl
1e0 : 65 20 70 69 66 20 57 6F 72 6D 3A 20 32 31 33 2E   e pif Worm: 213.
1f0 : 32 34 30 2E 31 36 37 2E 38 39 3A 31 31 30 20 2D   240.167.89:110 -
200 : 3E 20 32 31 33 2E 32 34 30 2E 31 36 37 2E 39 33   > 213.240.167.93
210 : 3A 34 35 34 31 37 0D 0A 0D 0A 0D 0A 49 74 27 73   :45417......It's
220 : 20 61 20 70 61 63 6B 65 74 20 74 68 61 74 20 68    a packet that h
230 : 61 73 20 22 2E 70 69 66 22 20 69 6E 20 69 74 2E   as ".pif" in it.
240 : 20 49 6E 20 6D 79 20 66 69 72 73 74 20 65 6E 63    In my first enc
250 : 6F 75 6E 74 65 72 20 69 74 20 74 75 72 6E 65 64   ounter it turned
260 : 20 6F 75 74 20 74 6F 0D 0A 62 65 20 61 20 64 6F    out to..be a do
270 : 77 6E 6C 6F 61 64 65 64 20 65 2D 6D 61 69 6C 20   wnloaded e-mail
280 : 63 6F 6E 74 61 69 6E 69 6E 67 20 74 68 65 20 53   containing the S
290 : 69 72 43 61 6D 20 76 69 72 75 73 20 62 65 66 6F   irCam virus befo
2a0 : 72 65 20 74 68 65 20 61 6E 74 69 2D 76 69 72 75   re the anti-viru
2b0 : 73 0D 0A 6F 72 67 73 20 68 61 64 20 73 63 61 6E   s..orgs had scan
2c0 : 6E 65 72 73 20 61 76 61 69 6C 61 62 6C 65 20 66   ners available f
2d0 : 6F 72 20 69 74 2E 0D 0A 0D 0A 52 65 67 61 72 64   or it.....Regard
2e0 : 73 2C 20 4D 69 6B 65 20 4B 6C 69 6E 6B 65 0D 0A   s, Mike Klinke..
2f0 : 0D 0A 0D 0A 0D 0A 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F   ......__________
300 : 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F   ________________
310 : 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F 5F   ________________
320 : 5F 5F 5F 5F 5F 0D 0A 53 6E 6F 72 74 2D 75 73 65   _____..Snort-use
330 : 72 73 20 6D 61 69 6C 69 6E 67 20 6C 69 73 74 0D   rs mailing list.
340 : 0A 53 6E 6F 72 74 2D 75 73 65 72 73 40 6C 69 73   .Snort-users@lis
350 : 74 73 2E 73 6F 75 72 63 65 66 6F 72 67 65 2E 6E   ts.sourceforge.n
360 : 65 74 0D 0A 47 6F 20 74 6F 20 74 68 69 73 20 55   et..Go to this U
370 : 52 4C 20 74 6F 20 63 68 61 6E 67 65 20 75 73 65   RL to change use
380 : 72 20 6F 70 74 69 6F 6E 73 20 6F 72 20 75 6E 73   r options or uns
390 : 75 62 73 63 72 69 62 65 3A 0D 0A 68 74 74 70 3A   ubscribe:..http:
3a0 : 2F 2F 6C 69 73 74 73 2E 73 6F 75 72 63 65 66 6F   //lists.sourcefo
3b0 : 72 67 65 2E 6E 65 74 2F 6C 69 73 74 73 2F 6C 69   rge.net/lists/li
3c0 : 73 74 69 6E 66 6F 2F 73 6E 6F 72 74 2D 75 73 65   stinfo/snort-use
3d0 : 72 73 0D 0A 53 6E 6F 72 74 2D 75 73 65 72 73 20   rs..Snort-users
3e0 : 6C 69 73 74 20 61 72 63 68 69 76 65 3A 0D 0A 68   list archive:..h
3f0 : 74 74 70 3A 2F 2F 77 77 77 2E 67 65 6F 63 72 61   ttp://www.geocra
400 : 77 6C 65 72 2E 63 6F 6D 2F 72 65 64 69 72 2D 73   wler.com/redir-s
410 : 66 2E 70 68 70 33 3F 6C 69 73 74 3D 73 6E 6F 72   f.php3?list=snor
420 : 74 2D 75 73 65 72 73 0D 0A 2E 0D 0A               t-users.....



:> -----Original Message-----
:> From: snort-users-admin () lists sourceforge net
:> [mailto:snort-users-admin () lists sourceforge net]On Behalf Of Mike Klinke
:> Sent: Wednesday, August 22, 2001 6:18 PM
:> To: ballmann () co-de de
:> Cc: snort-users () lists sourceforge net
:> Subject: [Snort-users] Re: pif worm
:>
:>
:>     Hi @ll !!! =)
:>     Can anyone tell me what the pif worm is? If this in the snort logs:
:>
:>     Virus - Possible pif Worm: 213.240.167.89:110 ->
:> 213.240.167.93:45417
:>
:>
:> It's a packet that has ".pif" in it. In my first encounter it
:> turned out to
:> be a downloaded e-mail containing the SirCam virus before the anti-virus
:> orgs had scanners available for it.
:>
:> Regards, Mike Klinke



_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
http://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Previous By Date Next
Previous By Thread Next

Current thread: