<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
Thank you for your contribution. We actually have some of them as separate detectors instead of just one that includes all of them. We will go over the ones we maybe missing and we will work on adding them as new detectors in our product. We will let you know
 if we need any specific pcaps from them.
<div class=""><br class="">
</div>
<div class="">Thanks</div>
<div class="">Costas</div>
<div class=""><br class="">
<div>
<blockquote type="cite" class="">
<div class="">On May 25, 2015, at 4:24 PM, Y M <<a href="mailto:snort@...46..." class="">snort@...46...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="ltr" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
Hi,
<div class=""><br class="">
</div>
<div class="">Below are detectors for multiple/some antivirus engines. Hopefully, will be adding more and updating the code. Cleaning up the pcaps for availability.</div>
<div class=""><br class="">
</div>
<div class="">As usual, any comments are welcome. Thanks.</div>
<div class="">YM</div>
<div class=""><br class="">
</div>
<div class="">Heads up, this is going to be a long one.</div>
<div class=""><br class="">
</div>
<div class="">
<div class=""><font face="Courier New, sans-serif" size="2" class="">--[[</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">detection_name: AV Engines Detectos</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">version: 1</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">description: Detectors for various Windows antivirus engines.</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">metadata: OpenAddID community</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">bundle_description $VAR1: {</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'AVG' => 'AVG Internet Security 15.1.0.9',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'Bitdefender' => 'Bitdefender Internet Security',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'F-Secure' => 'F-Secure Safe Network 3.03.103.0',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'KVRT' => 'Kaserpsky Free Virus Removal Tool 15.0.19.0',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'KIS' => 'Kaserpsky Internet Security 15.0.2.361',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'Malwarebytes' => 'Malwarebyte Anti-Malware 2.1.6.1022',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'McAfee' => 'McAfee Master Installer 7.6.0.0',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'Norton' => 'Norton Download Manager 5.0.0',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'Sophos' => 'Sophos Free Virus Removal Tool 2.5',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">          'SUPERAntiSpyware' => 'SUPERAntiSpyware Professional'</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        };</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">--]]</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">require "DetectorCommon"</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">local DC = DetectorCommon</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">local proto = DC.ipproto.tcp;</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">DetectorPackageInfo = {</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        name = "avg",</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        proto = proto,</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        server = {</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                init = 'DetectorInit',</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                --validate = 'DetectorValidate', </font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                clean = 'DetectorClean',        -- Must be added, otherwise error: (null): DetectorFini not provided</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                minimum_matches = 1</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        }</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">}</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">function DetectorInit(detectorInstance)</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gDetector = detectorInstance;</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- AVG</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("avg_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://update.avg.com/" class="">update.avg.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://aa.avg.com/" class="">aa.avg.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://ctf.download.avg.com/" class="">ctf.download.avg.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "static.avg.comg", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://av.download.avg.com/" class="">av.download.avg.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://stub.avg.com/" class="">stub.avg.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://explabs.net/" class="">explabs.net</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""> </font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                -- All of above UrlPatterns can substituted with "<a href="http://avg.com/" class="">avg.com</a>". This may register a user visiting AVG website since homepage is not SSL/TLS.</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "AVGDM-", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "AVGINET", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- Bitdefender</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("bitdefender_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://patches-please-change-me.cdn.bitdefender.net/" class="">patches-please-change-me.cdn.bitdefender.net</a>", "/", "http:",
 "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://download.bitdefender.com/" class="">download.bitdefender.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://upgr-mmxv.cdn.bitdefender.net/" class="">upgr-mmxv.cdn.bitdefender.net</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://nimbus.bitdefender.net/" class="">nimbus.bitdefender.net</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://da3e3.com/" class="">da3e3.com</a>", "/qscan", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "BDNC v", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "Bitdefender", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "BDDownload", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "WSLib", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        </font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- This does not work for some reason. Attempted OU and CN did not work.</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "Bitdefender SRL");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- F-Secure</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("fsecure_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://sp.f-secure.com/" class="">sp.f-secure.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://orsp.f-secure.com/" class="">orsp.f-secure.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "FsCcfDownload", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "FSORSP/", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "CCF DNS", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""> </font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "F-Secure Corporation");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">         -- KVRT & KIS</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">         gAppId = gDetector:open_createApp("kaspersky_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://devbuilds.kaspersky-labs.com/" class="">devbuilds.kaspersky-labs.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://dm.kaspersky-labs.com/" class="">dm.kaspersky-labs.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://slideshow.kaspersky-labs.com/" class="">slideshow.kaspersky-labs.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://geo.kaspersky.com/" class="">geo.kaspersky.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "Kaspersky Downloader", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "Kaspersky Lab ZAO");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "<a href="http://ksn-stat-install.kaspersky-labs.com/" class="">ksn-stat-install.kaspersky-labs.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "<a href="http://activation.kaspersky.com/" class="">activation.kaspersky.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "<a href="http://activation-v2.kaspersky.com/" class="">activation-v2.kaspersky.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- Malwarebytes</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("malwarebytes_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://mbamupdates.com/" class="">mbamupdates.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "mbam -", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "Malwarebytes Corporation");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "*.<a href="http://mwbsys.com/" class="">mwbsys.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- McAfee</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("mcafee_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://download.mcafee.com/" class="">download.mcafee.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://data.hackerwatch.org/" class="">data.hackerwatch.org</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "McHttpH", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "MPFv", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "McAfee, Inc.");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "*.<a href="http://mcafee.com/" class="">mcafee.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- Norton</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("norton_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://liveupdate.symantecliveupdate.com/" class="">liveupdate.symantecliveupdate.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://buy-download.norton.com/" class="">buy-download.norton.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://spoc-pool-gtm.norton.com/" class="">spoc-pool-gtm.norton.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://stats.norton.com/" class="">stats.norton.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://csasmain.symantec.com/" class="">csasmain.symantec.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "NS/", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "FSD", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "Norton/", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "DING", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "Symantec Corporation");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "<a href="http://shasta-rrs.symantec.com/" class="">shasta-rrs.symantec.com</a>");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- Sophos. Detection for this already exists in the OpenAppID Detector package.</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("sophos_av");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addAppUrl then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "<a href="http://sophosupd.com/" class="">sophosupd.com</a>", "/", "http:", "", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SophosUpdateLibrary/", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addSSLCnamePattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addSSLCnamePattern(0, gAppId, "Sophos Ltd.");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        -- SUPERAntiSpyware</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        gAppId = gDetector:open_createApp("santispyware");</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        if gDetector.addHttpPattern then</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SASDef_GetDescriptor", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SABUPDATE", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SASDIAGNOSTICITEM", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SAS_APP", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SABACTIVATION", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">                gDetector:addHttpPattern(2, 5, 0, gAppId, 0, 0, 0, "SASThreatMap", gAppId);</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">        return gDetector;</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">function DetectorValidator()</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">    local context = {}</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">    return clientFail(context)</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">function DetectorClean()</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">end</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class=""><br class="">
</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">-- Must be added, otherwise error: (null): DetectorFini not provided</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">function DetectorFini()</font></div>
<div class=""><font face="Courier New, sans-serif" size="2" class="">end</font></div>
</div>
</div>
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">------------------------------------------------------------------------------</span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">One
 dashboard for servers and applications across Physical-Virtual-Cloud<span class="Apple-converted-space"> </span></span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Widest
 out-of-the-box monitoring support with 50+ applications</span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Performance
 metrics, stats and reports that give you Actionable Insights</span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Deep
 dive visibility with transaction tracing using APM Insight.</span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y_______________________________________________" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y_______________________________________________</a><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Snort-openappid
 mailing list</span><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="mailto:Snort-openappid@lists.sourceforge.net" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Snort-openappid@lists.sourceforge.net</a><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-openappid" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">https://lists.sourceforge.net/lists/listinfo/snort-openappid</a><br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<br style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Please
 visit<span class="Apple-converted-space"> </span></span><a href="http://blog.snort.org/" style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">http://blog.snort.org</a><span style="font-family: Calibri; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class=""><span class="Apple-converted-space"> </span>to
 stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>