[Snort-sigs] FPs on bleeding iscbaddness6 sid:2000557 rev 2

Matt Ostiguy ostiguy at ...2420...
Fri Dec 17 08:15:05 EST 2004


Traffic to 64.4.23.29 throws FPs - it looks some MSN or Hotmail update
is partially named update.exe

000 : 48 45 41 44 20 2F 69 63 65 2F 30 39 32 39 5F 6D   HEAD /ice/0929_m
010 : 73 6E 39 31 2F 65 6E 2F 75 70 64 61 74 65 2E 65   sn91/en/update.e
020 : 78 65 2E 63 61 62 20 48 54 54 50 2F 31 2E 31 0D   xe.cab HTTP/1.1.
030 : 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A 41 63   .Accept: */*..Ac
040 : 63 65 70 74 2D 45 6E 63 6F 64 69 6E 67 3A 20 69   cept-Encoding: i
050 : 64 65 6E 74 69 74 79 0D 0A 55 73 65 72 2D 41 67   dentity..User-Ag
060 : 65 6E 74 3A 20 4D 69 63 72 6F 73 6F 66 74 20 42   ent: Microsoft B
070 : 49 54 53 2F 36 2E 36 0D 0A 48 6F 73 74 3A 20 64   ITS/6.6..Host: d
080 : 6F 77 6E 6C 6F 61 64 2E 77 69 6E 64 6F 77 73 75   ownload.windowsu
090 : 70 64 61 74 65 2E 63 6F 6D 0D 0A 43 6F 6E 6E 65   pdate.com..Conne
0a0 : 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 6C 69 76   ction: Keep-Aliv
0b0 : 65 0D 0A 0D 0A                                    e....


This one was from evaluating CA's PestPatrol anti spyware:

000 : 47 45 54 20 2F 44 6F 77 6E 6C 6F 61 64 73 2F 65   GET /Downloads/e
010 : 54 72 75 73 74 50 50 53 74 64 2F 75 70 64 61 74   TrustPPStd/updat
020 : 65 73 2F 70 70 64 6F 75 70 64 61 74 65 2E 65 78   es/ppdoupdate.ex
030 : 65 20 48 54 54 50 2F 31 2E 31 0D 0A 55 73 65 72   e HTTP/1.1..User
040 : 2D 41 67 65 6E 74 3A 20 50 65 73 74 50 61 74 72   -Agent: PestPatr
050 : 6F 6C 76 35 0D 0A 48 6F 73 74 3A 20 70 70 75 70   olv5..Host: ppup
060 : 64 61 74 65 73 2E 63 61 2E 63 6F 6D 0D 0A 43 6F   dates.ca.com..Co
070 : 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41   nnection: Keep-A
080 : 6C 69 76 65 0D 0A 43 6F 6F 6B 69 65 3A 20 57 45   live.




More information about the Snort-sigs mailing list