[Snort-sigs] Virus Outbound Attachment rule

Matthew Jonkman matt at ...2436...
Mon Jun 21 09:55:04 EDT 2004


I'm trying to use the virus outbound rule that's replaced all of the 
virus sigs in the virus.rules ruleset. It seems to be hitting on a 
number of things it isn't intended to. I'm not up on my pcre syntax 
though, so I'm not sure why.

This bit for example hits, but it's a .doc attachment:

000 : 52 65 70 6C 79 2D 54 6F 3A 20 3C 64 6A 6F 6E 65   Reply-To: <xxxxx
010 : 73 40 61 67 72 61 70 6C 2E 63 6F 6D 3E 0D 0A 46   s at ...2566...>..F
020 : 72 6F 6D 3A 20 22 41 67 72 61 20 50 6C 61 63 65   rom: "xxxxxxxxxx
030 : 6D 65 6E 74 73 22 20 3C 64 6A 6F 6E 65 73 40 61   xxxxx" <xxxxxx at ...2567...
040 : 67 72 61 70 6C 2E 63 6F 6D 3E 0D 0A 54 6F 3A 20   xxxxx.com>..To:
050 : 22 44 61 76 65 20 4C 61 77 72 65 6E 63 65 22 20   "Dave xxxxxxxxx"
060 : 3C 64 6C 61 77 72 65 6E 63 65 40 61 67 72 61 70   <xxxxxxxx at ...2568...
070 : 6C 61 63 65 6D 65 6E 74 73 2E 63 6F 6D 3E 0D 0A   xxxxxxxxx.com>..
080 : 53 75 62 6A 65 63 74 3A 20 48 65 61 74 68 20 47   Subject: xxxxxx
090 : 72 65 69 6D 61 6E 6E 20 50 72 65 73 65 6E 74 61   xxxxxxx Presenta
0a0 : 74 69 6F 6E 2E 64 6F 63 0D 0A 44 61 74 65 3A 20   tion.doc..Date:
0b0 : 4D 6F 6E 2C 20 32 31 20 4A 75 6E 20 32 30 30 34   Mon, 21 Jun 2004
0c0 : 20 31 31 3A 34 32 3A 30 31 20 2D 30 35 30 30 0D    11:42:01 -0500.
0d0 : 0A 4D 65 73 73 61 67 65 2D 49 44 3A 20 3C 50 4B   .Message-ID: <PK
0e0 : 45 4C 4B 49 4C 4C 4B 50 4D 4F 41 4D 45 48 48 4B   ELKILLxxMOAMEHHK
0f0 : 42 4E 4D 45 4F 46 43 45 41 41 2E 64 6A 6F 6E 65   BNMEOFCEAA.xxxxx
100 : 73 40 61 67 72 61 70 6C 2E 63 6F 6D 3E 0D 0A 4D   s at ...2569...>..M
110 : 49 4D 45 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30   IME-Version: 1.0
120 : 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20   ..Content-Type:
130 : 6D 75 6C 74 69 70 61 72 74 2F 6D 69 78 65 64 3B   multipart/mixed;
140 : 0D 0A 09 62 6F 75 6E 64 61 72 79 3D 22 2D 2D 2D   ...boundary="---
150 : 2D 3D 5F 4E 65 78 74 50 61 72 74 5F 30 30 30 5F   -=_NextPart_000_
160 : 30 30 31 34 5F 30 31 43 34 35 37 38 34 2E 43 34   0014_0xx45784.C4
170 : 38 36 34 35 35 30 22 0D 0A 58 2D 50 72 69 6F 72   864550"..X-Prior
180 : 69 74 79 3A 20 33 20 28 4E 6F 72 6D 61 6C 29 0D   ity: 3 (Normal).
190 : 0A 58 2D 4D 53 4D 61 69 6C 2D 50 72 69 6F 72 69   .X-MSMail-Priori
1a0 : 74 79 3A 20 4E 6F 72 6D 61 6C 0D 0A 58 2D 4D 61   ty: Normal..X-Ma
1b0 : 69 6C 65 72 3A 20 4D 69 63 72 6F 73 6F 66 74 20   iler: Microsoft
1c0 : 4F 75 74 6C 6F 6F 6B 20 49 4D 4F 2C 20 42 75 69   Outlook IMO, Bui
1d0 : 6C 64 20 39 2E 30 2E 32 34 31 36 20 28 39 2E 30   ld 9.0.2416 (9.0
1e0 : 2E 32 39 31 30 2E 30 29 0D 0A 49 6D 70 6F 72 74   .2910.0)..Import
1f0 : 61 6E 63 65 3A 20 4E 6F 72 6D 61 6C 0D 0A 58 2D   ance: Normal..X-
200 : 4D 69 6D 65 4F 4C 45 3A 20 50 72 6F 64 75 63 65   MimeOLE: Produce
210 : 64 20 42 79 20 4D 69 63 72 6F 73 6F 66 74 20 4D   d By Microsoft M
220 : 69 6D 65 4F 4C 45 20 56 36 2E 30 30 2E 32 38 30   imeOLE V6.00.280
230 : 30 2E 31 31 36 35 0D 0A 0D 0A 54 68 69 73 20 69   0.1165....This i
240 : 73 20 61 20 6D 75 6C 74 69 2D 70 61 72 74 20 6D   s a multi-part m
250 : 65 73 73 61 67 65 20 69 6E 20 4D 49 4D 45 20 66   essage in MIME f
260 : 6F 72 6D 61 74 2E 0D 0A 0D 0A 2D 2D 2D 2D 2D 2D   ormat.....------
270 : 3D 5F 4E 65 78 74 50 61 72 74 5F 30 30 30 5F 30   =_NextPart_000_0
280 : 30 31 34 5F 30 31 43 34 35 37 38 34 2E 43 34 38   014_01Cx5784.C48
290 : 36 34 35 35 30 0D 0A 43 6F 6E 74 65 6E 74 2D 54   64550..Content-T
2a0 : 79 70 65 3A 20 74 65 78 74 2F 70 6C 61 69 6E 3B   ype: text/plain;
2b0 : 0D 0A 09 63 68 61 72 73 65 74 3D 22 69 73 6F 2D   ...charset="iso-
2c0 : 38 38 35 39 2D 31 22 0D 0A 43 6F 6E 74 65 6E 74   8859-1"..Content
2d0 : 2D 54 72 61 6E 73 66 65 72 2D 45 6E 63 6F 64 69   -Transfer-Encodi
2e0 : 6E 67 3A 20 37 62 69 74 0D 0A 0D 0A 46 6F 72 20   ng: 7bit....For
2f0 : 79 6F 75 72 20 61 70 70 72 6F 76 61 6C 0D 0A 2D   your approval..-
300 : 2D 2D 2D 2D 2D 3D 5F 4E 65 78 74 50 61 72 74 5F   -----=_NextPart_
310 : 30 30 30 5F 30 30 31 34 5F 30 31 43 34 35 37 38   000_0014_01C4578
320 : 34 2E 43 34 38 36 34 35 35 30 0D 0A 43 6F 6E 74   4.C4864550..Cont
330 : 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63   ent-Type: applic
340 : 61 74 69 6F 6E 2F 6D 73 77 6F 72 64 3B 0D 0A 09   ation/msword;...
350 : 6E 61 6D 65 3D 22 48 65 61 74 68 20 47 72 65 69   name="xxxxxxxxxx
360 : 6D 61 6E 6E 20 50 72 65 73 65 6E 74 61 74 69 6F   xxxx Presentatio
370 : 6E 2E 64 6F 63 22 0D 0A 43 6F 6E 74 65 6E 74 2D   n.doc"..Content-
380 : 54 72 61 6E 73 66 65 72 2D 45 6E 63 6F 64 69 6E   Transfer-Encodin
390 : 67 3A 20 62 61 73 65 36 34 0D 0A 43 6F 6E 74 65   g: base64..Conte
3a0 : 6E 74 2D 44 69 73 70 6F 73 69 74 69 6F 6E 3A 20   nt-Disposition:
3b0 : 61 74 74 61 63 68 6D 65 6E 74 3B 0D 0A 09 66 69   attachment;...fi
3c0 : 6C 65 6E 61 6D 65 3D 22 48 65 61 74 68 20 47 72   lename="xxxxxxxx
3d0 : 65 69 6D 61 6E 6E 20 50 72 65 73 65 6E 74 61 74   xxxxxx Presentat
3e0 : 69 6F 6E 2E 64 6F 63 22 0D 0A 0D 0A 30 4D 38 52   ion.doc"....0M8R
3f0 : 34 4B 47 78 47 75 45 41 41 41 41 41 41 41 41 41   4KGxGuEAAAAAAAAA
400 : 41 41 41 41 41 41 41 41 41 41 41 41 50 67 41 44   AAAAAAAAAAAAPgAD
410 : 41 50 37 2F 43 51 41 47 41 41 41 41 41 41 41 41   AP7/CQAGAAAAAAAA
420 : 41 41 41 41 41 41 41 43 41 41 41 41 6A 77 41 41   AAAAAAACAAAAjwAA
430 : 41 41 41 41 41 41 41 41 0D 0A 45 41 41 41 6B 51   AAAAAAAA..EAAAkQ
440 : 41 41 41 41 45 41 41 41 44 2B 2F 2F 2F 2F 41 41   AAAAEAAAD+////AA
450 : 41 41 41 49 30 41 41 41 43 4F 41 41 41 41 2F 2F   AAAI0AAACOAAAA//


Can any pcre experts take a look at that? Here's the rule to save you 
looking it up:

alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"VIRUS OUTBOUND bad 
file attachment"; flow:to_server,established; content:"Content-Disposi
tion|3A|"; nocase; 
pcre:"/filename\s*=\s*.*?\.(?=[abcdehijlmnoprsvwx])(a(d[ep]|s[dfx])|c([ho]m|li|md|pp)|d(iz|ll|ot)|e(m[fl]|xe)|h(lp|sq|ta
)|jse?|m(d[abew]|s[ip])|p(p[st]|if|[lm]|ot)|r(eg|tf)|s(cr|[hy]s|wf)|v(b[es]?|cf|xd)|w(m[dfsz]|p[dmsz]|s[cfh])|xl[stw]|bat|ini|lnk|nws|ocx)[
\x27\x22\n\r\s]/iR"; classtype:suspicious-filename-detect; sid:721; rev:7;)

Thanks

--------------------------------------------
Matthew Jonkman, CISSP





More information about the Snort-sigs mailing list