<br><font size=2 face="sans-serif"># This is a template for submitting snort signature descriptions to</font>
<br><font size=2 face="sans-serif"># the snort.org website</font>
<br><font size=2 face="sans-serif">#</font>
<br><font size=2 face="sans-serif"># Ensure that your descriptions are your own</font>
<br><font size=2 face="sans-serif"># and not the work of others.  References in the rules themselves</font>
<br><font size=2 face="sans-serif"># should be used for linking to other's work. </font>
<br><font size=2 face="sans-serif">#</font>
<br><font size=2 face="sans-serif"># If you are unsure of some part of a rule, use that as a commentary</font>
<br><font size=2 face="sans-serif"># and someone else perhaps will be able to fix it.</font>
<br><font size=2 face="sans-serif"># </font>
<br><font size=2 face="sans-serif"># $Id$</font>
<br><font size=2 face="sans-serif">#</font>
<br><font size=2 face="sans-serif"># </font>
<br>
<br><font size=2 face="sans-serif">Rule:  </font>
<br><font size=2 face="sans-serif">alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"VIRUS Lovgate Fileshare 445"; dsize > 500; content:"|40 00 00 C0 2E 61 73 70 61 63 6B 00|"; rev:1;)</font>
<br><font size=2 face="sans-serif"> </font>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Sid:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Summary:</font>
<br><font size=2 face="sans-serif">When Lovgate worm is active it copies itself to network shares when using port 445 for netbios-ss.</font>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Impact:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Detailed Information:</font>
<br><font size=2 face="sans-serif">I took 6 samples of Lovgate.F and opened them up with a hex editor looking for similar code.</font>
<br><font size=2 face="sans-serif">Once I had found some hex that I could identify Lovgate with I based my rule on that. The code</font>
<br><font size=2 face="sans-serif">I found was at the beginning of the excecutable where the aspack signature is.</font>
<br><font size=2 face="sans-serif">I've tried copying the virus across the network maybe 10-15 times and the rule catches it whe netbios</font>
<br><font size=2 face="sans-serif">uses port 445. I've noticed that sometimes netbios copies over port 139 so I needed another rule to scan</font>
<br><font size=2 face="sans-serif">that port.</font>
<br>
<br><font size=2 face="sans-serif">The sid is removed from the above rule since I am using a sid > 1,000,000.</font>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Attack Scenarios:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Ease of Attack:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Positives:</font>
<br><font size=2 face="sans-serif">I realize that some other programs will be using aspack to pack their programs. This may or may not be a problem</font>
<br><font size=2 face="sans-serif">with this rule.</font>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Negatives:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Corrective Action:</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Contributors:</font>
<br><font size=2 face="sans-serif">Tom McLaughlin</font>
<br><font size=2 face="sans-serif">tom.mclaughlin@...1486...</font>
<br><font size=2 face="sans-serif">-- </font>
<br><font size=2 face="sans-serif">Additional References:</font>
<br><font size=2 face="sans-serif">http://www.f-secure.com/v-descs/lovgate.shtml</font>