<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 10">
<meta name=Originator content="Microsoft Word 10">
<link rel=File-List href="cid:filelist.xml@...1496...">
<title>RE: [Snort-sigs] MESSNGR SPAM Sig</title>
<!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;
        mso-font-charset:0;
        mso-generic-font-family:swiss;
        mso-font-pitch:variable;
        mso-font-signature:1627421319 -2147483648 8 0 66047 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:navy;}
span.SpellE
        {mso-style-name:"";
        mso-spl-e:yes;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;
        mso-header-margin:.5in;
        mso-footer-margin:.5in;
        mso-paper-source:0;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]-->
</head>

<body lang=EN-US link=blue vlink=blue style='tab-interval:.5in'>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Sorry that's alert <span
class=SpellE>upd</span> not alert <span class=SpellE>tcp</span><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Derek<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'>-----Original Message-----<br>
<b><span style='font-weight:bold'>From:</span></b> O'Flynn, Derek
[mailto:DOFlyn@...466...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Tuesday, May 06, 2003 3:59
PM<br>
<b><span style='font-weight:bold'>To:</span></b> 'Phil Lyons';
snort-sigs@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> RE: [Snort-sigs] MESSNGR
SPAM Sig</span></font></p>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>We were getting them quite frequently.  I was
able to locate UDP port 135 as the culprit. I ran a sniffer trace all day on
UDP port 135 before putting up my firewall, and only picked up the
messages.  They could use the other Netbios ports as well, but haven't had
much luck catching them on those ports.</span></font><o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>alert tcp any any -> $HOME_NET 135 (msg:
"netBIOS SMB Message SPAM watch";)</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Derek</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>-----Original Message-----</span></font> <br>
<font size=2><span style='font-size:10.0pt'>From: Phil Lyons [<a
href="mailto:plyons@...12...">mailto:plyons@...12...</a>] </span></font><br>
<font size=2><span style='font-size:10.0pt'>Sent: Tuesday, May 06, 2003 3:32 PM</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>To:
snort-sigs@lists.sourceforge.net</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Subject: [Snort-sigs] MESSNGR SPAM
Sig</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Greetings,</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>I would like to use a snort sensor to catch the
messenger SPAM coming in off </span></font><br>
<font size=2><span style='font-size:10.0pt'>the Internet.  I have searched
& probably missed this signature.</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>If one exists, could someone direct me to it?  If
not, could someone forward </span></font><br>
<font size=2><span style='font-size:10.0pt'>a PCAP for it?  I would be
glad to post a rule back.</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>If not, I have my attempts which catch messenger
messages, but w/o a PCAP, I </span></font><br>
<font size=2><span style='font-size:10.0pt'>am not sure whether it is going to
work.  I am going to be travelling to a </span></font><br>
<font size=2><span style='font-size:10.0pt'>site which has this problem, and
would like to have the sigs in my snort </span></font><br>
<font size=2><span style='font-size:10.0pt'>laptop in advance.</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>My go at this from using different NET SEND (from my
local.rules):</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>alert tcp any any -> $HOME_NET 139 (msg:
"netBIOS SMB Message SPAM watch"; </span></font><br>
<font size=2><span style='font-size:10.0pt'>content:"|FF 53 4D
42|";depth:10;classtype:misc-attack;)</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>alert udp any any -> $HOME_NET 138 (msg:
"netBIOS SMB Message Broadcast SPAM </span></font><br>
<font size=2><span style='font-size:10.0pt'>watch";content:"|4D 45 53
53 4E 47 52|";classtype:misc-attack;)</span></font> <o:p></o:p></p>

<p class=MsoNormal style='margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>Best Regards,</span></font> <br>
<font size=2><span style='font-size:10.0pt'>Phil Lyons</span></font> <o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>_________________________________________________________________</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Protect your PC - get McAfee.com
VirusScan Online  </span></font><br>
<font size=2><span style='font-size:10.0pt'><a
href="http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3963"
target="_blank">http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3963</a></span></font>
<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:0in;margin-right:0in;margin-bottom:
12.0pt;margin-left:.5in'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>-------------------------------------------------------</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Enterprise Linux Forum Conference
& Expo, June 4-6, 2003, Santa Clara</span></font> <br>
<font size=2><span style='font-size:10.0pt'>The only event dedicated to issues
related to Linux enterprise solutions</span></font> <br>
<font size=2><span style='font-size:10.0pt'>www.enterpriselinuxforum.com</span></font>
<o:p></o:p></p>

<p style='margin-left:.5in'><font size=2 face="Times New Roman"><span
style='font-size:10.0pt'>_______________________________________________</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Snort-sigs mailing list</span></font>
<br>
<font size=2><span style='font-size:10.0pt'>Snort-sigs@...1307...e.net</span></font>
<br>
<font size=2><span style='font-size:10.0pt'><a
href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span></font>
<o:p></o:p></p>

</div>

</body>

</html>