<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">
<TITLE>RE: [Snort-sigs] MESSNGR SPAM Sig</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>We were getting them quite frequently.  I was able to locate UDP port 135 as the culprit. I ran a sniffer trace all day on UDP port 135 before putting up my firewall, and only picked up the messages.  They could use the other Netbios ports as well, but haven't had much luck catching them on those ports.</FONT></P>

<P><FONT SIZE=2>alert tcp any any -> $HOME_NET 135 (msg: "netBIOS SMB Message SPAM watch";)</FONT>
</P>

<P><FONT SIZE=2>Derek</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Phil Lyons [<A HREF="mailto:plyons@...12...">mailto:plyons@...12...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Tuesday, May 06, 2003 3:32 PM</FONT>
<BR><FONT SIZE=2>To: snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-sigs] MESSNGR SPAM Sig</FONT>
</P>

<P><FONT SIZE=2>Greetings,</FONT>
</P>

<P><FONT SIZE=2>I would like to use a snort sensor to catch the messenger SPAM coming in off </FONT>
<BR><FONT SIZE=2>the Internet.  I have searched & probably missed this signature.</FONT>
</P>

<P><FONT SIZE=2>If one exists, could someone direct me to it?  If not, could someone forward </FONT>
<BR><FONT SIZE=2>a PCAP for it?  I would be glad to post a rule back.</FONT>
</P>

<P><FONT SIZE=2>If not, I have my attempts which catch messenger messages, but w/o a PCAP, I </FONT>
<BR><FONT SIZE=2>am not sure whether it is going to work.  I am going to be travelling to a </FONT>
<BR><FONT SIZE=2>site which has this problem, and would like to have the sigs in my snort </FONT>
<BR><FONT SIZE=2>laptop in advance.</FONT>
</P>

<P><FONT SIZE=2>My go at this from using different NET SEND (from my local.rules):</FONT>
</P>

<P><FONT SIZE=2>alert tcp any any -> $HOME_NET 139 (msg: "netBIOS SMB Message SPAM watch"; </FONT>
<BR><FONT SIZE=2>content:"|FF 53 4D 42|";depth:10;classtype:misc-attack;)</FONT>
</P>

<P><FONT SIZE=2>alert udp any any -> $HOME_NET 138 (msg: "netBIOS SMB Message Broadcast SPAM </FONT>
<BR><FONT SIZE=2>watch";content:"|4D 45 53 53 4E 47 52|";classtype:misc-attack;)</FONT>
</P>
<BR>

<P><FONT SIZE=2>Best Regards,</FONT>
<BR><FONT SIZE=2>Phil Lyons</FONT>
</P>

<P><FONT SIZE=2>_________________________________________________________________</FONT>
<BR><FONT SIZE=2>Protect your PC - get McAfee.com VirusScan Online  </FONT>
<BR><FONT SIZE=2><A HREF="http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3963" TARGET="_blank">http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3963</A></FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>Enterprise Linux Forum Conference & Expo, June 4-6, 2003, Santa Clara</FONT>
<BR><FONT SIZE=2>The only event dedicated to issues related to Linux enterprise solutions</FONT>
<BR><FONT SIZE=2>www.enterpriselinuxforum.com</FONT>
</P>

<P><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-sigs mailing list</FONT>
<BR><FONT SIZE=2>Snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A></FONT>
</P>

</BODY>
</HTML>