<br><font size=2 face="sans-serif">Rule: FTP ADMw0rm ftp login attempt</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Sid: 144</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Summary: An FTP login by user "w0rm"
was attempted. This is an account used by the ADMw0rm-v1 worm.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Impact: Infected systems are left with
a backdoor user account named "w0rm" and an email with the victims
ip address is emailed to the worms creators.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Detailed Information: This worm exploits
a vulnerability in BIND version 4.9.6 and is linux specific. These attempts
mean the box has probably already been compromised.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Affected Systems: Default installations
of RedHat 4.0 to 5.2</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Attack Scenarios: Standard Internet
worm.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Ease of Attack: Simple.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Positives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Negatives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Corrective Action: Upgrade BIND on vulnerable
servers.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Contributors: Original rule writer unknown.</font>
<br><font size=2 face="sans-serif">         
    Josh Sakofsky</font>
<br><font size=2 face="sans-serif">-- </font>
<br><font size=2 face="sans-serif">Additional References: http://www.whitehats.com/info/IDS01</font>