Hi Nigel, <a href="http://snort.org">snort.org</a> does not list any documentation for them when using the search function. I forgot to check our Sf install first ;)  but I hope I helped in some small way.<br><br>David<br>
<br><div><span class="gmail_quote">On 1/25/07, <b class="gmail_sendername">Nigel Houghton</b> <<a href="mailto:nigel@...435...">nigel@...435...</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On  0, "David Morris" <<a href="mailto:icurnet@...2420...">icurnet@...2420...</a>> wrote:<br>>    Basic  documentation  for  SIDs  1:10065  thru  1:10077 for the 'Storm<br>>    Trojan' (Trojan.Peacomm
) that is of news lately.<br>>    # This is a template for submitting snort signature descriptions to<br>>    # the <a href="http://snort.org">snort.org</a> website<br>>    #<br>>    # Ensure that your descriptions are your own
<br>>    # and not the work of others.  References in the rules themselves<br>>    # should be used for linking to other's work.<br>>    #<br>>    # If you are unsure of some part of a rule, use that as a commentary
<br>>    # and someone else perhaps will be able to fix it.<br>>    #<br>>    # $Id$<br>>    #<br>>    #<br>>    Rule:   SPECIFIC-THREATS  Trojan  Peacomm  smtp propagation detection"<br>>    (1:10065)  (thru sid 1:10077)
<br>>    --<br>>    Sid: 1:10065  (thru 1:10077)<br>>    --<br>>    Summary:  An  executable  attachment  received  via  e-mail that, once<br>>    executed by the user, compromises the users pc by installing
<br>>    a root kit and a udp communication channel for distribution of SPAM.<br>>    --<br>>    Impact: High<br>>    --<br>>    Detailed  Information:  An  executable  attachment received via e-mail<br>>    that,  once  executed  by  the  user,  compromizes  the  users  pc  by
<br>>    installing<br>>    a  root  kit and a udp communication channel for distribution of SPAM.<br>>    Users are lured into opening the attachment by describing<br>>    it  as  a  video  news  story  related  to  current  news  events. The
<br>>    subject/body of the e-mail varies.<br>>    Once  compromized,  the  pc will start sending high volumes (2000-3000<br>>    msgs/min)  of  mail  traffic.  The  backdoor udp communication channel<br>>    typically uses udp/4000 and udp/7871 to communicate with a botnet.
<br>>    Known as Storm Trojan, Trojan.Peacom (Symantec)<br>>    --<br>>    Affected Systems: Microsoft Windows Operating Systems<br>>    --<br>>    Attack Scenarios:<br>>    --<br>>    Ease  of  Attack:  Simple, the user runs an attachment sent to them by
<br>>    e-mail.<br>>    --<br>>    False Positives: none known<br>>    --<br>>    False Negatives: none known<br>>    --<br>>    Corrective  Action: Patch Operating System and AntiVirus program. Drop
<br>>    .exe attachments inbound/outbound. Educate users.<br>>    --<br>>    Contributors: David Morris, CISSP <a href="mailto:icurnet@...2420...">icurnet@...2420...</a><br>>    --<br>>    Additional References:
<br>>    <a href="http://www.symantec.com/outbreak/storm_trojan.html">http://www.symantec.com/outbreak/storm_trojan.html</a><br><br>Thanks for your submission. These rules actually have documentation but<br>I will include the information you include here.
<br><br>--<br>Nigel Houghton<br>Office Linebacker<br>SF VRT<br><br>-------------------------------------------------------------------------<br>Take Surveys. Earn Cash. Influence the Future of IT<br>Join SourceForge.net's Techsay panel and you'll get the chance to share your
<br>opinions on IT & business topics through brief surveys - and earn cash<br><a href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV">http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV
</a><br>_______________________________________________<br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">
https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br></blockquote></div><br>