<div dir="ltr">hello rmkml<br>i have read those references before and i have a basic understanding of the vulnerability, however this does not explain the second content string in the signature.<br>filtering based on ports is not relevent since this sig is meant to look at files being transferd at any protocol.<br>

<br>i can't figure out what you mean by "light"...<br><br>attached is the payload from the alerts<br>you can also strip the http headers with some hex-editor and get the beginning of valid rar files<br>weird, they all seem like valid symantec endpoint protection updates...<br>

<br>anyone from VRT care to enlighten us?<br><br><div class="gmail_quote">On Tue, Nov 16, 2010 at 11:44 PM, rmkml <span dir="ltr"><<a href="mailto:rmkml@...174...">rmkml@...174...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Hi Matan,<br>
added more references:<br>
 <a href="http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=515" target="_blank">http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=515</a><br>
 <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2152" target="_blank">http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2152</a><br>
 <a href="http://www.kb.cert.org/vuls/id/324929" target="_blank">http://www.kb.cert.org/vuls/id/324929</a><br>
 <a href="http://www.securityfocus.com/bid/23543" target="_blank">http://www.securityfocus.com/bid/23543</a><br>
 <a href="http://xforce.iss.net/xforce/xfdb/33732" target="_blank">http://xforce.iss.net/xforce/xfdb/33732</a><br>
-Maybe check if any ports is good for you or maybe add exception port?<br>
-Maybe add "light" within:200; for checking unicode multibyte,<br>
-and maybe add "light" searching long null byte (separator) ending filename like: isdataat:64,relative; content:!"|00|"; within:64;<br>
<br>
but the best is how length multibyte unicode vulnerability?<br>
<br>
do you have a FP example please?<br>
Regards<br><font color="#888888">
Rmkml</font><div><div></div><div class="h5"><br>
<br>
<br>
On Tue, 16 Nov 2010, matan monitz wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
hello<br>
i have been trying to investigate a possible fp for 17297 but i can't really figure out what the sig is looking for<br>
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt"; flow:to_client,established; content:"|52 61 72 21 1A 07 00 CF 90 73 00<br>


00 0D|"; content:"|E2 CA D4 B2 E2 CA D4 B2|"; distance:0; sid:17297; rev:3;)<br>
i get the first part ("|52 61 72 21 1A 07 00 CF 90 73 00 00 0D|"; ) thats a rar file header but what is: content:"|E2 CA D4 B2 E2 CA D4 B2|";?  is it suppose to be something in unicode?<br>
how sure should i be regarding this signature?</blockquote>
</div></div></blockquote></div><br></div>