<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Ok…point of order ladies and gents:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>02/21-08:31:51.953725  [**] [1:2011225:2] ET USER_AGENTS Suspicious User Agent (AskInstallChecker) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 10.21.10.101:2017 -> 74.113.233.61:80<o:p></o:p></p><p class=MsoNormal>02/21-08:31:51.953725  [**] [1:18379:2] BLACKLIST USER-AGENT known malicious user-agent string AskInstallChecker [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 10.21.10.101:2017 -> 74.113.233.61:80<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Rules below:<o:p></o:p></p><p class=MsoNormal>emerging-user_agents.rules:alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET USER_AGENTS Suspicious User Agent (AskInstallChecker)"; flow:to_server,established; content:"GET"; http_method; content:"User-Agent|3a| AskInstallChecker|0d 0a|"; nocase; http_header; classtype:trojan-activity; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/USER_AGENTS/USER_AGENTS_Suspicious; reference:url,doc.emergingthreats.net/2011225; sid:2011225; rev:2;)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>blacklist.rules:alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"BLACKLIST USER-AGENT known malicious user-agent string AskInstallChecker"; flow:to_server,established; content:"User-Agent|3A| AskInstallChecker|0D 0A|"; nocase; http_header; metadata:impact_flag red, service http; reference:url,labs.snort.org/docs/18379.html; classtype:trojan-activity; sid:18379; rev:2;)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m guessing all “suspicious user agents” are tagged as Network Trojan, but eh….AskIntall?  Really?  Shouldn’t this fall under Policy instead?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>James Lay<o:p></o:p></p><p class=MsoNormal>IT Security Analyst<o:p></o:p></p><p class=MsoNormal><b><i><span style='color:red'>WinCo Foods<o:p></o:p></span></i></b></p><p class=MsoNormal><span style='font-size:8.0pt'>208-672-2014 Office<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>208-559-1855 Cell<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>650 N. Armstrong Pl.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt'>Boise, ID, 83704<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>