<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On Feb 29, 2012, at 4:35 PM, Community Signatures wrote:</div><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: 'Lucida Grande'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="font-family: monospace; ">On 02/29/12 15:19, Matt Olney wrote:<br><blockquote type="cite">Since you're associating with an exploit kit, rather than an active<br></blockquote><blockquote type="cite">trojan, and given that exploits are typically aimed at user<br></blockquote><blockquote type="cite">applications, I'd use classtype:attempted-user;<br></blockquote><br>Understood, on the ET side we tend to use trojan-activity because the<br>point of the exploit kit is to install a trojan/malware.  I always<br>viewed attempted-user as privilege escalation.  I may just leave<br>classtype off and let VRT apply this and the metadata as they feel fit.</span></span></blockquote></div><br><div>We'll be handling this differently very shortly.  Classtype work will be later.</div><div><br></div><div>Cryptic, I know, but you'll understand when you see the blog post.</div><div><br></div><div>J</div><div><br></div></body></html>