Nathan, fixed up to:<div><br></div><div>alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"SPECIFIC-THREATS Blackhole malicioius pdf detection - qwe123"; flow:to_client,established; flowbits:isset,file.pdf; file_data; content:"%PDF-1.6"; content:"qwe123"; distance:0; metadata:policy balanced-ips drop, policy security-ips drop, service http; classtype:trojan-activity; sid:21583; rev:1;)</div>
<div><br></div><div><br><br><div class="gmail_quote">On Tue, Mar 13, 2012 at 4:51 PM, Community Signatures <span dir="ltr"><<a href="mailto:lists@...3397...">lists@...3397...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 03/13/12 15:46, Joel Esler wrote:<br>
> Do you have a pcap for the first one?<br>
<br>
</div>Absolutely, en-route to VRT.  I actually probably have more than a few<br>
but I'll just send the most recent one because I'm pressed for time at<br>
the moment.<br>
<br>
Thanks,<br>
Nathan<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div><br><br>
</div>