<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">This looks like the Cool Exploit kit.<div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><font face="Lucida Grande"><span style="font-size: 12px;"><br></span></font><div><div>On Mar 12, 2013, at 5:10 PM, James Lay <<a href="mailto:jlay@...3266...">jlay@...202....3266...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">On 2013-03-12 10:01, James Lay wrote:<br><blockquote type="cite">Hey all,<br><br>Been trying to get this rule:<br><br>alert udp $HOME_NET any -> $EXTERNAL_NET 53 (msg:"EXPLOIT-KIT <br>Possible<br>BEK host lookup"; content:!"in-addr"; content:"|01 00 00 01 00 00 00 <br>00<br>00 00|"; depth:10; offset:2; content:"|02|"; within:1;<br>pcre:"/\x02[0-9]{2}/m";<br>reference:url,<a href="https://urlquery.net/report.php?id=1313067">https://urlquery.net/report.php?id=1313067</a>;<br>classtype:bad-unknown; sid:10000044; rev:1;)<br><br>To match and it's working, but I would like to tighten it up.  <br>Payload:<br><br>00000000  fd 64 01 00 00 01 00 00  00 00 00 00 02 32 30 10 .d......<br>.....20.<br>00000010  70 68 63 63 6f 66 63 61  6c 69 66 6f 72 6e 69 61 phccofca<br>lifornia<br>00000020  03 63 6f 6d 00 00 01 00  01                      .com.... .<br><br>It always amazes me when I work with the pcre: function how little I<br>understand it ;)  I always want to treat it like a content: and start<br>applying things like depth: and offset:.  That being said, if I add a <br>R<br>to my pcre, it doesn't fire, which I don't understand.  I understand <br>R<br>as a pcre: modifier to match the relative end of the last pattern <br>match,<br>which in my case would be matching the |02| yes?  What am I missing <br>in<br>my logic?  Thanks all.<br><br></blockquote><br>Thanks gents for the responses...rule may not be good and FP a lot, but <br>very educational :)<br><br>James<br><br>------------------------------------------------------------------------------<br>Everyone hates slow websites. So do we.<br>Make your web apps faster with AppDynamics<br>Download AppDynamics Lite for free today:<br><a href="http://p.sf.net/sfu/appdyn_d2d_mar">http://p.sf.net/sfu/appdyn_d2d_mar</a><br>_______________________________________________<br>Snort-sigs mailing list<br>Snort-sigs@lists.sourceforge.net<br>https://lists.sourceforge.net/lists/listinfo/snort-sigs<br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!<br></blockquote></div><br></div></body></html>