<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">James,<div><br></div><div>You are going to love this one..</div><div><br></div><div>I got the samples and ran them through our sandbox, captured the pcaps, ran them against Snort, etc.</div><div><br></div><div>We already catch this, so I'm thinking, no problem, I'll move the rule into the community ruleset.  I go to edit the rule, and it's already in the community ruleset.</div><div><br></div><div>ORLY?  I said to myself, who wrote it?</div><div><br></div><div>Looked in the AUTHORS file (in the community tarball) and guess who wrote it?</div><div><br></div><div>You.</div><div><br></div><div>Congrats.</div><div><br></div><div><br></div><div>26656</div><div><br></div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; "><br></span></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; "><br></span></div><div><div><div>On Jun 4, 2013, at 6:39 PM, James Lay <<a href="mailto:jlay@...3266...">jlay@...3266...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">On 2013-06-04 15:52, James Lay wrote:<br><blockquote type="cite">alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS <br>(msg:"MALWARE-CNC<br>Nettraveler C2 Control Loop"; flow:to_server,established;<br>content:"nettraveler.asp|3f|action="; http_uri; ; metadata:policy<br>balanced-ips drop, policy security-ips drop, service http;<br><br>reference:url,<a href="http://www.securelist.com/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf">http://www.securelist.com/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf</a>;<br><br>classtype:trojan-activity; sid:10000073; rev:1;)<br><br>Nice writeup in that PDF.<br><br>James<br><br><br>------------------------------------------------------------------------------<br>How ServiceNow helps IT people transform IT departments:<br>1. A cloud service to automate IT design, transition and operations<br>2. Dashboards that offer high-level views of enterprise services<br>3. A single system of record for all IT processes<br><a href="http://p.sf.net/sfu/servicenow-d2d-j">http://p.sf.net/sfu/servicenow-d2d-j</a><br>_______________________________________________<br>Snort-sigs mailing list<br>Snort-sigs@...2570...sourceforge.net<br>https://lists.sourceforge.net/lists/listinfo/snort-sigs<br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!<br></blockquote><br>And fixed (extraneous ; )<br><br>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC <br>Nettraveler C2 Control Loop"; flow:to_server,established; <br>content:"nettraveler.asp|3f|action="; http_uri; metadata:policy <br>balanced-ips drop, policy security-ips drop, service http; <br>reference:url,<a href="http://www.securelist.com/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf">http://www.securelist.com/en/downloads/vlpdfs/kaspersky-the-net-traveler-part1-final.pdf</a>; <br>classtype:trojan-activity; sid:10000073; rev:2;)<br><br>James<br><br>------------------------------------------------------------------------------<br>How ServiceNow helps IT people transform IT departments:<br>1. A cloud service to automate IT design, transition and operations<br>2. Dashboards that offer high-level views of enterprise services<br>3. A single system of record for all IT processes<br><a href="http://p.sf.net/sfu/servicenow-d2d-j">http://p.sf.net/sfu/servicenow-d2d-j</a><br>_______________________________________________<br>Snort-sigs mailing list<br>Snort-sigs@lists.sourceforge.net<br>https://lists.sourceforge.net/lists/listinfo/snort-sigs<br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!<br></blockquote></div><br></div></body></html>