<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><div><font color="#444444"><span style="font-size: 15px; line-height: 21px;">I was looking at a specific capture triggered by several alerts of sid:26369. Along the packets there were three attempts made to download an executable file "calc.exe". The download was prevented, however, I downloaded the file and came up with the below rule. VT results are mostly mixed between Zbot, Simda, and Kazy.</span></font></div><div><font color="#444444"><span style="font-size: 15px; line-height: 21px;"><br></span></font></div><span style="color: rgb(68, 68, 68); font-size: 15px; line-height: 21px;">alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC Win.Trojan.Zbot/Simda outbound connection attempt"; flow:to_server,established; content:"/?"; http_uri; pcre:"/\/?[0-9A-Za-z]=%/"; fast_pattern; http_uri; content:"|25|96|25|CB|25|D5|25|A8|25|A7|25|"; http_raw_uri; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,www.virustotal.com/en/file/80ea92e508eefa5722870c6ca48a6a1086180c754dd83cf4ebd28bf3918c2392/analysis/;sid:100065; rev:1;)</span><div><br></div><div><span style="color: rgb(68, 68, 68); font-size: 15px; line-height: 21px;"><div>Thanks.</div><div>YM </div></span></div>                                       </div></body>
</html>