<div dir="ltr">This is an invalid user agent for IE 9. It is being used by the malware referenced in the rules VirusTotal link. If you can identify a valid program/service generating traffic with this user agent please forward along a pcap so we can analyze it.<div><br></div><div>thanks</div><div>Alex McDonnell</div><div>TALOS (VRT)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 6, 2014 at 4:44 AM, Dan Rieille <span dir="ltr"><<a href="mailto:snortuser2604@...2420..." target="_blank">snortuser2604@...2420...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div>Hi guys, <br></div><br>Since a few days, I get a lot of alerts generated by the Snort SID 1:29999<br></div>This rule is associated to the "A Network Trojan was Detected" category, and the nessage is<br></div>"BLACKLIST USER-AGENT known Malicious user agent - MSIE 9.0 in version 10 format"<br><br></div>Googling, I didn't find any information about this SID. Any idea ?<br><br></div>Thanks<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">Dan<br></font></span></div>
<br>------------------------------------------------------------------------------<br>
<br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>