<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>

<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5762.3">
<TITLE>Re: [Snort-users] UDP 1434</TITLE>
</HEAD>
<BODY dir=ltr>
<DIV>Major worm..</DIV>
<DIV><A 
href="http://isc.incidents.org/analysis.html?id=180">http://isc.incidents.org/analysis.html?id=180</A></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV><FONT size=2>-----Original Message----- <BR><B>From:</B> jai 
  [mailto:jai.s@...6716...] <BR><B>Sent:</B> Sat 1/25/2003 10:50 AM 
  <BR><B>To:</B> Â snort-users@lists.sourceforge.net; 
  focus-ids@...35...; vuln-dev@...35...; Paul Marcus 
  <BR><B>Cc:</B> snort-users@lists.sourceforge.net <BR><B>Subject:</B> Re: 
  [Snort-users] UDP 1434<BR><BR></FONT></DIV>
  <P><FONT size=2>Hi,</FONT> </P>
  <P><FONT size=2> Internet traffic of  INDIA's and ASIA's network has 
  been effected</FONT> <BR><FONT size=2>badly.....its amazing....seriously 
  microsoft sucks..</FONT> <BR><FONT size=2> but its fun !! :-)</FONT> </P>
  <P><FONT size=2>Well i found something new in this ... i think this worm 
  spoofs IP address</FONT> <BR><FONT size=2>according ....below is the</FONT> 
  <BR><FONT size=2>tcpdump output ..out which the host is ....169.254.198.47. 
  sending repeated</FONT> <BR><FONT size=2>packets to different 
  network...</FONT> <BR><FONT size=2>but...169.254.198.47..is not our 
  network....after matching th MAC address</FONT> <BR><FONT size=2>..it was 
  orginating ...from our IP i.e</FONT> <BR><FONT size=2>202.71.129.197..</FONT> 
  </P>
  <P><FONT size=2>tcpdump output :</FONT> </P>
  <P><FONT size=2>20:56:28.016820 0:2:b3:2f:a4:95 1:0:5e:2d:b2:12 ip 418: 
  169.254.198.47.4041</FONT> <BR><FONT size=2>> 224.173.178.1</FONT> 
  <BR><FONT size=2>8.ms-sql-m:  udp 376 [ttl 1]</FONT> <BR><FONT 
  size=2>                         
  4500 0194 8e94 0000 0111 26d7 a9fe c62f</FONT> <BR><FONT 
  size=2>                         
  e0ad b212 0fc9 059a 0180 2294 0401 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> <BR><FONT 
  size=2>                         
  0101</FONT> <BR><FONT size=2>20:56:28.016820 0:2:b3:2f:a4:95 1:0:5e:58:ed:71 
  ip 418: 169.254.198.47.4041</FONT> <BR><FONT size=2>> reserved-mult</FONT> 
  <BR><FONT size=2>icast-range-NOT-delegated.example.com.ms-sql-m:  udp 376 
  [ttl 1]</FONT> <BR><FONT 
  size=2>                         
  4500 0194 8e95 0000 0111 e5cb a9fe c62f</FONT> <BR><FONT 
  size=2>                         
  e658 ed71 0fc9 059a 0180 e189 0401 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> <BR><FONT 
  size=2>                         
  0101 0101 0101 0101 0101 0101 0101 0101</FONT> </P><BR>
  <P><FONT size=2>Router the MAC address ..</FONT> <BR><FONT size=2>  
  Internet  202.71.129.197        
  157   0002.b32f.a495  ARPA</FONT> <BR><FONT 
  size=2>FastEthernet6/0</FONT> </P>
  <P><FONT size=2>I am running snort ...but it didn't detect....</FONT> </P>
  <P><FONT size=2>Rgds</FONT> <BR><FONT size=2>Jai</FONT> </P><BR><BR><BR><BR>
  <P><FONT size=2>----- Original Message -----</FONT> <BR><FONT size=2>From: 
  Paul Marcus <paulmarcus@...468...></FONT> <BR><FONT size=2>To: jai 
  <jai.s@...6716...></FONT> <BR><FONT size=2>Cc: < 
  snort-users@lists.sourceforge.net></FONT> <BR><FONT size=2>Sent: Saturday, 
  January 25, 2003 8:20 PM</FONT> <BR><FONT size=2>Subject: Re: [Snort-users] 
  UDP 1434</FONT> </P><BR>
  <P><FONT size=2>></FONT> <BR><FONT size=2><A 
  href="http://forums.military.com/1/OpenTopic?a=tpc&s=78919038&f=409192893&m=455198">http://forums.military.com/1/OpenTopic?a=tpc&s=78919038&f=409192893&m=455198</A></FONT> 
  <BR><FONT size=2>2416</FONT> <BR><FONT size=2>></FONT> <BR><FONT 
  size=2>> <A 
  href="http://slashdot.org/articles/03/01/25/1245206.shtml?tid=109">http://slashdot.org/articles/03/01/25/1245206.shtml?tid=109</A></FONT> 
  <BR><FONT size=2>></FONT> <BR><FONT size=2>></FONT> <BR><FONT 
  size=2>> On Sat, 2003-01-25 at 06:49, jai wrote:</FONT> <BR><FONT 
  size=2>> > Hi,</FONT> <BR><FONT size=2>> ></FONT> <BR><FONT 
  size=2>> ></FONT> <BR><FONT size=2>> > I am getting very high 
  traffic on UDP 1434 ....</FONT> <BR><FONT size=2>> ></FONT> <BR><FONT 
  size=2>> > wht might be the problem</FONT> <BR><FONT size=2>> 
  ></FONT> <BR><FONT size=2>> > Rgds</FONT> <BR><FONT size=2>> > 
  Jai</FONT> <BR><FONT size=2>></FONT> <BR><FONT size=2>></FONT> <BR><FONT 
  size=2>></FONT> </P><BR><BR>
  <P><FONT size=2>-------------------------------------------------------</FONT> 
  <BR><FONT size=2>This SF.NET email is sponsored by:</FONT> <BR><FONT 
  size=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 
  See!</FONT> <BR><FONT size=2><A 
  href="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT> 
  <BR><FONT size=2>_______________________________________________</FONT> 
  <BR><FONT size=2>Snort-users mailing list</FONT> <BR><FONT 
  size=2>Snort-users@lists.sourceforge.net</FONT> <BR><FONT size=2>Go to this 
  URL to change user options or unsubscribe:</FONT> <BR><FONT size=2><A 
  href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT> 
  <BR><FONT size=2>Snort-users list archive:</FONT> <BR><FONT size=2><A 
  href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT> 
  </P></BLOCKQUOTE>

</BODY>
</HTML>