<div dir="ltr"><div>We'd need to see the data portion of the PCAP to give you a precise answer.</div>
<div> </div>
<div>In a happy world, one of the benign files you downloaded had a long sequence of 0x43.  This sequence can be used as a NOP sled for exploits that are a little 'mushy' on their targets.  It is possible for this sequence to occur in the wild and it be nothing, but generally if you get a shellcode alert, you need to look closely at the payload and ensure it is what it should be.</div>

<div> </div>
<div>In an unhappy world, that long sequence of 0x43 is a NOP sled, and you're now a bot.</div>
<div> </div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Mon, Sep 15, 2008 at 9:41 AM, carlopmart <span dir="ltr"><<a href="mailto:carlopmart@...11827...">carlopmart@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hi all,<br><br> I am using snort on my laptop as a test lab. When I try to download files from<br>Internet, Snort displays this alert:<br>
<br>09/15-14:44:36.373001  [Drop] [**] [1:1390:6] SHELLCODE x86 inc ebx NOOP [**]<br>[Classification: Executable code was detected] [Priority: 1] {TCP}<br><a href="http://193.109.191.9:873/" target="_blank">193.109.191.9:873</a> -> <a href="http://10.38.55.4:53662/" target="_blank">10.38.55.4:53662</a><br>
<br>Why is this alert genereated?? I am downloading .rpm, .xml, and .gz files ...<br><br><br>--<br>CL Martinez<br>carlopmart {at} gmail {d0t} com<br><br>-------------------------------------------------------------------------<br>
This SF.Net email is sponsored by the Moblin Your Move Developer's challenge<br>Build the coolest Linux based applications with Moblin SDK & win great prizes<br>Grand prize is a trip for two to an Open Source event anywhere in the world<br>
<a href="http://moblin-contest.org/redirect.php?banner_id=100&url=/" target="_blank">http://moblin-contest.org/redirect.php?banner_id=100&url=/</a><br>_______________________________________________<br>Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div>