<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I thought that if you set the 'security' policy setting in pulled pork it only downloads VRT but this does not seem to be the case...</div><div><br></div><div>Sorry to ask another question on your thread but I seem to only be getting alert descriptions for some (I think predom vrt) rules, while a lot just say the stupid snort rule 1:2464454 thing....</div><div><br></div><div>Any guidance on this? Assumed that was from the Sid-MSG.map which pulled pork updates anyways?<br><br>Sent from my iPad</div><div><br>On 17/04/2014, at 7:55 pm, Anshuman Anil Deshmukh <<a href="mailto:anshuman@...16510...">anshuman@...16510...</a>> wrote:<br><br></div><blockquote type="cite"><div>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Mangal;
        panose-1:2 4 5 3 5 2 3 3 2 2;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->


<div class="WordSection1">
<p class="MsoPlainText">Hi,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I was just referring to the latest signature Daily Ruleset update summary with my latest log for signature updates. I see that one of the signature is missing. Signature missing is "2008282 - ET MALWARE <a href="http://Antispywaremaster.com/Privacyprotector.com">Antispywaremaster.com/Privacyprotector.com</a>
 Fake AV Checkin (malware.rules)". If I am not mistaken ultimately all the rules should get downloaded no matter which rule state we use. Rule state would just enable or disable the rule depending upon which rule state is configured.
<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I am using the state "Security over connectivity". Pulledpork 0.70 is used to update the rules, we are on Snort 2.9.5 GRE (Build 103) . I understand that the Snort version is quite old but as I am already getting all other signatures
 it doesn’t look an issue with snort version, right? This is my test setup and it is used for learning purpose.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">See below log extract from sid_changes.log.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Thank you in advance.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">-=Begin Changes Logged for
<span style="color:red">Thu Apr 17 </span>07:20:33 2014 GMT=-<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">New Rules<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CNC Shadowserver Reported CnC Server Port 58914 Group 1 (1:2405088)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CNC Zeus Tracker Reported CnC Server TCP group 24 (1:2404196)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CNC Zeus Tracker Reported CnC Server UDP group 24 (1:2404197)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 41 (1:2500080)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 42 (1:2500082)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET COMPROMISED Known Compromised or Hostile Host Traffic UDP group 41 (1:2500081)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET COMPROMISED Known Compromised or Hostile Host Traffic UDP group 42 (1:2500083)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CURRENT_EVENTS BrowseTor .onion Proxy Service SSL Cert (1:2018396)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TROJAN  Possible Kelihos.F EXE Download Common Structure 2 (1:2018395)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TROJAN Common Upatre Header Structure (1:2018394)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TROJAN CryptoDefense DNS Domain Lookup (1:2018397)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TROJAN plasmabot Checkin (1:2018393)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">Deleted Rules<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CINS Active Threat Intelligence Poor Reputation IP TCP group 38 (1:2403374)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CINS Active Threat Intelligence Poor Reputation IP UDP group 38 (1:2403375)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CNC Spyeye Tracker Reported CnC Server TCP group 13 (1:2404124)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET CNC Spyeye Tracker Reported CnC Server UDP group 13 (1:2404125)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TOR Known Tor Relay/Router (Not Exit) Node TCP Traffic group 509 (1:2523016)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     ET TOR Known Tor Relay/Router (Not Exit) Node UDP Traffic group 509 (1:2523017)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">Set Policy: security<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">Rule Totals<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     New:-------12<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Deleted:---6<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Enabled:---6148<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Dropped:---0<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Disabled:--32295<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Total:-----38443<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">IP Blacklist Stats<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">     Total IPs:-----2590<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span style="font-family:"Courier New"">-=End Changes Logged for Thu Apr 17 07:20:33 2014 GMT=-<o:p></o:p></span></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Regards,<o:p></o:p></p>
<p class="MsoPlainText">Anshuman <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: <a href="mailto:emerging-updates-bounces@...15591...">emerging-updates-bounces@...15591...</a> [<a href="mailto:emerging-updates-bounces@...979...15591...">mailto:emerging-updates-bounces@...15591...</a>] On Behalf Of Francis Trudeau<br>
<span style="color:red">Sent: Thursday, April 17, 2014 4:28 AM<br>
</span>To: Emerging Sigs; Emerging-updates redirect; ETPro-sigs List<br>
Subject: [Emerging-updates] Daily Ruleset Update Summary 04/16/2014</p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[***] Summary: [***]<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">6 new Open signatures, 16 new Pro (6/10).  CryptoDefense, Nuclear EK, InstallBrain, Hupigon.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Thanks:  Nathan Fowler, tdzmont, @EKWatcher<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[+++]          Added rules:          [+++]<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Open:<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="color:red">  2008282 - ET MALWARE <a href="http://Antispywaremaster.com/Privacyprotector.com">Antispywaremaster.com/Privacyprotector.com</a> Fake AV Checkin (malware.rules)<o:p></o:p></span></p>
<p class="MsoPlainText">  2018393 - ET TROJAN plasmabot Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018394 - ET TROJAN Common Upatre Header Structure (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018395 - ET TROJAN  Possible Kelihos.F EXE Download Common Structure 2 (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018396 - ET CURRENT_EVENTS BrowseTor .onion Proxy Service SSL Cert<o:p></o:p></p>
<p class="MsoPlainText">(current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018397 - ET TROJAN CryptoDefense DNS Domain Lookup (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Pro:<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">  2807952 - ETPRO MALWARE Win32/ZvuZona.B Checkin (malware.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807953 - ETPRO TROJAN Backdoor.Win32.Hupigon.occc Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807954 - ETPRO TROJAN Win32/Rirlged.gen!A Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807955 - ETPRO TROJAN Win32/Injector.Autoit.ZZ (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807956 - ETPRO TROJAN Win32/AntiAV.NIN Download (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807957 - ETPRO TROJAN Trojan-Dropper.Win32.Injector.kbly Checkin<o:p></o:p></p>
<p class="MsoPlainText">(trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807958 - ETPRO MALWARE InstallBrain Checkin (malware.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807959 - ETPRO MOBILE_MALWARE Trojan-SMS.AndroidOS.Agent.az Checkin<o:p></o:p></p>
<p class="MsoPlainText">(mobile_malware.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807960 - ETPRO TROJAN AutoIt/Clodow.gen!A (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807961 - ETPRO CURRENT_EVENTS Nuclear EK Landing Apr 16 2014<o:p></o:p></p>
<p class="MsoPlainText">(current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[///]     Modified active rules:     [///]<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">  2017598 - ET TROJAN Possible Kelihos.F EXE Download Common Structure<o:p></o:p></p>
<p class="MsoPlainText">(trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2017714 - ET TROJAN PlugX Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018362 - ET CURRENT_EVENTS DRIVEBY Nuclear EK SWF (current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018372 - ET CURRENT_EVENTS Malformed HeartBeat Request (current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018373 - ET CURRENT_EVENTS Malformed HeartBeat Response<o:p></o:p></p>
<p class="MsoPlainText">(current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2018374 - ET CURRENT_EVENTS Malformed HeartBeat Request method 2<o:p></o:p></p>
<p class="MsoPlainText">(current_events.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807273 - ETPRO TROJAN Trojan.Ransom.BV Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2807950 - ETPRO TROJAN Win.Trojan.Hupigon-8559 Checkin (trojan.rules)<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[---]         Removed rules:         [---]<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">  2003548 - ET MALWARE <a href="http://Privacyprotector.com">Privacyprotector.com</a> Fake Anti-Spyware Checkin<o:p></o:p></p>
<p class="MsoPlainText">(malware.rules)<o:p></o:p></p>
<p class="MsoPlainText">  2008282 - ET TROJAN <a href="http://Antispywaremaster.com">Antispywaremaster.com</a> Fake AV Checkin (trojan.rules) _______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">Emerging-updates mailing list<o:p></o:p></p>
<p class="MsoPlainText"><a href="mailto:Emerging-updates@...15591..."><span style="color:windowtext;text-decoration:none">Emerging-updates@...15052...591...</span></a><o:p></o:p></p>
<p class="MsoPlainText"><a href="https://lists.emergingthreats.net/mailman/listinfo/emerging-updates"><span style="color:windowtext;text-decoration:none">https://lists.emergingthreats.net/mailman/listinfo/emerging-updates</span></a><o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</div>
<br clear="all"> <p style="line-height:10.0pt"><span style="font-size:9.0pt;font-

family:"Cambria","serif";
color:#7F7F7F;mso-themecolor:background1;mso-themeshade:128;mso-style-textfill-fill-

color:
#7F7F7F;mso-style-textfill-fill-themecolor:background1;mso-style-textfill-fill-alpha:
100.0%;mso-style-textfill-fill-colortransforms:lumm=50000">"Legal Disclaimer: This 

electronic message and all contents contain information from Cybage Software Private 

Limited which may be privileged, confidential, or otherwise protected from disclosure. 

The information is intended to be for the addressee(s) only. If you are not an 

addressee, any disclosure, copy, distribution, or use of the contents of this message 

is strictly prohibited. If you have received this electronic message in error please 

notify the sender by reply e-mail to and destroy the original message and all copies. 

Cybage has taken every reasonable precaution to minimize the risk of malicious content 

in the mail, but is not liable for any damage you may sustain as a result of any 

malicious content in this e-mail. You should carry out your own malicious content 

checks before opening the e-mail or attachment." 
<a href="http://www.cybage.com">www.cybage.com</a><o:p></o:p></span></p>



</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Learn Graph Databases - Download FREE O'Reilly Book</span><br><span>"Graph Databases" is the definitive new guide to graph databases and their</span><br><span>applications. Written by three acclaimed leaders in the field,</span><br><span>this first edition is now available. Download your free book today!</span><br><span><a href="http://p.sf.net/sfu/NeoTech">http://p.sf.net/sfu/NeoTech</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@...4422...urceforge.net">Snort-users@lists.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></body></html>