Pete said I might try forwarding this along--does anyone else's pacbell dsl identify itself like Pete's does (i.e. *.dsl.scrm01.pacbell.net)? Anyone have a guess as to why only Pete's setup sets off snort? -Nick
>Hi Pete, >Your emails keep triggering snort, my so-called Intrusion Detection >System, with a "Virus - Possible scr Worm" alert. The text that >triggers the alarm is the ".scr" that appears in >"dsl-64-164-47-8.dsl.scrm01.pacbell.net [64.164.7.8]" below . This >is obviously a domain name, and not evidence of a virus, but I >thought I'd let you know anyways, for fun. > >Also,I guess I am wondering why only your pacbell DSL addy has >".scr" in it--don't a lot of other people on the list use the same >service? > >The snort rule is: > >alert tcp any 110 -> any any (msg:"Virus - Possible scr Worm"; >content: ".scr"; nocase; sid:729; classtype:misc-activity; rev:3;) > >An example of a packet that triggers the rule is: > > >length = 1412 > > 000 : 2B 4F 4B 20 33 35 33 36 20 6F 63 74 65 74 73 0D >+OK 3536 octets. > 010 : 0A 52 65 74 75 72 6E 2D 70 61 74 68 3A 20 3C 76 >.Return-path: <v > 020 : 6F 78 2D 74 65 63 68 2D 61 64 6D 69 6E 40 6C 69 >ox-tech-admin@li > 030 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 3E 0D 0A >sts.lugod.org>.. > 040 : 45 6E 76 65 6C 6F 70 65 2D 74 6F 3A 20 6E 69 63 >Envelope-to: nic > 050 : 6B 5F 64 6F 6E 6E 65 6C 6C 79 40 64 69 61 67 65 >k_donnelly@diage > 060 : 6E 63 65 2E 63 6F 6D 0D 0A 44 65 6C 69 76 65 72 >nce.com..Deliver > 070 : 79 2D 64 61 74 65 3A 20 54 75 65 2C 20 30 39 20 >y-date: Tue, 09 > 080 : 4A 75 6C 20 32 30 30 32 20 31 35 3A 33 34 3A 35 >Jul 2002 15:34:5 > 090 : 35 20 2D 30 34 30 30 0D 0A 52 65 63 65 69 76 65 5 >-0400..Receive > 0a0 : 64 3A 20 66 72 6F 6D 20 5B 31 36 38 2E 31 35 30 >d: from [168.150 > 0b0 : 2E 32 35 31 2E 31 31 5D 20 28 68 65 6C 6F 3D 77 >.251.11] (helo=w > 0c0 : 77 77 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E 63 >ww.livepenguin.c > 0d0 : 6F 6D 29 0D 0A 09 62 79 20 74 68 6F 72 2E 64 6E >om)...by thor.dn > 0e0 : 73 68 6F 74 65 6C 2E 63 6F 6D 20 77 69 74 68 20 >shotel.com with > 0f0 : 65 73 6D 74 70 20 28 45 78 69 6D 20 33 2E 33 35 >esmtp (Exim 3.35 > 100 : 20 23 31 29 0D 0A 09 69 64 20 31 37 53 30 6C 44 >#1)...id 17S0lD > 110 : 2D 30 30 30 36 51 6E 2D 30 30 0D 0A 09 66 6F 72 >-0006Qn-00...for > 120 : 20 6E 69 63 6B 5F 64 6F 6E 6E 65 6C 6C 79 40 64 >nick_donnelly@d > 130 : 69 61 67 65 6E 63 65 2E 63 6F 6D 3B 20 54 75 65 >iagence.com; Tue > 140 : 2C 20 30 39 20 4A 75 6C 20 32 30 30 32 20 31 35 , >09 Jul 2002 15 > 150 : 3A 33 34 3A 35 35 20 2D 30 34 30 30 0D 0A 52 65 >:34:55 -0400..Re > 160 : 63 65 69 76 65 64 3A 20 66 72 6F 6D 20 77 77 77 >ceived: from www > 170 : 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E 63 6F 6D >.livepenguin.com > 180 : 20 28 6C 69 76 65 70 65 6E 67 75 69 6E 20 5B 31 >(livepenguin [1 > 190 : 32 37 2E 30 2E 30 2E 31 5D 29 0D 0A 09 62 79 20 >27.0.0.1])...by > 1a0 : 77 77 77 2E 6C 69 76 65 70 65 6E 67 75 69 6E 2E >www.livepenguin. > 1b0 : 63 6F 6D 20 28 50 6F 73 74 66 69 78 29 20 77 69 >com (Postfix) wi > 1c0 : 74 68 20 45 53 4D 54 50 0D 0A 09 69 64 20 38 35 >th ESMTP...id 85 > 1d0 : 34 30 43 36 36 31 43 41 3B 20 54 75 65 2C 20 20 >40C661CA; Tue, > 1e0 : 39 20 4A 75 6C 20 32 30 30 32 20 31 32 3A 33 36 9 >Jul 2002 12:36 > 1f0 : 3A 30 31 20 2D 30 37 30 30 20 28 50 44 54 29 0D >:01 -0700 (PDT). > 200 : 0A 44 65 6C 69 76 65 72 65 64 2D 54 6F 3A 20 76 >.Delivered-To: v > 210 : 6F 78 2D 74 65 63 68 40 6C 69 76 65 70 65 6E 67 >ox-tech@livepeng > 220 : 75 69 6E 2E 63 6F 6D 0D 0A 52 65 63 65 69 76 65 >uin.com..Receive > 230 : 64 3A 20 66 72 6F 6D 20 73 61 74 61 6E 2E 64 69 >d: from satan.di > 240 : 61 62 6C 6F 2E 6C 6F 63 61 6C 6E 65 74 20 28 61 >ablo.localnet (a > 250 : 64 73 6C 2D 36 34 2D 31 36 34 2D 34 37 2D 38 2E >dsl-64-164-47-8. > 260 : 64 73 6C 2E 73 63 72 6D 30 31 2E 70 61 63 62 65 >dsl.scrm01.pacbe > 270 : 6C 6C 2E 6E 65 74 20 5B 36 34 2E 31 36 34 2E 34 >ll.net [64.164.4 > 280 : 37 2E 38 5D 29 0D 0A 09 62 79 20 77 77 77 2E 6C >7.8])...by www.l > 290 : 69 76 65 70 65 6E 67 75 69 6E 2E 63 6F 6D 20 28 >ivepenguin.com ( > 2a0 : 50 6F 73 74 66 69 78 29 20 77 69 74 68 20 45 53 >Postfix) with ES > 2b0 : 4D 54 50 20 69 64 20 36 38 42 34 34 36 36 31 31 >MTP id 68B446611 > 2c0 : 31 0D 0A 09 66 6F 72 20 3C 76 6F 78 2D 74 65 63 >1...for <vox-tec > 2d0 : 68 40 6C 69 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 >[EMAIL PROTECTED] > 2e0 : 67 3E 3B 20 54 75 65 2C 20 20 39 20 4A 75 6C 20 >g>; Tue, 9 Jul > 2f0 : 32 30 30 32 20 31 32 3A 33 35 3A 31 33 20 2D 30 >2002 12:35:13 -0 > 300 : 37 30 30 20 28 50 44 54 29 0D 0A 52 65 63 65 69 >700 (PDT)..Recei > 310 : 76 65 64 3A 20 66 72 6F 6D 20 70 20 62 79 20 73 >ved: from p by s > 320 : 61 74 61 6E 2E 64 69 61 62 6C 6F 2E 6C 6F 63 61 >atan.diablo.loca > 330 : 6C 6E 65 74 20 77 69 74 68 20 6C 6F 63 61 6C 20 >lnet with local > 340 : 28 45 78 69 6D 20 33 2E 33 35 20 23 31 20 28 44 >(Exim 3.35 #1 (D > 350 : 65 62 69 61 6E 29 29 0D 0A 09 69 64 20 31 37 53 >ebian))...id 17S > 360 : 30 6C 56 2D 30 30 30 36 58 46 2D 30 30 0D 0A 09 >0lV-0006XF-00... > 370 : 66 6F 72 20 3C 76 6F 78 2D 74 65 63 68 40 6C 69 >for <vox-tech@li > 380 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 3E 3B 20 >sts.lugod.org>; > 390 : 54 75 65 2C 20 30 39 20 4A 75 6C 20 32 30 30 32 >Tue, 09 Jul 2002 > 3a0 : 20 31 32 3A 33 35 3A 31 33 20 2D 30 37 30 30 0D >12:35:13 -0700. > 3b0 : 0A 54 6F 3A 20 76 6F 78 2D 74 65 63 68 40 6C 69 >.To: vox-tech@li > 3c0 : 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 0D 0A 4D >sts.lugod.org..M > 3d0 : 65 73 73 61 67 65 2D 49 44 3A 20 3C 32 30 30 32 >essage-ID: <2002 > 3e0 : 30 37 30 39 31 39 33 35 31 32 2E 47 41 32 35 30 >0709193512.GA250 > 3f0 : 39 31 40 64 69 72 61 63 2E 6F 72 67 3E 0D 0A 4D >[EMAIL PROTECTED]>..M > 400 : 69 6D 65 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30 >ime-Version: 1.0 > 410 : 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 >..Content-Type: > 420 : 6D 75 6C 74 69 70 61 72 74 2F 73 69 67 6E 65 64 >multipart/signed > 430 : 3B 20 6D 69 63 61 6C 67 3D 70 67 70 2D 73 68 61 ; >micalg=pgp-sha > 440 : 31 3B 0D 0A 09 70 72 6F 74 6F 63 6F 6C 3D 22 61 >1;...protocol="a > 450 : 70 70 6C 69 63 61 74 69 6F 6E 2F 70 67 70 2D 73 >pplication/pgp-s > 460 : 69 67 6E 61 74 75 72 65 22 3B 20 62 6F 75 6E 64 >ignature"; bound > 470 : 61 72 79 3D 22 74 4B 57 32 49 55 74 73 71 74 44 >ary="tKW2IUtsqtD > 480 : 52 7A 74 64 54 22 0D 0A 43 6F 6E 74 65 6E 74 2D >RztdT"..Content- > 490 : 44 69 73 70 6F 73 69 74 69 6F 6E 3A 20 69 6E 6C >Disposition: inl > 4a0 : 69 6E 65 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A >ine..User-Agent: > 4b0 : 20 4D 75 74 74 2F 31 2E 33 2E 32 38 69 0D 0A 46 >Mutt/1.3.28i..F > 4c0 : 72 6F 6D 3A 20 50 65 74 65 72 20 4A 61 79 20 53 >rom: Peter Jay S > 4d0 : 61 6C 7A 6D 61 6E 20 3C 70 40 64 69 72 61 63 2E >alzman <p@dirac. > 4e0 : 6F 72 67 3E 0D 0A 53 75 62 6A 65 63 74 3A 20 5B >org>..Subject: [ > 4f0 : 76 6F 78 2D 74 65 63 68 5D 20 6C 69 6E 75 78 20 >vox-tech] linux > 500 : 6B 65 72 6E 65 6C 20 6D 6F 64 75 6C 65 20 74 75 >kernel module tu > 510 : 74 6F 72 69 61 6C 0D 0A 53 65 6E 64 65 72 3A 20 >torial..Sender: > 520 : 76 6F 78 2D 74 65 63 68 2D 61 64 6D 69 6E 40 6C >vox-tech-admin@l > 530 : 69 73 74 73 2E 6C 75 67 6F 64 2E 6F 72 67 0D 0A >ists.lugod.org.. > 540 : 45 72 72 6F 72 73 2D 54 6F 3A 20 76 6F 78 2D 74 >Errors-To: vox-t > 550 : 65 63 68 2D 61 64 6D 69 6E 40 6C 69 73 74 73 2E >ech-admin@lists. > 560 : 6C 75 67 6F 64 2E 6F 72 67 0D 0A 58 2D 42 65 65 >lugod.org..X-Bee > 570 : 6E 54 68 65 72 65 3A 20 76 6F 78 2D 74 65 63 68 >nThere: vox-tech > 580 : 40 6C 69 73 @lis _______________________________________________ vox-tech mailing list [EMAIL PROTECTED] http://lists.lugod.org/mailman/listinfo/vox-tech
