[FUGSPBR] Snort pegando KLEZ
Carlos Augusto Silva
carlos em tvcultura.com.br
Sex Maio 10 17:30:35 BRT 2002
Tudo bem Alexandre... fica frio.
O código é:
alert tcp any any -> $HOME_NET 25 (msg:"Virus - KLEZ no trafego de email";
content:"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAA"; classtype:misc-activity;
rev:3; resp:rst_all;)
Lembre-se que não deve haver quebra de linha no código.
Vc deve inserir no final do seu snort.conf um include para esse arquivo.
Você vai precisar compilar o Snort com suporte a Flex_Resp.
Se precisar de ajuda para isso, estamos ai... :)
Até mais,
Carlos
----- Original Message -----
From: "Alexandre D. Bensi (aledon)" <alexandre em dep.ufscar.br>
To: "Lista FUG" <fugspbr em fugspbr.org>
Sent: Friday, May 10, 2002 5:02 PM
Subject: [FUGSPBR] Snort pegando KLEZ
> Ola pessoal!
>
> Desculpem, sei que isso foi lançado a alguns dias, mas acabei não
guardando, e
> não acho o e-mail que enviaram na lista contendo o código do vírus KLEZ, e
como
> colocar nas rules do Snort. Alguem tem o e-mail pra me enviar?
>
> Abraços!!
> --
> Atenciosamente,
> Alexandre D. Bensi (aledon)
> System/Network Administrator
> --
> Icq Uin at WORK | HOME: 118731900 | 129462580
> E-Mail: echo alexandre dep ufscar br | sed 's/ /@/;s/ /./g'
> --
> This mail send through Unix FreeBSD 4.5 STABLE - Amavis Perl
> ______________________________________
> fugspbr em fugspbr.org
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
>
______________________________________
fugspbr em fugspbr.org
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd