quelqu un a t il mis au point une signature snort pour détecter le ver
msblast (lovsan) version a,b ou c.
Une signature la plus fiable possible, pas seulement basée sur les ports.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sendell
Mon post est quasi-inutile mais bon J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE avec desassemblage de msblast.exe, donnait les signatures snort du vers. Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de eEye ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je vois si il est vraiment introuvable. Mais faire une recherche dans les mails de bugtraq ca va pas etre facile !
"David Maciejak" a écrit dans le message de news:3f3cc08b$0$27025$
Bonjour,
quelqu un a t il mis au point une signature snort pour détecter le ver msblast (lovsan) version a,b ou c. Une signature la plus fiable possible, pas seulement basée sur les ports.
merci
David Maciejak
Mon post est quasi-inutile mais bon
J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE avec
desassemblage de msblast.exe, donnait les signatures snort du vers.
Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de eEye
ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je vois si il
est vraiment introuvable. Mais faire une recherche dans les mails de bugtraq
ca va pas etre facile !
"David Maciejak" <koma_fr@yahoo.fr> a écrit dans le message de
news:3f3cc08b$0$27025$626a54ce@news.free.fr...
Bonjour,
quelqu un a t il mis au point une signature snort pour détecter le ver
msblast (lovsan) version a,b ou c.
Une signature la plus fiable possible, pas seulement basée sur les ports.
Mon post est quasi-inutile mais bon J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE avec desassemblage de msblast.exe, donnait les signatures snort du vers. Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de eEye ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je vois si il est vraiment introuvable. Mais faire une recherche dans les mails de bugtraq ca va pas etre facile !
"David Maciejak" a écrit dans le message de news:3f3cc08b$0$27025$
Bonjour,
quelqu un a t il mis au point une signature snort pour détecter le ver msblast (lovsan) version a,b ou c. Une signature la plus fiable possible, pas seulement basée sur les ports.
merci
David Maciejak
Laurent Cheylus
Bonsoir,
On Fri, 15 Aug 2003 23:50:45 +0200, Sendell wrote:
J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE avec desassemblage de msblast.exe, donnait les signatures snort du vers. Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de eEye ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je vois si il est vraiment introuvable. Mais faire une recherche dans les mails de bugtraq ca va pas etre facile !
Pareil, j'avais lu ce doc PDF lors du début des attaques de Blaster et j'ai eu du mal à remettre la main dessus :
- le lien a été donné sur Bugtraq lundi 11/08/2003 dans le message intitulé "DCOM worm analysis report:W32.Blaster.Worm" - le doc PDF est de Symantec et se trouve là : https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
Il contient une analyse du ver Blaster, des captures des paquets émis par le vers lors d'une attaque et des signatures Snort.
A++ Foxy
-- Laurent Cheylus OpenPGP ID 0x5B766EC2
Bonsoir,
On Fri, 15 Aug 2003 23:50:45 +0200, Sendell wrote:
J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE
avec desassemblage de msblast.exe, donnait les signatures snort du vers.
Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de
eEye ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je
vois si il est vraiment introuvable. Mais faire une recherche dans les
mails de bugtraq ca va pas etre facile !
Pareil, j'avais lu ce doc PDF lors du début des attaques de Blaster et
j'ai eu du mal à remettre la main dessus :
- le lien a été donné sur Bugtraq lundi 11/08/2003 dans le message
intitulé "DCOM worm analysis report:W32.Blaster.Worm"
- le doc PDF est de Symantec et se trouve là :
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
Il contient une analyse du ver Blaster, des captures des paquets émis par
le vers lors d'une attaque et des signatures Snort.
A++ Foxy
--
Laurent Cheylus <foxy@free.fr> OpenPGP ID 0x5B766EC2
On Fri, 15 Aug 2003 23:50:45 +0200, Sendell wrote:
J'ai trouvé je ne sais ou, un lien vers un pdf qui en plus d'un bon RE avec desassemblage de msblast.exe, donnait les signatures snort du vers. Malheuresement je ne l'ai pas encore retrouvé; de mémoire il serai de eEye ou de Symantec, mais c'est loin d'etre sur. Le temps de diner je vois si il est vraiment introuvable. Mais faire une recherche dans les mails de bugtraq ca va pas etre facile !
Pareil, j'avais lu ce doc PDF lors du début des attaques de Blaster et j'ai eu du mal à remettre la main dessus :
- le lien a été donné sur Bugtraq lundi 11/08/2003 dans le message intitulé "DCOM worm analysis report:W32.Blaster.Worm" - le doc PDF est de Symantec et se trouve là : https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
Il contient une analyse du ver Blaster, des captures des paquets émis par le vers lors d'une attaque et des signatures Snort.
