I was referring to this:<br><br>&gt; alert tcp $HOME_NET any -&gt;  $EXTERNAL_NET $HTTP_PORTS (msg:&quot;EID TROJAN<br>
&gt; ZeuS CnC request for .bin&quot;; content:&quot;.bin&quot;; http_uri;<br>
&gt; pcre:&quot;/\.bin(\x3F|$)/Ui&quot;; content:&quot;GET&quot;; http_method; content:&quot;Accept:<br>
&gt; */*|0D 0A|Connection: Close|0D 0A|User-Agent: &quot;; http_header;<br>
&gt; classtype:trojan-activity; sid:5600168; rev:1;)<br><br>the .bin in the http_uri has no nocase and yet the pcre has an /i. Now I don&#39;t believe that nocase has absolutely no effect on performance, I just think it is that tiny that it won&#39;t be noticeable for a while. I actually wonder if in a test enviroment you removed nocase from all sigs if there would be a noticeable cumulative improvement. <br>
<br>However, I do believe in cases where it is not case sensitive (i.e the URI and other things) that nocase should be always used to avoid simple evasions. I am also all for putting it on the http_method (i.e GET and POST etc) not because it doesn&#39;t match the large percentage of the time but just to avoid an evasions there. Really I would be interested to see cumulative performance tests where common yet possibly unneeded keywords like nocase were removed and run to see. <br>
<br><div class="gmail_quote">On 4 October 2010 17:06, <a href="mailto:evilghost@packetmail.net">evilghost@packetmail.net</a> <span dir="ltr">&lt;<a href="mailto:evilghost@packetmail.net">evilghost@packetmail.net</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<div class="im"><br>
<br>
<br>
On 10/04/2010 10:59 AM, Eoin Miller wrote:<br>
&gt;   On 10/4/2010 3:17 PM, Kevin Ross wrote:<br>
&gt;&gt; They look fine but a nocase is needed on the uricontent requests so it<br>
&gt;&gt; cannot be evaded by case and also the colon in User-Agent needs a |3A|<br>
&gt;&gt; or escaped. Thanks again for your great research. Kind Regards, Kevin<br>
&gt;&gt;<br>
&gt; Well, not really. The http client library in its current form is not<br>
&gt; randomizing the cases of the headers in the requests it is creating and<br>
&gt; the http_inspect preprocessor normalizes traffic so you do not need to<br>
&gt; use rawbyte or escape for that matter any colon&#39;s in a content:&quot;foo&quot;;<br>
&gt; http_header;. The signature has been actively tested and is actively<br>
&gt; firing on requests from infected systems within our network.<br>
<br>
</div>+1, the last thing we need is more superfluous nocase when not needed.<br>
Nice signature Eoin, thanks.<br>
<br>
Infected systems for this ZeuS infection will pull kazkkkkaz.bin,<br>
kakakakz.bin, kazakakzka.bin, kazkakakzkk1.bin, and/or kazkkkkaz.bin<br>
from 193.41.38.222, <a href="http://webhqadmin.com" target="_blank">webhqadmin.com</a>, <a href="http://webdealport.com" target="_blank">webdealport.com</a>, and <a href="http://wordborn.com" target="_blank">wordborn.com</a>.<br>

<br>
Looks like the injection script is also coming from <a href="http://aeheix.ru" target="_blank">aeheix.ru</a><br>
<br>
&gt; -- Eoin<br>
<br>
- -evilghost<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.10 (GNU/Linux)<br>
<br>
iQIcBAEBAgAGBQJMqftwAAoJENgimYXu6xOH/i8QAJC0IgpNZBiMB/Wmb9LpNetN<br>
0jZfzAZw4hScssVAcbV0kKtJ70YPoJoVevCdBwGCuVJ3jV4kAYsFvNhpGovKkiau<br>
CKwZNDGZIhX4cSmibL+9eSKnZce6hoT82b2ZarIJTb773fXDeaAfh3qYtDkdBROs<br>
j0sLuCtl88fmo17EMQxkAX6uRBX0xEmZ473vl0UCo2C0drsG+hZs6M8emIT2mkZ2<br>
I4qgZgYsXAvGSORF3Eqbu7YYLIiveNiJdJfWsSwSPoH0R5a+Gxc9YLCl4I9PAbbn<br>
pZlRL4Yl9k6hglKTYmj8vquBsIrL+OUFN0h6lSZauMTKlHz3vjuee3SBWPYgV+ZQ<br>
nyUoS6uyh2Iw6XBGw6a0+EzCwAgkmqQYj1Rm793Z/N/aVgtAB5N5JmxudVIVN49o<br>
xPtic9rV2IBXeZRw6fIv5m857mTOOqUGL9UzZ0X+YVBTY5LkPkCb91UygRzpnLuH<br>
PvisruOLSWMGVEB02w/kz326RX6rpCtfrC1GA8LJAG2coXjhgE7A+dnb9faihKlD<br>
F08xFfBaXptgv1Nv8J6+GxMEer8uvc/JB/sknTKLwuzVzbzJNXuT1wzvUAw2h0Y2<br>
K4CnJvwk2W7ktOAY3mXYxOfrjRINxjYNF1+QHGUF85A0iYSXXVOsjfX4y3ZeTD7r<br>
uxlD/TRML6769bSmob4b<br>
=J+Fs<br>
-----END PGP SIGNATURE-----<br>
<div><div></div><div class="h5"><br>
_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@emergingthreats.net">Emerging-sigs@emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Get your ET Stuff! Tshirts, Coffee Mugs and Lanyards<br>
<a href="http://www.emergingthreats.net/index.php/support-et-and-buy-et-schwag.html" target="_blank">http://www.emergingthreats.net/index.php/support-et-and-buy-et-schwag.html</a><br>
</div></div></blockquote></div><br>