<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
    <title></title>
  </head>
  <body bgcolor="#ffffff" text="#000000">
    On 10/3/11 3:48 PM, Lay, James wrote:
    <blockquote
cite="mid:360E0F1A6850C74D89B37C3A22C9DE1F04DB4039@GOMAIL.go.winco.local"
      type="cite">
      <pre wrap="">Rule:
alert tcp $EXTERNAL_NET $HTTP_PORTS -&gt; $HOME_NET any (msg:"ET POLICY
Executable served from Amazon S3"; flow:established,to_client;
content:"Server|3A| AmazonS3"; http_header; file_data; content:"MZ";
distance:0; isdataat:80,relative; content:"PE"; distance:0;
classtype:bad-unknown;
reference:url,blog.trendmicro.com/cybercriminals-using-amazon-web-servic
es-aws-to-host-malware/;
reference:url,<a class="moz-txt-link-abbreviated" href="http://www.securelist.com/en/blog/208188099/Financial_data_steali">www.securelist.com/en/blog/208188099/Financial_data_steali</a>
ng_Malware_now_on_Amazon_Web_Services_Cloud; sid:2013437; rev:1;)

ET POLICY Executable served from Amazon S3
IPv4: 72.21.211.168 -&gt; &lt;blick&gt;
      hlen=5 TOS=0 dlen=1400 ID=4995 flags=0 offset=0 TTL=44 chksum=4123
TCP:  port=80 -&gt; dport: 3950  flags=***A**** seq=269576295
      ack=2147483647 off=5 res=0 win=8190 urp=0 chksum=64900
Payload:  length = 1360
</pre>
    </blockquote>
    can you explain?&nbsp; looks like amazon cloud to me.<br>
    <br>
    NetRange:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 72.21.192.0 - 72.21.223.255<br>
    CIDR:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 72.21.192.0/19<br>
    OriginAS:<br>
    NetName:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AMAZON-02<br>
    NetHandle:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NET-72-21-192-0-1<br>
    Parent:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NET-72-0-0-0-0<br>
    NetType:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Direct Assignment<br>
    RegDate:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2004-12-30<br>
    Updated:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2004-12-30<br>
    Ref:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a class="moz-txt-link-freetext" href="http://whois.arin.net/rest/net/NET-72-21-192-0-1">http://whois.arin.net/rest/net/NET-72-21-192-0-1</a><br>
    <br>
    <blockquote
cite="mid:360E0F1A6850C74D89B37C3A22C9DE1F04DB4039@GOMAIL.go.winco.local"
      type="cite">
      <pre wrap="">
000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 78 2D 61 6D 7A 2D 69 64 2D 32 3A 20 77 71 79   .x-amz-id-2: wqy
020 : 41 4C 68 6A 53 63 79 39 61 33 37 41 75 33 35 7A   ALhjScy9a37Au35z
030 : 62 45 6B 70 5A 59 75 30 6B 4E 44 65 49 71 54 43   bEkpZYu0kNDeIqTC
040 : 37 73 47 4A 70 35 6D 7A 6F 69 2F 61 51 57 66 2B   7sGJp5mzoi/aQWf+
050 : 57 38 33 58 66 4B 4B 6C 65 61 50 4A 4B 0D 0A 78   W83XfKKleaPJK..x
060 : 2D 61 6D 7A 2D 72 65 71 75 65 73 74 2D 69 64 3A   -amz-request-id:
070 : 20 39 31 31 45 38 31 43 30 36 36 34 39 30 32 33    911E81C06649023
080 : 42 0D 0A 44 61 74 65 3A 20 54 75 65 2C 20 32 37   B..Date: Tue, 27
090 : 20 53 65 70 20 32 30 31 31 20 31 36 3A 32 38 3A    Sep 2011 16:28:
0a0 : 35 31 20 47 4D 54 0D 0A 78 2D 61 6D 7A 2D 6D 65   51 GMT..x-amz-me
0b0 : 74 61 2D 73 33 66 6F 78 2D 66 69 6C 65 73 69 7A   ta-s3fox-filesiz
0c0 : 65 3A 20 31 38 35 35 39 34 0D 0A 78 2D 61 6D 7A   e: 185594..x-amz
0d0 : 2D 6D 65 74 61 2D 73 33 66 6F 78 2D 6D 6F 64 69   -meta-s3fox-modi
0e0 : 66 69 65 64 74 69 6D 65 3A 20 31 33 31 36 30 39   fiedtime: 131609
0f0 : 34 36 30 38 30 35 34 0D 0A 4C 61 73 74 2D 4D 6F   4608054..Last-Mo
100 : 64 69 66 69 65 64 3A 20 54 75 65 2C 20 32 30 20   dified: Tue, 20 
110 : 53 65 70 20 32 30 31 31 20 31 36 3A 32 31 3A 35   Sep 2011 16:21:5
120 : 32 20 47 4D 54 0D 0A 45 54 61 67 3A 20 22 30 64   2 GMT..ETag: "0d
130 : 38 62 31 65 63 38 39 63 65 35 31 36 31 32 32 39   8b1ec89ce5161229
140 : 39 65 39 39 38 38 31 66 63 35 34 37 65 30 22 0D   9e99881fc547e0".
150 : 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A 20   .Accept-Ranges: 
160 : 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D 54   bytes..Content-T
170 : 79 70 65 3A 20 69 6D 61 67 65 2F 70 6E 67 0D 0A   ype: image/png..
180 : 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20   Content-Length: 
190 : 31 38 35 35 39 34 0D 0A 53 65 72 76 65 72 3A 20   185594..Server: 
1a0 : 41 6D 61 7A 6F 6E 53 33 0D 0A 0D 0A 89 50 4E 47   AmazonS3.....PNG
1b0 : 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 00 00 01 F9   ........IHDR....
1c0 : 00 00 01 25 08 06 00 00 00 E7 4A 9B B0 00 00 00   ...%......J.....
1d0 : 19 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64   .tEXtSoftware.Ad
1e0 : 6F 62 65 20 49 6D 61 67 65 52 65 61 64 79 71 C9   obe ImageReadyq.
1f0 : 65 3C 00 00 03 64 69 54 58 74 58 4D 4C 3A 63 6F   e&lt;...diTXtXML:co
200 : 6D 2E 61 64 6F 62 65 2E 78 6D 70 00 00 00 00 00   m.adobe.xmp.....
210 : 3C 3F 78 70 61 63 6B 65 74 20 62 65 67 69 6E 3D   &lt;?xpacket begin=
220 : 22 EF BB BF 22 20 69 64 3D 22 57 35 4D 30 4D 70   "..." id="W5M0Mp
230 : 43 65 68 69 48 7A 72 65 53 7A 4E 54 63 7A 6B 63   CehiHzreSzNTczkc
240 : 39 64 22 3F 3E 20 3C 78 3A 78 6D 70 6D 65 74 61   9d"?&gt; &lt;x:xmpmeta
250 : 20 78 6D 6C 6E 73 3A 78 3D 22 61 64 6F 62 65 3A    xmlns:x="adobe:
260 : 6E 73 3A 6D 65 74 61 2F 22 20 78 3A 78 6D 70 74   ns:meta/" x:xmpt
270 : 6B 3D 22 41 64 6F 62 65 20 58 4D 50 20 43 6F 72   k="Adobe XMP Cor
280 : 65 20 35 2E 30 2D 63 30 36 30 20 36 31 2E 31 33   e 5.0-c060 61.13
290 : 34 37 37 37 2C 20 32 30 31 30 2F 30 32 2F 31 32   4777, 2010/02/12
2a0 : 2D 31 37 3A 33 32 3A 30 30 20 20 20 20 20 20 20   -17:32:00       
2b0 : 20 22 3E 20 3C 72 64 66 3A 52 44 46 20 78 6D 6C    "&gt; &lt;rdf:RDF xml
2c0 : 6E 73 3A 72 64 66 3D 22 68 74 74 70 3A 2F 2F 77   ns:rdf="<a class="moz-txt-link-freetext" href="http://w">http://w</a>
2d0 : 77 77 2E 77 33 2E 6F 72 67 2F 31 39 39 39 2F 30   ww.w3.org/1999/0
2e0 : 32 2F 32 32 2D 72 64 66 2D 73 79 6E 74 61 78 2D   2/22-rdf-syntax-
2f0 : 6E 73 23 22 3E 20 3C 72 64 66 3A 44 65 73 63 72   ns#"&gt; &lt;rdf:Descr
300 : 69 70 74 69 6F 6E 20 72 64 66 3A 61 62 6F 75 74   iption rdf:about
310 : 3D 22 22 20 78 6D 6C 6E 73 3A 78 6D 70 4D 4D 3D   ="" xmlns:xmpMM=
320 : 22 68 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65   "<a class="moz-txt-link-freetext" href="http://ns.adobe">http://ns.adobe</a>
330 : 2E 63 6F 6D 2F 78 61 70 2F 31 2E 30 2F 6D 6D 2F   .com/xap/1.0/mm/
340 : 22 20 78 6D 6C 6E 73 3A 73 74 52 65 66 3D 22 68   " xmlns:stRef="h
350 : 74 74 70 3A 2F 2F 6E 73 2E 61 64 6F 62 65 2E 63   ttp://ns.adobe.c
360 : 6F 6D 2F 78 61 70 2F 31 2E 30 2F 73 54 79 70 65   om/xap/1.0/sType
370 : 2F 52 65 73 6F 75 72 63 65 52 65 66 23 22 20 78   /ResourceRef#" x
380 : 6D 6C 6E 73 3A 78 6D 70 3D 22 68 74 74 70 3A 2F   mlns:xmp="<a class="moz-txt-link-freetext" href="http:/">http:/</a>
390 : 2F 6E 73 2E 61 64 6F 62 65 2E 63 6F 6D 2F 78 61   /ns.adobe.com/xa
3a0 : 70 2F 31 2E 30 2F 22 20 78 6D 70 4D 4D 3A 4F 72   p/1.0/" xmpMM:Or
3b0 : 69 67 69 6E 61 6C 44 6F 63 75 6D 65 6E 74 49 44   iginalDocumentID
3c0 : 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37 31 32   ="xmp.did:EF7712
3d0 : 31 43 37 32 44 44 45 30 31 31 42 39 46 42 41 39   1C72DDE011B9FBA9
3e0 : 35 39 36 35 34 41 31 31 43 38 22 20 78 6D 70 4D   59654A11C8" xmpM
3f0 : 4D 3A 44 6F 63 75 6D 65 6E 74 49 44 3D 22 78 6D   M:DocumentID="xm
400 : 70 2E 64 69 64 3A 32 38 36 33 39 32 38 44 44 44   p.did:2863928DDD
410 : 37 32 31 31 45 30 42 44 34 37 42 41 46 39 41 45   7211E0BD47BAF9AE
420 : 44 37 33 35 38 37 22 20 78 6D 70 4D 4D 3A 49 6E   D73587" xmpMM:In
430 : 73 74 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69   stanceID="xmp.ii
440 : 64 3A 32 38 36 33 39 32 38 43 44 44 37 32 31 31   d:2863928CDD7211
450 : 45 30 42 44 34 37 42 41 46 39 41 45 44 37 33 35   E0BD47BAF9AED735
460 : 38 37 22 20 78 6D 70 3A 43 72 65 61 74 6F 72 54   87" xmp:CreatorT
470 : 6F 6F 6C 3D 22 41 64 6F 62 65 20 50 68 6F 74 6F   ool="Adobe Photo
480 : 73 68 6F 70 20 43 53 35 20 57 69 6E 64 6F 77 73   shop CS5 Windows
490 : 22 3E 20 3C 78 6D 70 4D 4D 3A 44 65 72 69 76 65   "&gt; &lt;xmpMM:Derive
4a0 : 64 46 72 6F 6D 20 73 74 52 65 66 3A 69 6E 73 74   dFrom stRef:inst
4b0 : 61 6E 63 65 49 44 3D 22 78 6D 70 2E 69 69 64 3A   anceID="xmp.iid:
4c0 : 45 46 37 37 31 32 31 43 37 32 44 44 45 30 31 31   EF77121C72DDE011
4d0 : 42 39 46 42 41 39 35 39 36 35 34 41 31 31 43 38   B9FBA959654A11C8
4e0 : 22 20 73 74 52 65 66 3A 64 6F 63 75 6D 65 6E 74   " stRef:document
4f0 : 49 44 3D 22 78 6D 70 2E 64 69 64 3A 45 46 37 37   ID="xmp.did:EF77
500 : 31 32 31 43 37 32 44 44 45 30 31 31 42 39 46 42   121C72DDE011B9FB
510 : 41 39 35 39 36 35 34 41 31 31 43 38 22 2F 3E 20   A959654A11C8"/&gt; 
520 : 3C 2F 72 64 66 3A 44 65 73 63 72 69 70 74 69 6F   &lt;/rdf:Descriptio
530 : 6E 3E 20 3C 2F 72 64 66 3A 52 44 46 3E 20 3C 2F   n&gt; &lt;/rdf:RDF&gt; &lt;/
540 : 78 3A 78 6D 70 6D 65 74 61 3E 20 3C 3F 78 70 61   x:xmpmeta&gt; &lt;?xpa


_______________________________________________
Emerging-sigs mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Emerging-sigs@emergingthreats.net">Emerging-sigs@emergingthreats.net</a>
<a class="moz-txt-link-freetext" href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a>

Support Emerging Threats! Subscribe to Emerging Threats Pro <a class="moz-txt-link-freetext" href="http://www.emergingthreatspro.com">http://www.emergingthreatspro.com</a>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!
</pre>
    </blockquote>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      <font color="#999999">&gt;</font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Best Mobile Solutions Product of 2011</li>
        <li>Best Intrusion Prevention Product</li>
        <li>Hot Company Finalist 2011</li>
        <li>Best Email Security Product</li>
        <li>Certified SNORT Integrator</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />This email has been scanned and certified safe by SpammerTrap&reg;.</div>
<div>For Information please see
<a href="http://www.spammertrap.com/">http://www.spammertrap.com/</a> <hr /></div>
<br>
</body>
</html>