<p>Its likely not Ponmocup, maybe some search toolbar, but you should investigate further to be on the safe side</p>
<div class="gmail_quote">On Dec 12, 2012 11:13 PM, "harry.tuttle" <<a href="mailto:harry.tuttle@zoho.com">harry.tuttle@zoho.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<u></u><div><div style="font-size:10pt;font-family:Verdana,Arial,Helvetica,sans-serif">In my experience, the UAS is seen only with the traffic generated by the malware on an infected machine; the UAS is not changed for all traffic. This rule does false sometimes. I have a couple of negations added locally, but I haven't seen yours before.<br>
<br>Lately, this UAS is seen with Cridex, and it has been a great rule for detecting that.<br><br>HTH,<br>Harry<br><div><br>---- On Wed, 12 Dec 2012 13:29:23 -0800 <b>Russell Fulton <<a href="mailto:r.fulton@auckland.ac.nz" target="_blank">r.fulton@auckland.ac.nz</a>></b> wrote ---- <br>
</div><br><blockquote style="border-left:1px solid #0000ff;padding-left:6px"><br>ET TROJAN Spoofed MSIE 7 User-Agent Likely Ponmocup    2012801 <br> <br>WE have one machine on our wireless network which is repeatedly triggering this alert on what are clearly legitimate queries including things like this: <br>
 <br>GET /complete/search?output=firefox&hl=en&q=sion HTTP/1.1 <br>Connection: close <br>Host: <a href="http://suggestqueries.google.com" target="_blank">suggestqueries.google.com</a> <br>User-Agent: Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US) <br>
 <br>On an infected machine does the useragent string get used on traffic generated by the malware or does the default UA get changed? <br> <br>Russell  <br> <br>_______________________________________________ <br>Emerging-sigs mailing list <br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net" target="_blank">Emerging-sigs@lists.emergingthreats.net</a> <br><a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a> <br>
 <br>Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a> <br>The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current! <br>
</blockquote><br></div></div><br>_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net">Emerging-sigs@lists.emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!<br></blockquote></div>