Thanks Harry. Tough one here.<div><br></div><div>We have that exact UA for this family only in the db. But as soon as we post with this I'm sure something legit will pop up using that UA.</div><div><br></div><div>But if we go for the first request uri and UA it'd be better.</div>
<div><br></div><div>I have this as first request for most samples:</div><div><br></div><div>/api/test<br></div><div><br></div><div>You seeing the same Harry?</div><div><br></div><div>Matt</div><div class="gmail_extra"><br>
<br><div class="gmail_quote">On Thu, Dec 20, 2012 at 1:26 PM, harry.tuttle <span dir="ltr"><<a href="mailto:harry.tuttle@zoho.com" target="_blank">harry.tuttle@zoho.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
This covers a payload that seems to be making the rounds this week. I'm not sure how unique that UAS is all on it's own, but, as written, I've had no FP after almost 48 hours.<br>
<br>
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN FakeAV whatever";flow:established,to_server; content:"User-Agent: Mozilla/5.0(compatible|3b| MSIE 9.0|3b| Windows NT 7.1|3b| Trident/5.0)|0d 0a|Host|3a20|"; depth:83; http_header; content:!"Accept|3a 20|";http_header; reference:md5,dd4d18c07e93c34d082dab57a38f1b86; reference:md5,5a864ccfeee9c0c893cfdc35dd8820a6; classtype:trojan-activity; sid:nnnnnnn; rev:1;)<br>

<br>
There is coverage with 2805614 in pro, but, if the first couple of http requests are blocked or don't work for whatever reason, then the traffic that triggers 2805614 doesn't seem to ever be generated. This rule should catch it all.<br>

<br>
Regards,<br>
Harry<br>
<br>
_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net">Emerging-sigs@lists.emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><br>----------------------------------------------------<br>Matt Jonkman<br>Emerging Threats Pro<br>Open Information Security Foundation (OISF)<br>Phone 866-504-2523 x110<br>
<a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br><a href="http://www.openinfosecfoundation.org" target="_blank">http://www.openinfosecfoundation.org</a><br>----------------------------------------------------<br>

</div>