<p dir="ltr">Those are there on purpose :)</p>
<div class="gmail_quote">On Sep 11, 2014 5:56 PM, "rmkml" <<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thx again Community and @EmergingThreats team,<br>
<br>
Sig 2019166 use really "...&&..." on uri please ?<br>
<br>
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET TROJAN Stobox Connectivity Check"; flow:established,to_server; content:"/windowsupdate/v6/<u></u>thanks.aspx?ln=en&&thankspage=<u></u>"; http_uri; fast_pattern:28,20; content:"Host|3a 20|<a href="http://update.microsoft.com" target="_blank">update.microsoft.com</a>|0d 0a|"; http_header; depth:28; content:!"Accept-Language|3a|"<u></u>; content:!"Referer|3a|"; http_header; content:!"Cookie|3a|"; content:"|0d 0a 0d 0a|"; threshold: type both, count 5, seconds 300, track by_src; reference:md5,<u></u>aba20c8289b37b10d42979730674a2<u></u>ca; classtype:trojan-activity; sid:2019166; rev:3;)<br>
<br>
Regards<br>
@Rmkml<br>
<br>
<br>
On Thu, 11 Sep 2014, Francis Trudeau wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[***] Status: [***]<br>
<br>
9 new Open signatures, 23 new Pro (9+14).  DecebalPOS, JackPOS, Various Andoid.<br>
<br>
Thanks:  Kevin Ross.<br>
<br>
<br>
[+++]          Added rules:          [+++]<br>
<br>
Open:<br>
<br>
 2019158 - ET TROJAN Possible Malicious Invoice EXE (trojan.rules)<br>
 2019159 - ET TROJAN TSPY_POCARDL.U Possible FTP Login (trojan.rules)<br>
 2019160 - ET TROJAN DecebalPOS Checkin (trojan.rules)<br>
 2019161 - ET TROJAN DecebalPOS User-Agent (trojan.rules)<br>
 2019162 - ET TROJAN Win.Trojan.Chewbacca connectivity check (trojan.rules)<br>
 2019163 - ET TROJAN JackPOS Checkin (trojan.rules)<br>
 2019164 - ET TROJAN JackPOS XOR Encoded HTTP Client Body (key AA)<br>
(trojan.rules)<br>
 2019165 - ET TROJAN Possible Banload Downloading Executable (trojan.rules)<br>
 2019166 - ET TROJAN Stobox Connectivity Check (trojan.rules)<br>
<br>
Pro:<br>
<br>
 2808791 - ETPRO TROJAN Win32/Xymne Checkin (trojan.rules)<br>
 2808792 - ETPRO TROJAN Win32/FlyAgent variant MYSQL C2 (trojan.rules)<br>
 2808793 - ETPRO TROJAN Win32.Androm.cxb Requesting PE (trojan.rules)<br>
 2808794 - ETPRO TROJAN Win32.Weelsof.qko Possible Connectivity Check<br>
<a href="http://wikipedia.org" target="_blank">wikipedia.org</a> (trojan.rules)<br>
 2808796 - ETPRO TROJAN W32/Magania.IDPJ C2 (trojan.rules)<br>
 2808797 - ETPRO TROJAN Trojan-PSW.Reedum FTP password (trojan.rules)<br>
 2808798 - ETPRO MOBILE_MALWARE AdWare.AndroidOS.Vidma.a Checkin<br>
(mobile_malware.rules)<br>
 2808799 - ETPRO MOBILE_MALWARE Android.Trojan.SMSSend.LJ Checkin<br>
(mobile_malware.rules)<br>
 2808800 - ETPRO TROJAN Win32.Llac.bbeh downloading files (trojan.rules)<br>
 2808801 - ETPRO TROJAN Win32.Reconyc Checkin (trojan.rules)<br>
 2808802 - ETPRO MOBILE_MALWARE RiskTool.AndroidOS.Zedat.a Checkin<br>
(mobile_malware.rules)<br>
 2808803 - ETPRO MOBILE_MALWARE Android.Riskware.SMSReg.DB Checkin<br>
(mobile_malware.rules)<br>
 2808804 - ETPRO TROJAN Win32/Cendelf.gen!A connectivity check (trojan.rules)<br>
<br>
<br>
[///]     Modified active rules:     [///]<br>
<br>
 2001998 - ET MALWARE UCMore Spyware Downloading Ads (malware.rules)<br>
 2002763 - ET TROJAN Dumador Reporting User Activity (trojan.rules)<br>
 2003058 - ET MALWARE 180solutions (Zango) Spyware Installer Download<br>
(malware.rules)<br>
 2018912 - ET TROJAN <a href="http://ABUSE.CH" target="_blank">ABUSE.CH</a> SSL Blacklist Malicious SSL certificate<br>
detected (KINS C2) (trojan.rules)<br>
 2806306 - ETPRO TROJAN Trojan-PSW.Reedum FTP long Port (LPRT) (trojan.rules)<br>
 2808760 - ETPRO WEB_CLIENT Possible Internet Explorer Use-After-Free<br>
CVE-2014-4087 (web_client.rules)<br>
 2808761 - ETPRO WEB_CLIENT Possible Internet Explorer Use-After-Free<br>
CVE-2014-4088 (web_client.rules)<br>
 2808764 - ETPRO WEB_CLIENT Possible Internet Explorer Use-After-Free<br>
CVE-2014-4094 (web_client.rules)<br>
______________________________<u></u>_________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net" target="_blank">Emerging-sigs@lists.<u></u>emergingthreats.net</a><br>
<a href="https://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">https://lists.emergingthreats.<u></u>net/mailman/listinfo/emerging-<u></u>sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreats.net" target="_blank">http://www.emergingthreats.net</a><br>
<br>
<br>
</blockquote>
______________________________<u></u>_________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@lists.emergingthreats.net" target="_blank">Emerging-sigs@lists.<u></u>emergingthreats.net</a><br>
<a href="https://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">https://lists.emergingthreats.<u></u>net/mailman/listinfo/emerging-<u></u>sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreats.net" target="_blank">http://www.emergingthreats.net</a><br>
<br>
</blockquote></div>