無責任snortルール
タイトルの通り、無責任ですので、使用する際には自己責任でお願いします。
#なんせ、攻撃中の生パケット見る機会なんて全然ないし:-P
#ウィルスくらいだもの、生パケットを推測できるのなんて:-P
Badtrans用:
alert tcp any 110 > any any (msg:"Possible Badtans worm coming";content:"iframe";content:".scr";content:"audio/x-wav";nocase;rev:1;)
Aliz用:
alert tcp any 110 > any any (msg:"Possible Aliz worm coming";content:"whatever.exe";content:"application/x-msdownload";nocase;rev:1;)
Goner用:(誤検知多そうなので注意):
alert tcp any 110 > any any (msg:"Possible Gone worm coming";content:"GONE.SCR";content:"How are you";nocase;rev:1;)
間違ってたら連絡ください。
要望等も受け付けますが、その時はパケットキャプチャの結果をくださいね。