弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

FILE-EXECUTABLE McAfee LiveSafe malformed executable denial of service attempt [**] [Classification: Attempted Denial of Service] update1

01/01-09:00:00.000000 [**] [1:39463:2] <> FILE-EXECUTABLE McAfee LiveSafe malformed executable denial of service attempt [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 193.110.109.105:80 -> 我が家LAN.11:34670 193.110.109.105 フィンランド共和国 fs-193-110-109-105.f-secure.com [ASN16273 F-Secure Oyj 193.110.108.0/23]
01/01-09:00:00.000000 [**] [1:39463:2] <> FILE-EXECUTABLE McAfee LiveSafe malformed executable denial of service attempt [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 193.110.109.105:80 -> 我が家LAN.11:34670 193.110.109.105 フィンランド共和国 fs-193-110-109-105.f-secure.com [ASN16273 F-Secure Oyj 193.110.108.0/23]

フィンランドのf-secureから何やら実行ファイルを送り込まれるw

snortに最近追加されたルールに引っかかったのか。

rules/file-executable.rulesの[1:39463:2]のルール…

alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"FILE-EXECUTABLE McAfee LiveSafe malformed executable denial of service attempt"; flow:to_client,established; flowbits:isset,file.exe; file_data; content:"PE|00 00|"; content:"|4C 01|"; within:2; byte_jump:2,14,relative,little, post_offset 2; content:"."; distance:0; content:"|00 00 00 00|"; within:4; distance:7; byte_test:4,>,0x11e1a300,0,relative,little; content:!"|00 00 00 00|"; within:4; distance:8; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; within:16; distance:12; metadata:policy balanced-ips drop, policy security-ips drop, service ftp-data, service http, service imap, service pop3; reference:cve,2016-4535; classtype:attempted-dos; sid:39463; rev:2;)

jvn.jp→JVNDB-2016-002696 McAfee LiveSafe で使用される AV エンジンにおける整数符号エラーの脆弱性
これかぁ。

ちなみに我が家にあったWin10のおまけに付いてくるMcAfeeはハングアップテロを起こされるので削除済みw
つかWin10のMcAfee使ってハングアップさせてたのはf-secure?w

「ジョン・マカフィがiOSに裏口を作れというFBIの無知な(illiterate)命令を糾弾。」 C:\WINDOWS\SECOH-QAD.dll

まさにジョン・マカフィーが言ってたウイルス対策ソフトに組み込まされたFBIの裏口ですなw。

投稿されたコメント:

コメント
コメントは無効になっています。