最近改ざんコードが大幅に変わったらしいです。いろいろと姑息な制御がされているらしく、検体の入手が難しいのです。

で、まあ芸の無い方法だけど、密壺から手に入れた検体を使ってインスタントなSnort Ruleを書いてみました。

alert tcp any any -> $HOME_NET any (msg:"Possible 8080 script download ";  content:"|2e 73 72 63 20  3d 20 27 68 74 74 70 3a 2f 2f|"
; content:"|2b 27 3a 27 2b 27 38 30 38 30 2f 69 6e 64 65 78 2e 70 68 70 3f|"; sid:210936; rev:0;)

まだ半日くらいしか動かしてないけど、今のところ良い具合に検知できてますな。って検知されてちゃ困るんだけどもな。