[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02687] Re: CodeRed II

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:02687] Re: CodeRed II
From: Ken <pakira@xxxxxxxxxxxx>
Date: Wed, 12 Mar 2003 23:24:12 +0900

けんです。


syun <syun@xxxxxxx> wrote:
> ●私の捕獲したパケット
> http://www.baba-lab.com/12MAR2003/CodeRedF.txt
> 
> この中のここ：
> 00000300  0f b7 85 3c fe ff ff 3d  88 88 00 00 73 cf 0f b7
> 
> ●http://www.ebcvg.com/のCodeRedIIを od でダンプしたもの
> http://www.baba-lab.com/12MAR2003/Codered2.txt
> 
> この中のここ：
> 0001400 0f b7 85 3c fe ff ff 3d d2 07 00 00 73 cf 0f b7


セキュリティホールmemoでも紹介されていますが、Symantecのページを見ると、

| http://securityresponse.symantec.com/avcenter/venc/data/codered.f.html
| 　This variant differs in only two bytes from the original CodeRed II. 
| 
| http://www.symantec.com/region/jp/sarcj/data/c/codered_ii.html
| 　この亜種とオリジナルのCodeRed IIとの相違点は、サイズが2バイト異なるだけです。

とあります。
で、syunさんが確認したのはまさにソレということで。

00000300  0f b7 85 3c fe ff ff 3d 88 88 00 00 73 cf 0f b7
0001400   0f b7 85 3c fe ff ff 3d d2 07 00 00 73 cf 0f b7
                                  ~~~~~

2byteの違いですよね？









---------------
けん　pakira@xxxxxxxxxxxx / http://ensi.tdiary.net

Follow-Ups:
- [port139ml:02688] Re: CodeRed II
  - From: syun

References:
- [port139ml:02684] Re: CodeRed II
  - From: syun
- [port139ml:02685] Re: CodeRed II
  - From: syun

Prev by Date: [port139ml:02686] Re: Autopsy UTF8 パッチ
Next by Date: [port139ml:02688] Re: CodeRed II
Previous by thread: [port139ml:02685] Re: CodeRed II
Next by thread: [port139ml:02688] Re: CodeRed II
Index(es):
- Date
- Thread