ARAKIS

Szczególy klastra: [WORM] Conficker/Downadup activity (139/445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase

Nazwa:	[WORM] Conficker/Downadup activity (139/445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase
Data:	2008-11-21 05:30:14
Poziom klasyfikacji:	Attack
Rdzeń:	[WORM] Conficker/Downadup activity (139/445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase
Porty:	139/TCP , 445/TCP
Unikalnych źródeł:	16177
Rozmiar sygnatury:	39
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 139,445 (msg:"[WORM] Conficker/Downadup activity (139/445/T\ CP, "NT LM 0.12", MS08-067) - SMB negotiation phase"; flow:to_server,established; content:"/\|ff\|SMBr\ \|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00\|\\\|02 00 00 00 00 00 0c 00 02\|NT";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.