alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-BACKDOOR access remote pc runtime detection - init connection"; flow:to_server,established; content:"|99 F3 00 00 00 00 00 00 FF FF FF FF|"; depth:12; flowbits:set,AccessRemotePC_detection; flowbits:noalert; classtype:trojan-activity; sid:12142; rev:3;)
Será ' alert ' en cualquier conexión TCP desde una red externa a una red interna (DMZ) siempre que el contenido del paquete coincida con ' 99 F3 00 00 00 00 00 00 FF FF FF FF '(que coincide con el BackoffPOS 1.56 módulo de inyección de proceso).
Mientras que hay más a la regla; profundidad, estableciendo los bits de flujo a una clase predefinida (AccessRemotePC_detection; utilizada para facilitar el reporte) así como 'classtype', en los términos más simples que es el desglose de su regla.
Lea otras preguntas en las etiquetas snort