Stick with me with this. This is pescanner from the malware cookbook. I have modified it slightly to have more IAT alerts after reading this <a href="http://www.sans.org/reading_room/whitepapers/malicious/rss/_33649">http://www.sans.org/reading_room/whitepapers/malicious/rss/_33649</a> as it has a big list of IATs at the end and their malware uses so I added them in (in this case I would say all those IATs look bad in combination). This was Zeus with the file carved out a pcap on <a href="http://openpacket.org">openpacket.org</a>. You can see the virtustotal report for the MD5 when I searched for it here <a href="http://www.virustotal.com/file-scan/report.html?id=2f59173cf3842b3a72ac04404ab045c339cbc6f021f24b977a27441ea881e95b-1295056538">http://www.virustotal.com/file-scan/report.html?id=2f59173cf3842b3a72ac04404ab045c339cbc6f021f24b977a27441ea881e95b-1295056538</a><br>
<br>Now what I was thinking is if they file_extract options were put into suricata as was mentioned after the last meeting would it be hard to have suricata or another tool check IATs, entropy, clamav scan possibly or checking the MD5 against virustotal, shadowserver etc to determine if is is possibly malicious? Even the IATs for their possible usage and risk and then a threshold to then determine if the file is likely bad<code>.</code> If the file was possible bad then a preprocessor style alert could be 
generated by suricata with the relevant information about the file and 
the possibly malicious file could be moved to a malicious folder or 
something to be stored while if the user wants executables or other 
files that are not detected as anything or suspicious could be deleted 
meaning you have a folder of likely samples for stuff entering your 
network. What do people think?<br><br>################################################################################<br>Record 0<br>################################################################################<br><br>
Meta-data<br>================================================================================<br>File:     16586-000001.exe<br>Size:    120676 bytes<br>Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit<br>MD5:     ded848ed704cf70048b4dd8d7180532a<br>
SHA1:    df879f5ef8710bf29ffb534cb9ac0d2372673dcc<br>ssdeep:  3072:ls/kvZuDEJKyzWZMlKyi/4A01XCxFmLgmBouzUcCy9kDZ:K/8EEJKyuZ/u1+msLuGy9g<br>Date:    0x4B7C7C09 [Wed Feb 17 23:30:17 2010 UTC]<br>EP:      0x4047e6 .text 0/4<br>
CRC:     Claimed: 0x0, Actual: 0x2932f [SUSPICIOUS]<br><br>Resource entries<br>================================================================================<br>Name               RVA      Size     Lang         Sublang                  Type<br>
--------------------------------------------------------------------------------<br>JZ3NY0             0x85dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x95dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0xa5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0xb5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0xc5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0xd5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0xe5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0xf5dc   0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x105dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x115dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       SysEx File - Lowrey<br>JZ3NY0             0x125dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x135dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       DBase 3 data file with memo(s)<br>JZ3NY0             0x145dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x155dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x165dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x175dc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x185dc  0xa00    LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x18fdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x19fdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x1afdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x1bfdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x1cfdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>JZ3NY0             0x1dfdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
JZ3NY0             0x1efdc  0x1000   LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>SETTINGS           0x1ffdc  0x6e     LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>RT_VERSION         0x2004c  0x2cc    LANG_ENGLISH SUBLANG_ENGLISH_US       data<br>
<br>Suspicious IAT alerts<br>================================================================================<br>IsDebuggerPresent<br>ReadProcessMemory<br>WriteProcessMemory<br>LoadLibraryA<br><br>Sections<br>================================================================================<br>
Name       VirtAddr     VirtSize     RawSize      Entropy     <br>--------------------------------------------------------------------------------<br>.text      0x1000       0x396c       0x3a00       5.696497    <br>.rdata     0x5000       0x690        0x800        4.412936    <br>
.data      0x6000       0x13d4       0x800        6.048607    <br>.rsrc      0x8000       0x18318      0x18400      7.987794    [SUSPICIOUS]<br><br>