DNS Bench

Earlier today, I ran the The ICSI Netalyzr to see if it indicated any network issues. It mentioned some DNS issues, so I ran DNS Bench to see if it showed any DNS issues. When I ran DNS Bench, IPS flagged it as a threat.

Here is the email it sent me:

Advanced Threat Protection

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Zbot-A (SID: 26267)
Details........: C2/Zbot-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutions 
Time...........: 2014-08-18 14:38:25
Traffic blocked: no



I've never encountered any issues before, so I thought I'd scan the file for a virus. I uploaded it to virus total which indicated it is "probably harmless". The only indication otherwise is Antiy-AVL Trojan/Win32.SGeneric, which is probably a false positive. One of the 53 systems used to scan for viruses is Sophos, which doesn't detect anything.

I have no reason to believe DNS Bench is a bot net, so this appears to be a false positive. Has anyone ever used DNS Bench or have any comments on this?
  • Tools directly downloaded from grc can be trusted. I routinely use DNS Bench to troubleshoot "The Internet is Slow" issues, DNS bench having recently found a quirky one where one of the two google DNS servers were unreachable at one site, everywhere else it was fine. Some weird routing issue past the ISP's backbone was causing our local DNS server to timeout on every query then failback to the other google server. Meant that DNS queries normally handled in fractions of a second were taking 3-4sec to resolve, dramatically slowing down browsing.
  • False positive probably, just run it in my lab...results in scrshot.

    p.s Just found out that 8.8.4.4 is much, much faster then 8.8.8.8...Smile
  • Thanks for the reply. I contacted the developer. He says the code hasn't been changed in several years, so it's a false positive. Is there a way to report this to Sophos so they can address it in UTM?
  • In reply to vilic:

    Just found out that 8.8.4.4 is much, much faster then 8.8.8.8...Smile
    Different times of day will give different results. Also, look for uncached response times. Cached response times will almost always be faster for a server that is closer to you (fewer hops like your ISP server).
  • Billybob, maybe there is an another reason...Smile..in my experience 99% of IT guys are using 8.8.8.8 as a primary or backup DNS server (for forwarding) and are not even aware of the other one:
    https://developers.google.com/speed/public-dns/
  • 8.8.8.8 is easier to remember for us IT guys
    Stick out tongue

    Barry
  • Whew! What a relief. 

    I found two email messages in my inbox this morning from our newly installed Sophos UTM. The messages said that a Windows 7 virtual machine in my laptop and the company's Windows 2003 server were both found trying to communicate with a potentially malicious site yesterday afternoon. The Windows Server is the DNS server for the office, too.

    I suspected that it was a false positive related to the DNS Bench utility. I was running the DNS Bench utility at the time of the email messages, and had added the Windows Server as a DNS server in DNS Bench. It is good to have confirmation that someone else has replicated the same issue, so it is almost surely a false positive. I ran a Sophos Endpoint Protection (anti-virus) scan on the Windows 7 virtual machine - it found nothing, of course. I also ran a quick scan and a full scan using Windows Defender with the same results - zip!

    Thank you for taking the time to post your experience. Finding a message like yours gives considerable relief when you have just received scary email messages from your newly installed Sophos UTM security device!