Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
  • 0
    I am seeing this as well (same host lookup).  This is the first alert I have seen from the ATP since upgrading to the first 9 series starting with the first beta.

    It would be useful if more information is available from the ATP, as you note it is only the DC doing a DNS lookup (for me 3 instances only, not 100's).  If the location is identified as being associated with Malware then fuller information on the ports/payload type of malware would help identifying the culprit workstation.
  • 0
    Ditto. I´m seeing mygpuid.com and warhammer-server.com

    I´d like more info before treating as a false positive. mygpuid.com doesn´t seem to be a registered domain.

    Plus point, APT identified a  computer with Zeus.
  • 0
    Same here. Two hits so far. Yesterday and today. Origin DNS and AFCd.
  • 0
    same thing here. several alerts (DNS and AFCd) mentioning mygpuid.com and www.mygpuid.com. Have spent hours making sure these computers are not infected, but haven't found anything so far.
  • 0
    I am also getting the alert.  Few different scans on the server and still nothing.

    -Jim
  • 0 in reply to Jimstigator
    Same here. Only thing is that I was experimenting with Comodo Firewall and 360 Total Security on the client pc that caused this warning but now i can assume is an ATP issue/false positive
  • 0
    Same here, 9 hits from 2 different IPs for mygpuid.com.

    Origin was proxy, which means it was direct DNS client request to UTM, not via internal DC/DNS server.
  • 0 in reply to vilic
    I too received this alert, much the same is the above linked image. At first I thought a user picked up some malware, but did a complete scan on the machine identified and found no issues.

    Anyone taken the time to scrub the logs? *not it*
  • 0
    Hello. Same here with C2/Generic-A and mygpuid.com and dl13.shopperfriendapp.info.
    Run full scan with boot cd and the latest Windows Malicious Software Removal Tool and nothing was found. What is going on?
  • 0 in reply to gband
    As mentioned above, the computer identified in our case was network's DNS server, and it was doing a DNS lookup for a client PC - not practical to turn on full logging to try and fine the requester.  So no malware on the DNS server, no risk at all.  I don't suggest that it is a false positive, but with only 3 requests only being in 24 hours logged it is not high on my list of problems.  Maybe if it continues to do so, will need to look more closely.
Unfiltered HTML