Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
  • 0
    I'm seeing the same.  I had one request from a desktop machine to mygpuid.com.  I ran both the anti-virus that was already installed on the computer as well as the Sophos virus removal tool that was recommend.  Nothing found.  Would like to know what caused it and if it's definitely a false positive that can be safely marked as an exception.
  • 0
    After further investigation I've discovered that if I manually enter problematic URL in my browser, my admin workstation is also listed as infected (log+scrshot):

    [FONT="Courier New"][SIZE="2"]2014:05:29-16:20:57 utm httpproxy[26035]: id="0068" severity="info" sys="SecureWeb" sub="http" name="web request blocked, threat detected" action="block" method="GET" srcip="192.168.1.1" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProContaLanNetwo (Korisnicka polisa)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2514" request="0xdfa0a880" url="mygpuid.com/.../FONT]

    So, I am now a little confused about the purpose of UTM 9.2 ATP functionality...[;)]
     
    For example, if I visit a web site with a HTML code redirection to a problematic URL, UTM will report that my workstation is infected ?
  • 0
    Jungs, ich kann euch nicht folgen: Die UTM merkt an, dass 1+n Clients die Domain mygpuid.com abfragen, die Domain ist wg. Malware gelistet und es soll falsch sein, dass die UTM genau das mitteilt?
  • 0
    @K.N.

    ich sehe es genauso.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Falsch ist das nicht, aber nicht besonders hilfreich.
    Die meisten haben interne DNS Server, welche wiederum DNS von UTM befragen. Eine Meldung vom ATP , daß ein DomainController 4 mal mygpuid.com angefragt hat, bringt mich nicht weiter, ich weiss immer noch nicht welches Gerät es genau verursacht hat.
    Das könnte man aber im ATP eleganter lösen, so das brauchbare Informationen rauskommen, indem man mygpuid.com auf eine bestimmte Labor-IP von Sophos auflöst.
  • 0
    I wish I understood German, but I don't. What I find is that this may just be Google. I did find this information at urlquery.net.
    urlquery.net - Free url scanner
  • 0 in reply to gkemter
    Falsch ist das nicht, aber nicht besonders hilfreich.
    Die meisten haben interne DNS Server, welche wiederum DNS von UTM befragen. Eine Meldung vom ATP , daß ein DomainController 4 mal mygpuid.com angefragt hat, bringt mich nicht weiter, ich weiss immer noch nicht welches Gerät es genau verursacht hat.
    Das könnte man aber im ATP eleganter lösen, so das brauchbare Informationen rauskommen, indem man mygpuid.com auf eine bestimmte Labor-IP von Sophos auflöst.


    Kann ja eigentlich nur dein interner DNS-Server aka Domaincontroller wissen welcher Client genau jetzt den DNS-Query machte
    Schonmal im DNS-Server das Debugging aktiviert? Dann siehst du vllt mal mehr.

    Gruß
    Arne
  • 0
    Brief answer:
    The domain is associated with a PUA that is likely collecting browser history or advertising data but is technically not malware.  The domain has been removed from ATP.


    Please see my full reply in this thread:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65548
  • 0
    Hi Michael,

    thanks for your answer. It seems that your link is broken, I get a white page only when I try to open it. Did  https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65548

    What do you think about finding out which client is infected with this adware or junkware, do you see any other chances than activating debug log on the internal DNS server / domain controller?

    @gkemter: Falls Du die Maschine gefunden hast und wegen "popeliger" Adware nicht gleich komplett neu aufsetzen willst, kann ich dir die Freeware adwcleaner und das Junkware Removal Tool empfehlen.
  • 0
    Hmm....  Because this is an ATP DNS block that is forwarded from an internal DNS server you might have problems determining the real source.  I'm not a DNS guy so I don't know if there is a solution within there.

    Assuming for a moment that the adware is trying to communicate back to the control server using HTTP (which is common) and if you are running Web Filtering then you could turn off ATP for a while then look at your Web Filtering logs to find the request that was proxied through.  Once you've determined the source IP you can turn ATP back on.  This should be safe enough if the "infected" computer just had a PUA such as this, but you might not want to do it for a real virus infection.

    (Both forum hyperlink work for me. The only difference is that mine specifies page 2 of the thread.)
Unfiltered HTML