This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
Parents
  • Is it connected with today's update to 9.207019?
    I applied the update tonight.
  • Is it connected with today's update to 9.207019?
    I applied the update tonight.


    No, UTM software and protection signatures (including ATP signatures) have separate updates and also separate version numbering. Problematic ATP signature has version 9.2507 released today between 5:41 and 5:56 AM GMT and affects all ATP-capable UTM versions (9.2xx)

    Ondrej
  • No, UTM software and protection signatures (including ATP signatures) have separate updates and also separate version numbering. Problematic ATP signature has version 9.2507 released today between 5:41 and 5:56 AM GMT and affects all ATP-capable UTM versions (9.2xx)

    Ondrej


    Are you sure it's 9.2507 that is problematic?
    I think it could be 9.2505, because the 9.2507 was installed just one hour ago on my site. 
    9.2505 was installed at 6:40 GMT+1 on my site and the first error I got, was at about 7:30 GMT+1.
  • Are you sure it's 9.2507 that is problematic?
    I think it could be 9.2505, because the 9.2507 was installed just one hour ago on my site. 
    9.2505 was installed at 6:40 GMT+1 on my site and the first error I got, was at about 7:30 GMT+1.


    I'm sure that with 9.2507 the false positives appear. But since my UTM does not run 24x7 and was shut down last night, it indeed missed some signature releases (it applied 9.2507  this morning shortly after poweron over yesterday's 9.2498), so I admit that some releases before 9.2507 may also contain pattern causing this false positive.

    Ondrej
Reply
  • Are you sure it's 9.2507 that is problematic?
    I think it could be 9.2505, because the 9.2507 was installed just one hour ago on my site. 
    9.2505 was installed at 6:40 GMT+1 on my site and the first error I got, was at about 7:30 GMT+1.


    I'm sure that with 9.2507 the false positives appear. But since my UTM does not run 24x7 and was shut down last night, it indeed missed some signature releases (it applied 9.2507  this morning shortly after poweron over yesterday's 9.2498), so I admit that some releases before 9.2507 may also contain pattern causing this false positive.

    Ondrej
Children
  • I'm sure that with 9.2507 the false positives appear. But since my UTM does not run 24x7 and was shut down last night, it indeed missed some signature releases (it applied 9.2507  this morning shortly after poweron over yesterday's 9.2498), so I admit that some releases before 9.2507 may also contain pattern causing this false positive.

    Ondrej


    Oh, I see... OK :-) so they are both problematic.