This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
Parents Reply Children
  • They already said they fixed it - why they lie? its been a whole day and this is pathetic!


    A lie implies knowingly uttering falsehoods.  From my contact with support they are not sure why the patch they have already issued isn't working.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • We have the same error starting on 2-10-2014. Today we have seen several systems reporting this error. Looking into this more, it seems as if the error is triggered whenever a system is checking on: Office Software Protection Platform Service for Office 2010.

    We started creating a DNSlog on our servers because the source was (is) DNS. This revealed the systems behind the DNS request. Those systems are clean and in the Application log we only see multiple WUpdates on Office 2010 and after that the Office Software Protection Platform Service connecting, around the same time we get the csc3-2009-2-cl.verisign.com events.

    No other communication detected, only DNS so no further worries. Lets wait for a fix from Sophos.
  • A lie implies knowingly uttering falsehoods.  From my contact with support they are not sure why the patch they have already issued isn't working.


    I appreciate any info about progress in this case. But I have some questions then:

    1. If they already issued patch (or in this case new ATP pattern), why we see last ATP pattern from yesterday morning? (ls -l /var/pattern/packages/aptp/) Normally, ATP defs come several times a day, now they are not updated for over 30 hours.
    2. Look inside the installed ATP definitions (/var/pattern/aptp/threatdata.json). How difficult is to remove three entries mentioning Verisign-owned domain names, sign updated package and push it to the Up2Date servers?

    Maybe false positives on Verisign URLs/names are only part of wider problem...

    Ondrej