This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
Parents
  • Hi there,

    I'm getting that too, though I suspect Opera browser to be my root cause.. with some strange effects on the host.. Do not have time to investigate now.. 

    From aptp.log
    2014:10:06-11:32:55 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#56180 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-11:34:00 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.3.32#54867 (csc3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2004-crl.verisign.com via csc3-2004-crl.verisign.com.rpz
    2014:10:06-11:36:56 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.36#61671 (csc3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2004-crl.verisign.com via csc3-2004-crl.verisign.com.rpz
    2014:10:06-12:09:13 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#64284 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-12:13:42 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#52400 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-12:17:58 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#54480 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz


    But I honestly suspect something, my main host is acting pretty strangely, the UAC settings change itself on its own and things like that....

    Ran Sophos Virus Removal Tool with no effect and a bunch of other things, JRT.EXE and malwarebytes...
    Offline scanned virtual hosts with ESET live cd and Avira Live cd = will update soon (nothing yet though not finished)

    also at 1st only 1 host, then a 2nd then now a 3rd today morning...

    And sorry, yes this appeared with 9.207-19 indeed.

    thanks,
    regards,
    m.
  • About half an hour ago ATP signatures 9.2609 were released with Verisign and Whatismyipaddress targets removed.

    Ondrej
  • Where could i verify this version number: ATP signatures 9.2609?

    Only numbers I see are:  

    Current firmware version: 9.207-19
    Current pattern version: 68028
  • Where could i verify this version number: ATP signatures 9.2609?


    Method 1: In WebAdmin, go to Logging & Reporting > View Log Files > Up2Date messages > View. Search for "/aptp/" (without quotes). You'll see something like

    2014:10:06-12:37:03 utm auisys[29715]: Installing up2date package file '/var/up2date//aptp/u2d-aptp-9.2609.tgz.gpg'


    Method 2: Log in to shell via SSH and type following command:

    ls -l /var/pattern/packages/aptp/


    Ondrej
Reply
  • Where could i verify this version number: ATP signatures 9.2609?


    Method 1: In WebAdmin, go to Logging & Reporting > View Log Files > Up2Date messages > View. Search for "/aptp/" (without quotes). You'll see something like

    2014:10:06-12:37:03 utm auisys[29715]: Installing up2date package file '/var/up2date//aptp/u2d-aptp-9.2609.tgz.gpg'


    Method 2: Log in to shell via SSH and type following command:

    ls -l /var/pattern/packages/aptp/


    Ondrej
Children
No Data