This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
Parents
  • Folks...before you start bashing UTM for the delayed response keep in mind this is something new.  They have had their tems working non-stop on this one.  Considering it has been out since v9.200 and until now has not had a problem i'd say the record is pretty good.  I use APT as a way to test machines i think are infected with something.  APT is very effective in what it does and the fact this is the first and only issue i've seen with it tells me it's well done from the beginning.  If it seems so dangerous or badly implemented move along....otherwise chill folks.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Folks...before you start bashing UTM for the delayed response keep in mind this is something new.  They have had their tems working non-stop on this one.  Considering it has been out since v9.200 and until now has not had a problem i'd say the record is pretty good.  I use APT as a way to test machines i think are infected with something.  APT is very effective in what it does and the fact this is the first and only issue i've seen with it tells me it's well done from the beginning.  If it seems so dangerous or badly implemented move along....otherwise chill folks.


    Correct, William, bashing will not help at all.

    What I do understand is the frustration - this is not the first time we see such a behaviour from Sophos. For me it's all about reaction times. We already had definition updates rolling out before Sophos did test them against their OWN products (UTM-IPS vs. Endpoint Security).

    This time they - obviously arbitrarily - blacklisted URLs from Malware analysis databases without even checking them. "whatismyipadress" is just an typical example for that kind of logic.

    I have received dozens of support requests from worried customers.
    One of them even powered the primary DC/DNS server down because of this.

    OK, this CAN happen, we all aren't perfect, but at least it should be corrected within a few days. If it was so easy to integrate the wrong definitions without proper QA into the update packages, why is it so time-consuming to remove them again?

    Just my two cents,

    SM
  • Please don't tell me to chill out, I wasted a valuable day of my time looking for a problem that did not exist.

    Mistakes will happen - that is fine, the lack of communication on the issue, once identified, was the failing, not the fact that they made a mistake..
Reply
  • Please don't tell me to chill out, I wasted a valuable day of my time looking for a problem that did not exist.

    Mistakes will happen - that is fine, the lack of communication on the issue, once identified, was the failing, not the fact that they made a mistake..
Children
No Data