Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 72 replies
  • Subscribers 4 subscribers
  • Views 73104 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

stealthmatt_01
Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
  • 0
    Hi there,

    I'm getting that too, though I suspect Opera browser to be my root cause.. with some strange effects on the host.. Do not have time to investigate now.. 

    From aptp.log
    2014:10:06-11:32:55 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#56180 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-11:34:00 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.3.32#54867 (csc3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2004-crl.verisign.com via csc3-2004-crl.verisign.com.rpz
    2014:10:06-11:36:56 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.36#61671 (csc3-2004-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2004-crl.verisign.com via csc3-2004-crl.verisign.com.rpz
    2014:10:06-12:09:13 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#64284 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-12:13:42 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#52400 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz
    2014:10:06-12:17:58 EDITED:UTMNAME named[4102]: rpz: client EDITED:***.***.2.32#54480 (csc3-2009-2-crl.verisign.com): view default: rpz QNAME NXDOMAIN rewrite csc3-2009-2-crl.verisign.com via csc3-2009-2-crl.verisign.com.rpz


    But I honestly suspect something, my main host is acting pretty strangely, the UAC settings change itself on its own and things like that....

    Ran Sophos Virus Removal Tool with no effect and a bunch of other things, JRT.EXE and malwarebytes...
    Offline scanned virtual hosts with ESET live cd and Avira Live cd = will update soon (nothing yet though not finished)

    also at 1st only 1 host, then a 2nd then now a 3rd today morning...

    And sorry, yes this appeared with 9.207-19 indeed.

    thanks,
    regards,
    m.
  • 0 in reply to Mokaz
    About half an hour ago ATP signatures 9.2609 were released with Verisign and Whatismyipaddress targets removed.

    Ondrej
  • 0 in reply to ondrej.holas
    Where could i verify this version number: ATP signatures 9.2609?

    Only numbers I see are:  

    Current firmware version: 9.207-19
    Current pattern version: 68028
  • 0 in reply to Rob_Meulendijks
    Where could i verify this version number: ATP signatures 9.2609?


    Method 1: In WebAdmin, go to Logging & Reporting > View Log Files > Up2Date messages > View. Search for "/aptp/" (without quotes). You'll see something like 

    2014:10:06-12:37:03 utm auisys[29715]: Installing up2date package file '/var/up2date//aptp/u2d-aptp-9.2609.tgz.gpg'


    Method 2: Log in to shell via SSH and type following command: 

    ls -l /var/pattern/packages/aptp/


    Ondrej
  • 0
    Thanks ondrej! 

    The update was installed successfully although I'm still having my 2 hosts listed under the ATP...

    the new sophos board sucks... :-( please give us the old one back.

  • 0
    Confirmed!

    I just now have THIS funny scenario:

    page is no longer blocked, but I still get warnings on mail:

    Advanced Threat Protection

    A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

    Details about the alert:

    Threat name....: Troj/MSIL-ALL
    Details........: Troj/MSIL-ALL - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Soluti
    Time...........: 2014-10-06 13:35:05
    Traffic blocked: yes

    [:S]

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    After installing ATP signatures 9.2609, we don't get any more positives on Verisign.
  • 0
    Hello, I already put the verisign´s to exception, but I don´t understant why still ATP reporting them as botnet C&C see attach screen. Everything is point abou verisign.

    My current pattern version is : 68058
    firmware version is: 9.207-19
    /aptp/ is: /aptp/u2d-aptp-9.2619.tgz.gpg'
  • 0 in reply to corsairetc
    Hello, I already put the verisign´s to exception, but I don´t understant why still ATP reporting them as botnet C&C see attach screen. Everything is point abou verisign.

    My current pattern version is : 68058
    firmware version is: 9.207-19


    There is something wrong with the signatures, go and do a manual update of your patterns.

    In the end your signature version must be: ATP signatures 9.2609

    Look at Ondrej's post, how to find out which version you are running :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    I posted already I found aptp version 9.2619
Unfiltered HTML