This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Bench

Earlier today, I ran the The ICSI Netalyzr to see if it indicated any network issues. It mentioned some DNS issues, so I ran DNS Bench to see if it showed any DNS issues. When I ran DNS Bench, IPS flagged it as a threat.

Here is the email it sent me:

Advanced Threat Protection

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Zbot-A (SID: 26267)
Details........: C2/Zbot-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutions 
Time...........: 2014-08-18 14:38:25
Traffic blocked: no



I've never encountered any issues before, so I thought I'd scan the file for a virus. I uploaded it to virus total which indicated it is "probably harmless". The only indication otherwise is Antiy-AVL Trojan/Win32.SGeneric, which is probably a false positive. One of the 53 systems used to scan for viruses is Sophos, which doesn't detect anything.

I have no reason to believe DNS Bench is a bot net, so this appears to be a false positive. Has anyone ever used DNS Bench or have any comments on this?


This thread was automatically locked due to age.
Parents
  • Whew! What a relief. 

    I found two email messages in my inbox this morning from our newly installed Sophos UTM. The messages said that a Windows 7 virtual machine in my laptop and the company's Windows 2003 server were both found trying to communicate with a potentially malicious site yesterday afternoon. The Windows Server is the DNS server for the office, too.

    I suspected that it was a false positive related to the DNS Bench utility. I was running the DNS Bench utility at the time of the email messages, and had added the Windows Server as a DNS server in DNS Bench. It is good to have confirmation that someone else has replicated the same issue, so it is almost surely a false positive. I ran a Sophos Endpoint Protection (anti-virus) scan on the Windows 7 virtual machine - it found nothing, of course. I also ran a quick scan and a full scan using Windows Defender with the same results - zip!

    Thank you for taking the time to post your experience. Finding a message like yours gives considerable relief when you have just received scary email messages from your newly installed Sophos UTM security device!
Reply
  • Whew! What a relief. 

    I found two email messages in my inbox this morning from our newly installed Sophos UTM. The messages said that a Windows 7 virtual machine in my laptop and the company's Windows 2003 server were both found trying to communicate with a potentially malicious site yesterday afternoon. The Windows Server is the DNS server for the office, too.

    I suspected that it was a false positive related to the DNS Bench utility. I was running the DNS Bench utility at the time of the email messages, and had added the Windows Server as a DNS server in DNS Bench. It is good to have confirmation that someone else has replicated the same issue, so it is almost surely a false positive. I ran a Sophos Endpoint Protection (anti-virus) scan on the Windows 7 virtual machine - it found nothing, of course. I also ran a quick scan and a full scan using Windows Defender with the same results - zip!

    Thank you for taking the time to post your experience. Finding a message like yours gives considerable relief when you have just received scary email messages from your newly installed Sophos UTM security device!
Children
No Data