[9.192-8] False positives on C2/Generic-A?

This is what the dashboard reports:

User/Host Threat Name Destination Events Origin
192.168.1.10 C2/Generic-A 4pda.ru 2 DNS

Hi,  something is doing dns lookups for the 4pda.ru  domain. 

If your server is a mail server,  could be incoming spam etc. 
If you have a Web server,  it could be doing reverse lookups for logging,  or it could be compromised. 

Barry

Not sure if this is related, but I've been seeing the same alerts for teamviewer.com, even though I put it in the Threat Exceptions, as well as the Allowed Websites in the proxy policy.

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2014-01-27 16:14:33
Traffic blocked: yes

User/Host Threat Name Destination Events Origin  
1 10.66.78.106 C2/Generic-A teamviewer.com 393 Proxy

What's odd is that I've got TV installed on a few internal assets, but this alert only shows up for one of them.

@afebtdr8, could you please post the result of following command. I really would like to know the pattern version regarding the teamviewer match.

rpm -qa | grep u2d-aptp

@afebtdr8, could you please post the result of following command. I really would like to know the pattern version regarding the teamviewer match.

rpm -qa | grep u2d-aptp

www:/root # rpm -qa | grep u2d-aptp
u2d-aptp-9-560

www:/root # rpm -qi u2d-aptp
Name        : u2d-aptp                     Relocations: (not relocatable)
Version     : 9                                 Vendor: Astaro GmbH & Co. KG
Release     : 560                           Build Date: Mon 27 Jan 2014 04:16:32 AM PST
Install Date: Mon 27 Jan 2014 08:19:27 AM PST      Build Host: patternbuild
Group       : Pattern                       Source RPM: u2d-aptp-9-560.src.rpm
Size        : 6431363                          License: Astaro
Signature   : (none)
Packager    : Astaro GmbH & Co. KG
URL         : http://www.astaro.com
Summary     : APTP block list
Description :
APTP block list from Sophos Labs
Distribution: Astaro Security Gateway

EDIT: It seems that the exception did work. After about 24 hours the dashboard counter reset and doesn't show the threat any longer.

@agentdr8, 
thank you for reporting the pattern version.
Indeed i could find some records in that pattern regarding
teamviewer traffic.
Current pattern does not contain those records anymore and the false-positives you saw should
not reoccure

Best Regards

Hello. I updated to 9.201-25 from 9.111 and the next day I received a few alerts (4 alerts) for C2/Generic-A coming from my internal DNS servers. I scanned the systems with boot-cd, and also with the latest Windows Malicious Software Removal Tool. Nothing was found.
So, what is going on? Are these alerts real and why they can't be detected?
Regards

These are alerts of Advanced Threat Protection.

Basically, the UTM thinks someone is doing a DNS request for a domain that is a known host for a callhome, usually indicative of an already installed virus.

Try going to "Network Protection" and looking at the overall report for recent events, or Logging and Reporting, Network Protection, ATP.

You should be able to find the IP address of the requester, and you should then do a full virus scan on them.

If you have internal DNS forwarders that are passing requests to the UTM it may be that the UTM only logs their IP, you might have a harder time finding the true source of the request.

Hello. I run a full scan at the client pc too. Nothing was found.

Do you know what domains specifically are involved?