Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 15 replies
  • Subscribers 0 subscribers
  • Views 22824 views
  • Users 0 members are here
Options
Suggested

[9.192-8] False positives on C2/Generic-A?

FrancWest
hi,

I started using endpoint protection/advanced thread protetion during this beta, so I'm posting it here.

On a regular basis I get the following mail alert from UTM

-------------------------------
Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2014-01-27 14:46:15
Traffic blocked: yes

Internal source IP address or host: 192.168.1.10
-------------------------------

The dashboard reports this:

User/Host Threat Name Destination Events Origin
1 192.168.1.10 C2/Generic-A 4pda.ru 2 DNS

I did a full scan of the mentioned machine and all other machines using Sophos Virus Removal Tool, but no issues are found. On the machine itself the endpoint protection isn't installed (it's a domain controller and hyper-v server).

Franc.
Parents
  • 0
    @afebtdr8, could you please post the result of following command. I really would like to know the pattern version regarding the teamviewer match.

    rpm -qa | grep u2d-aptp
  • 0 in reply to dna
    @afebtdr8, could you please post the result of following command. I really would like to know the pattern version regarding the teamviewer match.

    rpm -qa | grep u2d-aptp


    www:/root # rpm -qa | grep u2d-aptp
    u2d-aptp-9-560

    www:/root # rpm -qi u2d-aptp
    Name        : u2d-aptp                     Relocations: (not relocatable)
    Version     : 9                                 Vendor: Astaro GmbH & Co. KG
    Release     : 560                           Build Date: Mon 27 Jan 2014 04:16:32 AM PST
    Install Date: Mon 27 Jan 2014 08:19:27 AM PST      Build Host: patternbuild
    Group       : Pattern                       Source RPM: u2d-aptp-9-560.src.rpm
    Size        : 6431363                          License: Astaro
    Signature   : (none)
    Packager    : Astaro GmbH & Co. KG
    URL         : http://www.astaro.com
    Summary     : APTP block list
    Description :
    APTP block list from Sophos Labs
    Distribution: Astaro Security Gateway

    EDIT: It seems that the exception did work. After about 24 hours the dashboard counter reset and doesn't show the threat any longer.
Reply
  • 0 in reply to dna
    @afebtdr8, could you please post the result of following command. I really would like to know the pattern version regarding the teamviewer match.

    rpm -qa | grep u2d-aptp


    www:/root # rpm -qa | grep u2d-aptp
    u2d-aptp-9-560

    www:/root # rpm -qi u2d-aptp
    Name        : u2d-aptp                     Relocations: (not relocatable)
    Version     : 9                                 Vendor: Astaro GmbH & Co. KG
    Release     : 560                           Build Date: Mon 27 Jan 2014 04:16:32 AM PST
    Install Date: Mon 27 Jan 2014 08:19:27 AM PST      Build Host: patternbuild
    Group       : Pattern                       Source RPM: u2d-aptp-9-560.src.rpm
    Size        : 6431363                          License: Astaro
    Signature   : (none)
    Packager    : Astaro GmbH & Co. KG
    URL         : http://www.astaro.com
    Summary     : APTP block list
    Description :
    APTP block list from Sophos Labs
    Distribution: Astaro Security Gateway

    EDIT: It seems that the exception did work. After about 24 hours the dashboard counter reset and doesn't show the threat any longer.
Children
No Data
Unfiltered HTML