Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 15 replies
  • Subscribers 0 subscribers
  • Views 22824 views
  • Users 0 members are here
Options
Suggested

[9.192-8] False positives on C2/Generic-A?

FrancWest
hi,

I started using endpoint protection/advanced thread protetion during this beta, so I'm posting it here.

On a regular basis I get the following mail alert from UTM

-------------------------------
Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2014-01-27 14:46:15
Traffic blocked: yes

Internal source IP address or host: 192.168.1.10
-------------------------------

The dashboard reports this:

User/Host Threat Name Destination Events Origin
1 192.168.1.10 C2/Generic-A 4pda.ru 2 DNS

I did a full scan of the mentioned machine and all other machines using Sophos Virus Removal Tool, but no issues are found. On the machine itself the endpoint protection isn't installed (it's a domain controller and hyper-v server).

Franc.
Parents
  • 0
    These are alerts of Advanced Threat Protection.

    Basically, the UTM thinks someone is doing a DNS request for a domain that is a known host for a callhome, usually indicative of an already installed virus.

    Try going to "Network Protection" and looking at the overall report for recent events, or Logging and Reporting, Network Protection, ATP.

    You should be able to find the IP address of the requester, and you should then do a full virus scan on them.

    If you have internal DNS forwarders that are passing requests to the UTM it may be that the UTM only logs their IP, you might have a harder time finding the true source of the request.
Reply
  • 0
    These are alerts of Advanced Threat Protection.

    Basically, the UTM thinks someone is doing a DNS request for a domain that is a known host for a callhome, usually indicative of an already installed virus.

    Try going to "Network Protection" and looking at the overall report for recent events, or Logging and Reporting, Network Protection, ATP.

    You should be able to find the IP address of the requester, and you should then do a full virus scan on them.

    If you have internal DNS forwarders that are passing requests to the UTM it may be that the UTM only logs their IP, you might have a harder time finding the true source of the request.
Children
No Data
Unfiltered HTML