Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 9827 views
  • Users 0 members are here
Options
Suggested

[8.940][OPEN] UTM unable to catch virus (sophos endpoint does)

wingman
Hi All

I have HTTp proxy with both antivirus enabled. Also I have sophos endpoint installed. 

It seems that the endpoint catch more virus that the UTM. I would expect the sophos engine to get the following since (that's my understanding) both sophos engines are the same (UTM and endpoint)

Log below from the endpoint alert

Event: Access has been blocked to **********/gipoto/dabstepinattack.php" as 'Mal/ExpJS-AA' has been found at this website.


Relevant log from web filter

2012:05:05-10:41:07 ****httpproxy[4521]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.***.***" dstip="173.236.50.237" user="" statuscode="200" cached="4" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="11580" request="0xa96de5e0" url="http://********/gipoto/dabstepinattack.php" exceptions="" error="" country="United States" category="178" reputation="neutral" categoryname="Internet Services" content-type="text/html"


However, this was not the case.  According to virus total ,avira sees that as malware
https://www.virustotal.com/url/1306b95314166571070869cc804ca15e91a734fd24f72565117c4566b9deaa4f/analysis/1336217603/
but is not blocked 

Thanks
Parents Reply Children
  • 0 in reply to wingman
    Hi Wngman,
    I have a thread where my sons gaming PCs are attacking an external site, it is always the same site, this shows up in the IPS log/report.

    But I was wondering how it got through in the first place. The daily report shows it as being malware. On one PC I think it might have been when the proxy was not working correctly, but the other I am not sure.



    Ian
  • 0 in reply to wingman
    The strange thing is that the endpoint caught the virus on the webpage but i could expect (in my case) avira/sophos to catch this as well (according to virustotal avira can detect this)

    Sent from my iPhone using Astaro.org


    Hi Wingman,
    Sophos at the Endpoint can be configured to use live lookups, which the UTM does not do at the moment. Therefore the Endpoint may catch a virus which is still unknown to the UTM until next pattern update.
  • 0 in reply to snowcrash_01
    Hi Wingman,
    Sophos at the Endpoint can be configured to use live lookups, which the UTM does not do at the moment. Therefore the Endpoint may catch a virus which is still unknown to the UTM until next pattern update.


    oh great..another cloudy database?  am i going to have to make a push to get that one able to be locally loaded too?..[[[;)]]][[[;)]]][[[;)]]]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML