Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 9827 views
  • Users 0 members are here
Options
Suggested

[8.940][OPEN] UTM unable to catch virus (sophos endpoint does)

wingman
Hi All

I have HTTp proxy with both antivirus enabled. Also I have sophos endpoint installed. 

It seems that the endpoint catch more virus that the UTM. I would expect the sophos engine to get the following since (that's my understanding) both sophos engines are the same (UTM and endpoint)

Log below from the endpoint alert

Event: Access has been blocked to **********/gipoto/dabstepinattack.php" as 'Mal/ExpJS-AA' has been found at this website.


Relevant log from web filter

2012:05:05-10:41:07 ****httpproxy[4521]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.***.***" dstip="173.236.50.237" user="" statuscode="200" cached="4" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="11580" request="0xa96de5e0" url="http://********/gipoto/dabstepinattack.php" exceptions="" error="" country="United States" category="178" reputation="neutral" categoryname="Internet Services" content-type="text/html"


However, this was not the case.  According to virus total ,avira sees that as malware
https://www.virustotal.com/url/1306b95314166571070869cc804ca15e91a734fd24f72565117c4566b9deaa4f/analysis/1336217603/
but is not blocked 

Thanks
Parents
  • 0
    The strange thing is that the endpoint caught the virus on the webpage but i could expect (in my case) avira/sophos to catch this as well (according to virustotal avira can detect this)

    Sent from my iPhone using Astaro.org
  • 0 in reply to wingman
    The strange thing is that the endpoint caught the virus on the webpage but i could expect (in my case) avira/sophos to catch this as well (according to virustotal avira can detect this)

    Sent from my iPhone using Astaro.org


    Hi Wingman,
    Sophos at the Endpoint can be configured to use live lookups, which the UTM does not do at the moment. Therefore the Endpoint may catch a virus which is still unknown to the UTM until next pattern update.
  • 0 in reply to snowcrash_01
    Hi Wingman,
    Sophos at the Endpoint can be configured to use live lookups, which the UTM does not do at the moment. Therefore the Endpoint may catch a virus which is still unknown to the UTM until next pattern update.


    oh great..another cloudy database?  am i going to have to make a push to get that one able to be locally loaded too?..[[[;)]]][[[;)]]][[[;)]]]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0 in reply to snowcrash_01
    Hi Wingman,
    Sophos at the Endpoint can be configured to use live lookups, which the UTM does not do at the moment. Therefore the Endpoint may catch a virus which is still unknown to the UTM until next pattern update.


    oh great..another cloudy database?  am i going to have to make a push to get that one able to be locally loaded too?..[[[;)]]][[[;)]]][[[;)]]]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Unfiltered HTML