<div dir="ltr">We also are showing a large number of false positives for this.  Requests being made by Windows systems are included.  Every MAC system that we have checked that has triggered this shows negative results for the infection.  </div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 15, 2014 at 7:24 AM, Greg Kay <span dir="ltr"><<a href="mailto:gkay@...3961..." target="_blank">gkay@...3964.....</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
We are getting a large amount of hits for this domain which appears to be Symantec owned.  Fairly certain this is a false positive.<br>
<br>
* 1:32174 <-> ENABLED <-> BLACKLIST DNS request for known malware domain <a href="http://sr.symcd.com" target="_blank">sr.symcd.com</a> - Osx.Backdoor.iWorm (blacklist.rules)<br>
* 1:32173 <-> ENABLED <-> BLACKLIST DNS request for known malware domain <a href="http://s2.symcb.com" target="_blank">s2.symcb.com</a> - Osx.Backdoor.iWorm (blacklist.rules)<br>
<br>
IP address is associated with geotrust, thawte and verisign as well.<br>
<br>
Have checked the references to virustotal but haven't seen anything there suggesting its bad.   Maybe I'm missing something.<br>
<a href="http://www.virustotal.com/en/domain/s2.symcb.com/information/" target="_blank">www.virustotal.com/en/domain/s2.symcb.com/information/</a><br>
<a href="http://www.virustotal.com/en/domain/sr.symcd.com/information/" target="_blank">www.virustotal.com/en/domain/sr.symcd.com/information/</a><br>
<br>
<br>
<br>
Thanks<br>
<br>
Greg Kay<br>
<br>
=============================================================================<br>
<br>
netConsult is the trading name of nMSS Limited.<br>
Telephone (UK) <a href="tel:%2B44%2020%207100%203310" value="+442071003310">+44 20 7100 3310</a><br>
Telephone (US) <a href="tel:%2B1%20%20646%20465%207620" value="+16464657620">+1  646 465 7620</a><br>
<br>
Registered in England and Wales: Company No 4509492, VAT No 802254076<br>
Registered Office: 19-20 Bourne Court, Southend Road, Woodford Green, IG8 8HD<br>
<br>
Important Notice:<br>
This message is for the named recipient(s) use only. It may contain confidential, proprietary, or legally privileged information.<br>
No confidentiality or privilege is waived or lost by any mistransmission. If you have received this message by error, please immediately<br>
notify the sender, delete it and all copies of it from your system, destroy any hard copies, and notify <a href="mailto:postmaster@...3961...">postmaster@...3961...</a>.<br>
If you are not the intended recipient, you must not use, disclose, distribute, print, or copy any part of this message directly or indirectly.<br>
Unless otherwise stated, all quoted prices exclude VAT. Please see our Terms & Conditions for further details.<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Comprehensive Server Monitoring with Site24x7.<br>
Monitor 10 servers for $9/Month.<br>
Get alerted through email, SMS, voice calls or mobile push notifications.<br>
Take corrective actions from your mobile device.<br>
<a href="http://p.sf.net/sfu/Zoho" target="_blank">http://p.sf.net/sfu/Zoho</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Registered Linux User # 379282
</div>