Endpoint Protection

I know that this is a repeat thread, I could not find a solution to any previous threads: (https://www-secure.symantec.com/connect/forums/traffic-blocked-ntoskrnlexe)

I'm stuck at evaluating if this is really a threat or not and if it should be blocked. I also don't want to create a general rule to allow all ntoskrnl traffic, but only to allow valid traffic.

Here's a excerpt from my log:

BEGIN
"""17391 4/27/2010 1:24:15 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:23:13 AM 4/27/2010 1:23:52 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17392 4/27/2010 1:24:15 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:23:13 AM 4/27/2010 1:23:52 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17393 4/27/2010 1:24:15 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58800 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:23:13 AM 4/27/2010 1:24:03 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17394 4/27/2010 1:25:16 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:24:15 AM 4/27/2010 1:25:00 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17395 4/27/2010 1:25:16 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:24:15 AM 4/27/2010 1:25:00 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17396 4/27/2010 1:25:16 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58804 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:24:15 AM 4/27/2010 1:25:11 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17397 4/27/2010 1:25:28 AM Allowed 10 Incoming UDP 192.168.2.2 00-0C-F1-D3-17-41 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 1 4/27/2010 1:24:26 AM 4/27/2010 1:24:26 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17398 4/27/2010 1:25:44 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58805 192.168.2.2 00-0C-F1-D3-17-41 445 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 6 4/27/2010 1:24:43 AM 4/27/2010 1:25:33 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17399 4/27/2010 1:25:44 AM Allowed 10 Outgoing UDP 192.168.2.255 FF-FF-FF-FF-FF-FF 138 192.168.2.2 00-0C-F1-D3-17-41 138 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 1 4/27/2010 1:24:43 AM 4/27/2010 1:24:43 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17400 4/27/2010 1:25:44 AM Allowed 10 Incoming UDP 192.168.2.2 00-0C-F1-D3-17-41 138 192.168.2.255 FF-FF-FF-FF-FF-FF 138 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 1 4/27/2010 1:24:43 AM 4/27/2010 1:24:43 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17401 4/27/2010 1:26:24 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:25:22 AM 4/27/2010 1:26:13 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17402 4/27/2010 1:26:24 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:25:22 AM 4/27/2010 1:26:13 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17403 4/27/2010 1:26:24 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58809 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:25:22 AM 4/27/2010 1:26:18 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17404 4/27/2010 1:27:14 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58811 192.168.2.2 00-0C-F1-D3-17-41 445 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 6 4/27/2010 1:26:13 AM 4/27/2010 1:27:03 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17405 4/27/2010 1:27:37 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 4 4/27/2010 1:26:35 AM 4/27/2010 1:27:14 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17406 4/27/2010 1:27:37 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 4 4/27/2010 1:26:35 AM 4/27/2010 1:27:14 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17407 4/27/2010 1:27:37 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58813 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:26:35 AM 4/27/2010 1:27:26 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17408 4/27/2010 1:28:44 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:27:42 AM 4/27/2010 1:28:22 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17409 4/27/2010 1:28:44 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:27:42 AM 4/27/2010 1:28:22 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17410 4/27/2010 1:28:44 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58818 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:27:42 AM 4/27/2010 1:28:33 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17411 4/27/2010 1:28:44 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58817 192.168.2.2 00-0C-F1-D3-17-41 445 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 5 4/27/2010 1:27:42 AM 4/27/2010 1:28:33 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17412 4/27/2010 1:29:46 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:28:44 AM 4/27/2010 1:29:35 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17413 4/27/2010 1:29:46 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:28:44 AM 4/27/2010 1:29:35 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17414 4/27/2010 1:29:46 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58822 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:28:44 AM 4/27/2010 1:29:40 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17415 4/27/2010 1:30:14 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58823 192.168.2.2 00-0C-F1-D3-17-41 445 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 6 4/27/2010 1:29:12 AM 4/27/2010 1:30:03 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP 
17416 4/27/2010 1:30:53 AM Allowed 10 Incoming UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.255 FF-FF-FF-FF-FF-FF 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:29:52 AM 4/27/2010 1:30:42 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17417 4/27/2010 1:30:53 AM Allowed 10 Outgoing UDP 192.168.2.4 00-16-E3-EA-29-F8 137 192.168.2.2 00-0C-F1-D3-17-41 137 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 3 4/27/2010 1:29:52 AM 4/27/2010 1:30:42 AM GUI%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP 
17418 4/27/2010 1:30:53 AM Blocked 10 Incoming TCP 192.168.2.4 00-16-E3-EA-29-F8 58827 192.168.2.2 00-0C-F1-D3-17-41 139 C:\WINDOWS\system32\ntoskrnl.exe Administrator HOME Default 9 4/27/2010 1:29:52 AM 4/27/2010 1:30:48 AM GUI%GUICONFIG#SRULE@NBBLOCK#BLOCK-TCP """"
END

Any help is much appreciated.

Hi,

What is the SID you are receiving when you get these messages?

As an out of box attempt can you compare the MD5 checksum of ntoskernel.exe from 3 different machines.

One of these 3 machines must be the one that is facing this issue.

Regards,
Aniket