Loading...
Einsenden von Antiviren- und Anti-Malware-Proben aus Web Gateway (False-Positive oder False-Negative) zur Analyse
Technische Artikel ID:   KB62662
Zuletzt geändert am:  27.10.2017
Bewertet:

Umgebung

McAfee Web Gateway (MWG) 7.x

Zusammenfassung

Wir bei Intel Security möchten Sie als Web Gateway-Kunden noch besser unterstützen und haben daher die Verarbeitung und Eskalation bei der Einreichung von Viren- und Malware-Proben verbessert.

Lösung

Beschaffen einer Probe
Wenn eine vermutete Falscherkennung genau diagnostiziert werden soll, müssen Sie Proben aus Ihrer Umgebung erfassen. Befolgen Sie die Anweisungen aus der Datei Virus To File.pdf, die an diesen Artikel angehängt ist, und komprimieren und verschlüsseln Sie die Probe direkt auf der MWG-Appliance.

Einreichen der Probe
Ermitteln Sie über die MWG-Virenerkennungs-Blockierungsseite, wo die Probe einzureichen ist:
  • VirusName: McAfeeGW: Führen Sie die nachfolgenden Einreichungsschritte für McAfee Gateway Anti-Malware (GAM) aus.
  • VirusName: McAfee: Führen Sie die nachfolgenden Einreichungsschritte für McAfee AV aus.
  • VirusName: Avira: Führen Sie die nachfolgenden Einreichungsschritte für Avira aus.
WICHTIG: Eine Probe muss in jedem Fall als komprimierte und verschlüsselte ZIP-Datei eingesendet werden. Verwenden Sie dabei infected (klein geschrieben, ohne Anführungszeichen) als Verschlüsselungskennwort.

McAfee Gateway Anti-Malware (GAM)
Reichen Sie die Probe als Teil einer Service-Anfrage ein:

Nachdem Sie die Probe wie in Virus To File.pdf beschrieben erfasst und verschlüsselt haben, müssen Sie zum Einreichen der Probe eine Service-Anfrage beim technischen Support eröffnen. Sie können eine Service-Anfrage über das ServicePortal unter https://support.mcafee.com eröffnen. Achten Sie darauf, die Service-Anfrage beim Web Gateway-Support-Team und nicht beim Malware-Team zu eröffnen.

Geben Sie mit der Probe folgende Informationen an:
  • MWG-Version
  • GAM-Scan-Modul-Version: Sie finden diese auf der MWG-Benutzeroberfläche (UI) unter "Dashboard", "Gateway Engine" (Gateway-Modul).
  • Gateway-DAT-Version: Sie finden diese auf der MWG-Benutzeroberfläche (UI) unter "Dashboard", "Gateway DATs".
  • Found_viruses.log: Sie finden dieses Protokoll auf der MWG-Benutzeroberfläche unter "Troubleshooting" (Fehlerbehebung), "Log Files" (Protokolldateien), "User-defined-logs" (Benutzerdefinierte Protokolle), "Found_viruses.log". Vergewissern Sie sich, dass "Body.FullFilename" protokolliert wird, und stellen Sie die Datei found_viruses.log bereit, die den Zeitraum abdeckt, in dem das Problem aufgetreten ist.
  • Proben-URL, die zur Erkennung geführt hat
  • Der auf Ihrer Blockierungsseite angegebene Erkennungsname des potenziellen False-Positive
McAfee AV
Führen Sie die GetSusp-Einreichungsschritte aus KB68030 aus, um vermutete False-Positive-Erkennungen zur Analyse einzusenden.

Avira
Verwenden Sie die Avira-Website zum Einsenden: https://analysis.avira.com/de/submit. Nachdem Sie eine Probe bei Avira eingereicht haben, erhalten Sie eine automatisierte Benachrichtigungs-E-Mail mit einer Bestätigung des Einreichungsstatus und der zugehörigen Avira-Verfolgungsnummer. Sie erhalten innerhalb von zwei Tagen eine abschließende Benachrichtigung mit der Lösung.

HINWEISE: 
  • Wenn die Avira-Probe größer als 50 MB ist, müssen Sie zum Einreichen der Probe eine Service-Anfrage beim technischen MWG-Support eröffnen. Sie können eine Service-Anfrage über das ServicePortal unter https://support.mcafee.com einreichen.
  • Wenn Sie nach dem Einreichen keine zeitnahe Antwort erhalten oder mit der von Avira bereitgestellten Analyse nicht zufrieden sind, können Sie eine Service-Anfrage beim technischen MWG-Support eröffnen, um die Anfrage zu eskalieren. Zur Eskalierung einer Anfrage müssen Sie die Avira-Verfolgungsnummer angeben.  

Themenbezogene Informationen

Alternative Schritte zur Probenerfassung:
  1. Stellen Sie über SSH als Root eine Verbindung mit Ihrer MWG-Appliance her.
  2. Geben Sie in der Befehlszeile den Befehl wget ein, um die Datei oder die URL-Probe herunterzuladen. Sie finden die Datei oder URL-Adresse auf der Blockierungsseite der MWG-Virenerkennung. Wenn auf der Blockierungsseite kein Dateiname angegeben ist, laden Sie eine Probe über die erkannte URL herunter.

    Beispiel für Befehl wget
    • Datei: wget www.domain.com/infected.aspx
    • URL: wget www.domain.com 
  3. Verwenden Sie den Befehl zip, um die Probe als komprimierte und verschlüsselte ZIP-Datei zu archivieren, und verwenden Sie infected (klein geschrieben, ohne Anführungszeichen) als Verschlüsselungskennwort. 

    Beispiel für Befehl zip:
    • Datei: zip -e sample.zip infected.aspx
    • URL: zip -e sample.zip index.html
       
  4. Übermitteln Sie die Datei von der Appliance über SCP oder FTP.
Wenn Sie beim technischen Support eine Service-Anfrage zum Einreichen der Probe öffnen möchten:

Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR auf:
  • Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
  • Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.

Anhang

Virus To File.pdf
754K • < 1 minute @ broadband


ID des vorherigen Dokuments

3049

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Beta Translate with

Select a desired language below to translate this page.