Loading...
Cómo enviar muestras de virus y antimalware de Web Gateway (falsos positivos o falsos negativos) para su análisis
Artículos técnicos ID:   KB62662
Última modificación:  27/10/2017
Calificado:

Entorno

McAfee Web Gateway (MWG) 7.x

Resumen

Para ofrecerle un mejor servicio de soporte como usuario de Web Gateway, Intel Security ha mejorado el procesamiento y la derivación de los envíos de virus y antimalware.

Solución

Obtención de una muestra
Para diagnosticar con precisión una detección falsa sospechosa, debe recopilar muestras de su entorno. Siga las instrucciones que se indican en el archivo Virus To File.pdf que se adjunta con este artículo para obtener, comprimir y cifrar la muestra directamente desde el appliance MWG.

Envío de la muestra
Utilice la página de bloqueo de detección de virus de MWG para conocer adónde enviar la muestra:
  • Nombre del virus: McAfeeGW: siga los pasos de envío a McAfee Gateway Anti-Malware (GAM) que se indican a continuación.
  • Nombre del virus: McAfee: siga los pasos de envío a McAfee AV que se indican a continuación.  
  • Nombre del virus: Avira: siga los pasos de envío a Avira que se indican a continuación.  
IMPORTANTE: En todos los procesos de envío deberá adjuntar la muestra comprimida y cifrada en un archivo ZIP con la palabra infected (en minúsculas y sin comillas) como contraseña.

McAfee Gateway Anti-Malware (GAM)
Envíe la muestra en una solicitud de servicio:

Tras haber recogido y cifrado la muestra conforme se describe en el archivo Virus To File.pdf, abra una solicitud de servicio de Soporte técnico para enviar la muestra. Puede abrir una solicitud de servicio de ServicePortal en https://support.mcafee.com. Asegúrese de abrir la solicitud de servicio con el equipo de soporte de Web Gateway y no con el equipo de Malware.

Cuando envíe la muestra, proporcione lo siguiente:
  • Versión de MWG
  • Versión del motor de GAM (la encontrará en la interfaz de usuario de MWG en Dashboard (Panel), Gateway Engine (Motor de Gateway).
  • Versión de DAT de Gateway: la encontrará en la interfaz de usuario de MWG en Dashboard (Panel), Gateway DATs (DAT de Gateway).
  • Found_viruses.log: encontrará este registro en la interfaz de usuario de MWG en Troubleshooting (Solución de problemas), Log Files (Archivos de registro), User-defined-logs (Registros definidos por el usuario), Found_viruses.log. Asegúrese de que se registre “Body.FullFilename” y proporcione el registro found_viruses.log que abarque el espacio de tiempo en el que se produjo el problema.
  • URL de la muestra que condujo la detección
  • El nombre de la detección del posible falso positivo de la página de bloqueo
McAfee AV
Lleve a cabo los pasos de envío de GetSusp indicados en el artículo KB68030 para enviar detecciones sospechosas de falsos positivos para proceder a su análisis.

Avira
Utilice el sitio web de envío de Avira: http://analysis.avira.com/samples. Tras enviar la muestra a Avira, recibirá un correo electrónico automático de notificación que le confirmará el estado del envío y el número de rastreo de Avira asignado. En dos días recibirá la notificación final con la resolución.

NOTAS: 
  • Si la muestra de Avira es mayor de 50 MB, abra una solicitud de servicio con el soporte técnico de MWG para enviar la muestra. Puede enviar una solicitud de servicio desde ServicePortal en https://support.mcafee.com.
  • Si en un plazo razonable tras el envío de las muestras no ha recibido ninguna respuesta o no está conforme con el análisis que Avira le ofrece, abra una solicitud de servicio con el soporte técnico de MWG para derivar la solicitud. Para ello, deberá proporcionar el número de rastreo de Avira.  

Información relacionada

Indicaciones alternativas para la recogida de muestras:
  1. Conéctese a su appliance MWG utilizando SSH como root.
  2. En la línea de comandos, utilice el comando wget para descargar el archivo o la muestra de URL. Puede obtener el archivo o la dirección URL en la página de bloqueo de detección de virus de MWG. Si no especifica ningún nombre de archivo en la página de bloqueo, descargue una muestra mediante la URL detectada.

    Ejemplo de comando wget
    • Archivo: wget www.domain.com/infected.aspx
    • URL: wget www.domain.com 
      [La configuración de la unidad no es correcta (NotOk Ninguna unidad das de /etc/fstab en /usr/local/ess/update/updates/drivetest line 498.)]
  3. Utilice el comando zip para colocar la muestra en un archivo ZIP comprimido y cifrado, y utilice la palabra infected (en minúsculas y sin comillas) como contraseña. 

    Ejemplo de comando zip:
    • Archivo: zip -e sample.zip infected.aspx
    • URL: zip -e sample.zip index.html
       
  4. Extraiga el archivo del appliance mediante SCP o FTP.
Si desea abrir una solicitud de servicio con el servicio de Soporte técnico para enviar su muestra:

Para ponerse en contacto con el Soporte técnico, inicie sesión en ServicePortal y vaya a Crear una solicitud de servicio en https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
  • Si está registrado, introduzca su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
  • Si no está registrado, haga clic en Registrarse y rellene los campos obligatorios. Recibirá por correo electrónico la contraseña y las instrucciones para iniciar sesión.

Archivo adjunto

Virus To File.pdf
754K • < 1 minute @ broadband


ID de documento anterior

3049

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Idiomas:

Beta Translate with

Select a desired language below to translate this page.