Obter uma amostra
Para diagnosticar com precisão uma suspeita de detecção falsa, você deve coletar amostras de seu ambiente. Use as instruções no arquivo Virus To File.pdf anexado a este artigo para obter, compactar e criptografar a amostra diretamente do appliance MWG.
Enviar a amostra
Use a página de bloqueio de detecção de vírus do MWG para determinar para onde enviar a amostra:
- Nome do vírus: McAfeeGW: siga as etapas de envio descritas a seguir em McAfee Gateway Anti-Malware (GAM).
- Nome do vírus: McAfee: siga as etapas de envio descritas a seguir em McAfee AV.
- Nome do vírus: Avira: siga as etapas de envio descritas a seguir em Avira.
IMPORTANTE: em todos os processos de envio, você deve enviar a amostra como um arquivo ZIP compactado e criptografado, usando a palavra
infected (infectado) em letras minúsculas e sem aspas, como a senha de criptografia.
McAfee Gateway Anti-Malware (GAM)
Envie a amostra em uma Solicitação de serviço:
Depois de coletar e criptografar a amostra usando o arquivo
Virus To File.pdf, abra uma SR (Service Request - Solicitação de serviço) com o Suporte técnico para enviar a amostra. Você pode abrir uma Solicitação de serviço no ServicePortal, em
https://support.mcafee.com. Certifique-se de abrir a SR com a equipe de suporte do Web Gateway, em vez da equipe de Malware.
Juntamente com a amostra, forneça:
- Versão do MWG
- Versão do mecanismo GAM: você pode encontrá-la na interface de usuário do MWG, em Dashboard, Gateway Engine.
- Versão do DAT do Gateway: você pode encontrá-la na interface de usuário do MWG, em Dashboard, Gateway DATs.
- Found_viruses.log: você pode encontrar esse arquivo de log na interface de usuário do MWG, em Troubleshooting, Log Files, User-defined-logs, Found_viruses.log (Solução de problemas, Arquivos de log, Logs definidos pelo usuário, Found_viruses.log). Certifique-se de que "Body.FullFilename" esteja sendo carregado e forneça o arquivo found_viruses.log que engloba o período do problema.
- URL de amostra que levou à detecção
- Nome da detecção do potencial falso positivo de sua página de bloqueio
McAfee AV
Execute as etapas de envio de GetSusp descritas no artigo
KB68030 para enviar as detecções de falsos positivos suspeitas para análise.
Avira
Use o site de envio da Avira:
http://analysis.avira.com/samples. Depois de enviar uma amostra para a Avira, você receberá um e-mail de notificação automático para confirmar o status de envio e o número de rastreamento da Avira associado. Também receberá uma notificação final com a resolução em dois dias.
NOTAS:
- Se a amostra do Avira tiver mais de 50 MB, abra uma Solicitação de suporte com o Suporte técnico do MWG para enviar a amostra. Você pode enviar uma SR pelo ServicePortal, em https://support.mcafee.com.
- Se não receber uma resposta adequada após enviar as amostras ou se não concordar com a análise fornecida pela Avira, abra uma SR com o Suporte técnico do MWG para escalonar a solicitação. Você deve fornecer o número de rastreamento da Avira para escalonar uma solicitação.
