Loading...
Como enviar amostras de vírus e antimalware do Web Gateway (falsos positivos ou falsos negativos) para análise
Artigos técnicos ID:   KB62662
Última modificação:  27/10/2017
Classificação:

Ambiente

McAfee Web Gateway (MWG) 7.x

Resumo

Para dar um suporte melhor a você, cliente do Web Gateway, a Intel Security aprimorou os processos e o escalonamento de envios de vírus e antimalware.

Solução

Obter uma amostra
Para diagnosticar com precisão uma suspeita de detecção falsa, você deve coletar amostras de seu ambiente. Use as instruções no arquivo Virus To File.pdf anexado a este artigo para obter, compactar e criptografar a amostra diretamente do appliance MWG.

Enviar a amostra
Use a página de bloqueio de detecção de vírus do MWG para determinar para onde enviar a amostra:
  • Nome do vírus: McAfeeGW: siga as etapas de envio descritas a seguir em McAfee Gateway Anti-Malware (GAM).
  • Nome do vírus: McAfee: siga as etapas de envio descritas a seguir em McAfee AV.  
  • Nome do vírus: Avira: siga as etapas de envio descritas a seguir em Avira.  
IMPORTANTE: em todos os processos de envio, você deve enviar a amostra como um arquivo ZIP compactado e criptografado, usando a palavra infected (infectado) em letras minúsculas e sem aspas, como a senha de criptografia.

McAfee Gateway Anti-Malware (GAM)
Envie a amostra em uma Solicitação de serviço:

Depois de coletar e criptografar a amostra usando o arquivo Virus To File.pdf, abra uma SR (Service Request - Solicitação de serviço) com o Suporte técnico para enviar a amostra. Você pode abrir uma Solicitação de serviço no ServicePortal, em https://support.mcafee.com. Certifique-se de abrir a SR com a equipe de suporte do Web Gateway, em vez da equipe de Malware.

Juntamente com a amostra, forneça:
  • Versão do MWG
  • Versão do mecanismo GAM: você pode encontrá-la na interface de usuário do MWG, em Dashboard, Gateway Engine.
  • Versão do DAT do Gateway: você pode encontrá-la na interface de usuário do MWG, em Dashboard, Gateway DATs.
  • Found_viruses.log: você pode encontrar esse arquivo de log na interface de usuário do MWG, em Troubleshooting, Log Files, User-defined-logs, Found_viruses.log (Solução de problemas, Arquivos de log, Logs definidos pelo usuário, Found_viruses.log). Certifique-se de que "Body.FullFilename" esteja sendo carregado e forneça o arquivo found_viruses.log que engloba o período do problema.
  • URL de amostra que levou à detecção
  • Nome da detecção do potencial falso positivo de sua página de bloqueio
McAfee AV
Execute as etapas de envio de GetSusp descritas no artigo KB68030 para enviar as detecções de falsos positivos suspeitas para análise.

Avira
Use o site de envio da Avira: http://analysis.avira.com/samples. Depois de enviar uma amostra para a Avira, você receberá um e-mail de notificação automático para confirmar o status de envio e o número de rastreamento da Avira associado. Também receberá uma notificação final com a resolução em dois dias.

NOTAS: 
  • Se a amostra do Avira tiver mais de 50 MB, abra uma Solicitação de suporte com o Suporte técnico do MWG para enviar a amostra. Você pode enviar uma SR pelo ServicePortal, em https://support.mcafee.com.
  • Se não receber uma resposta adequada após enviar as amostras ou se não concordar com a análise fornecida pela Avira, abra uma SR com o Suporte técnico do MWG para escalonar a solicitação. Você deve fornecer o número de rastreamento da Avira para escalonar uma solicitação.  

Informações relacionadas

Etapas alternativas para coleta de amostra:
  1. Conecte-se ao appliance MWG usando SSH como raiz.
  2. Na linha de comando, use o comando wget para baixar a amostra de arquivo ou URL. É possível obter o arquivo ou o endereço de URL na página de bloqueio de detecção de vírus do MWG. Se um nome de arquivo não estiver especificado na página de bloqueio, baixe uma amostra usando o URL detectado.

    Comando wget de exemplo: 
    • Arquivo: wget www.domain.com/infected.aspx
    • URL: wget www.domain.com 
       
  3. Use o comando zip para colocar a amostra em um arquivo ZIP compactado e criptografado, usando a palavra infected (infectado) em letras minúsculas e sem aspas, como a senha de criptografia. 

    Comando zip de exemplo:
    • Arquivo: zip -e sample.zip infected.aspx
    • URL: zip -e sample.zip index.html
       
  4. Transfira o arquivo do appliance usando SCP ou FTP.
Se desejar abrir uma SR com o Suporte técnico para enviar sua amostra:

Para entrar em contato com o Suporte técnico, entre no ServicePortal e vá para a página Criar uma solicitação de serviço em https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
  • Se você for um usuário registrado, digite sua ID de usuário e Senha e clique em Entrar.
  • Se não for um usuário registrado, clique em Registrar e preencha os campos obrigatórios. Você receberá um e-mail com as instruções de senha e acesso.

Anexo

Virus To File.pdf
754K • < 1 minute @ broadband


ID do documento anterior

3049

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento

Beta Translate with

Select a desired language below to translate this page.