Loading...

ナレッジセンター


Web Gateway/Webwasher: ウイルスおよびマルウェアのサンプル提出方法(False Positive / False Negative)
技術的な記事 ID:  KB62662
最終更新:  2014/02/13
評価:


環境

McAfee Web Gateway 7.x, 6.x

概要

ウイルスおよびマルウェアのサンプル提出およびエスカレーション方法

動画チュートリアル

 

問題

 

システムの変更

 

原因

 

解決策

本記事では、誤検知(False Positive)および未検知(False Negative)の疑いのあるウイルスおよびマルウェアのサンプルをどのように提出するかを説明します。マルウエアサンプルを入手できないが、URLをレビューしてもらいたい場合は KB61702 をご参照ください。

ウイルスもしくはマルウェアの疑いのあるファイルのダウンロード

誤検知および未検知の疑いを正確に確認するためには、お客様環境にて収集したファイルもしくはURLのサンプルが必要となります。
サンプルは適切なパスワードで暗号化されたZIPファイルに圧縮されている必要があります。
下記手順に従って、McAfee Web Gateway で直接サンプルのダウンロード、圧縮、暗号化を実施してください。

MWG 7.2 およびそれ以降については、本記事の最後に添付されているドキュメントの手順でもサンプルの収集および提出が可能です

すべてのMWG Version

  1. SSHでrootとしてMWGに接続します。
  2. コマンドラインからwgetコマンドでファイルまたはURLサンプルをダウンロードします。
    MWGのウイルス検出ブロックページ上で、ファイル名やURLを確認できます。
    ブロックページでファイル名を特定できない場合には、検出したURLを使ってサンプルをダウンロードします。

    wget コマンドの例:

    • File: wget www.domain.com/infected.aspx
    • URL: wget www.domain.com

     

  3. zipコマンドでサンプルの圧縮と暗号化をします。暗号化パスワードは”infected”(小文字、クオーテーション無し)としてください。

    zip コマンドの例:  ※下記コマンド実行後、パスワード入力を促されますので上記パスワードを入力してください。

    • File: zip -e sample.zip infected.aspx
    • URL: zip -e sample.zip index.html

     

  4. 上記で圧縮したファイルをSCPまたはFTPでアプライアンスから転送します。


サンプル提出

ウイルス検出ブロックページでサンプルの提出先を判断してください。
提出先は、以下のようなVirus Nameに続くエンジン名で判断できます。

  • VirusName: McAfeeGWMcAfee Gateway Anti-Malware の提出方法に従ってください。
  • VirusName: McAfeeMcAfee AV の提出方法に従ってください。 
  • VirusName: AviraAVIRA の提出方法に従ってください。


重要: どの提出先でも、サンプルファイルはパスワードで暗号化されたzipファイルで提出する必要があります。また暗号化パスワードは”infected”(小文字、クオーテーション無し)とする必要があります。

  • McAfee Gateway Anti-Malware (Secure Anti Malware)
    • 下記手順にて、メールで送付してください。
      1. virus_research_gateway@avertlabs.com 宛てにサンプルファイルを添付して送付してください。
      2. 誤った検出だと思う場合にはメールの件名に「Possible False」と記載してください。
         
      送付されたサンプルはメール受信後に、クリーンなファイルなのか、誤検出、または未知のファイルなのかどうか確認されます。誤検出または未知のファイルの場合には、更なる調査が行われます。サンプル提出が確認された後、サンプル送信者にメールでUpdateが届きます。 
       
    • サンプルファイルが5MB以上の場合には、事前に弊社テクニカルサポートへ連絡し、Service Request(SR)をオープンしてください。 
    • virus_research_gateway@avertlabs.comからのレスポンスが来ない場合には、弊社テクニカルサポートへ連絡し、Service Request(SR)をオープンしてください。   
       
  • McAfee AV  
    • 送信ガイドラインをご参照ください。
      http://www.mcafee.com/us/mcafee-labs/resources/how-to-submit-sample.aspx   
    • McAfee Labsに調査依頼するファイルを安全に送信し、SR Tracking Number を受け取り、アップデート通知を受け取るためのサンプル送信ツールをご利用になるには、KB68030 をご参照ください。 (サンプルは 5 MBより小さくなければなりません。)
    • 下記手順にて、メールで送付してください。
      1. virus_research@avertlabs.com宛てにサンプルファイルを添付して送付してください。
      2. 件名に「Sample submitted for analysis」と記載してください。  
         
  • AVIRA
    • Aviraのサンプル提出用Webサイト(http://analysis.avira.com/samples)から提出してください。   
      • サンプル提出後、Avira Tracking Numberとともに自動で、受け付けた旨のNotification Mailがサンプル提出者に届きます。
      • 2営業日程度で、解決策を記載した最終的なNotification Mailが届きます。
         
    • もしサンプルが8MBを超過する場合には、 弊社テクニカルサポートへ連絡し、Service Request(SR)をオープンしてください。
    • Aviraから2営業日経過してもレスポンスが無い場合、またはAviraの解析結果に同意できない場合には、弊社テクニカルサポートへ連絡し、Service Request(SR)をオープンしてください。 
       
      注意: その際は必ずAviraから送付されたTracking Numberをお知らせください。  
       
  • Sophos:
     
    • Use the website: http://www.sophos.com/support/samples.  
    • 下記手順にて、メールで送付してください。
      1. zipコマンドでサンプルの圧縮と暗号化をします。暗号化パスワードは”infected”(小文字、クオーテーション無し)としてください。
      2. ZIPファイルをメールに添付してください。
      3. 件名に「Sample submitted for analysis」と記載してください。 
      4. samples@sophos.com宛てにメールしてください。  
         
  • CA/Etrust
    パスワードは”virus”(小文字、クオーテーション無し) にしてvirus@ca.com 宛てにサンプルファイルを添付して送付してください。Generic Body Filter を利用し、かつ Body Filter List にサンプルのフィンガープリント (マルウエアがアーカイブで届いた場合はアーカイブメンバー) を追加するとより早いサポートを提供することができます。

回避策

 

添付ファイル

Virus to File.pdf
525K • 2 minute(s) @ 56k, < 1 minute @ broadband


以前のドキュメント ID

3049, WG13111301

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.