Loading...

Einsenden von Proben für vermutete nicht erkannte Malware (nicht gefundenes Virus) oder einen Bereinigungsfehler bei erkannter Malware an McAfee Labs
Technische Artikel ID:   KB68030
Zuletzt geändert am:  06.11.2015
Bewertet:


Umgebung

McAfee DAT-Dateien
McAfee Labs
Verschiedene McAfee-Produkte

Zusammenfassung

In diesem Artikel wird das Einsenden potenzieller Malware-Proben an McAfee Labs erläutert.

McAfee Labs kann Proben vermuteter Malware empfangen, diese überprüfen und in die täglichen DAT-Dateiveröffentlichungen oder die GTI-Datei-Reputation für zukünftige Erkennungen aufnehmen.

Es gibt zwei geeignete Methoden zum Einsenden von Proben zur Überprüfung:

  • ServicePortal: Sie können sich unter Angabe Ihrer Grant-Nummer am ServicePortal anmelden und Proben an McAfee Labs senden.
  • E-Mail: Proben können an eine E-Mail angehängt werden, die dann an virus_research@avertlabs.com gesendet wird.

 

Lösung

Wenn Sie eine Datei gefunden haben, die möglicherweise infiziert ist, jedoch nicht von Ihrer Antiviren-Software erkannt wurde, oder die erkannt, aber nicht gesäubert wurde, können Sie die Datei als Probe zur Überprüfung an McAfee Labs senden.

Regeln für die Einsendung
Sie müssen diese Regeln genau einhalten, da es sonst zu Fehlern beim Einreichen oder bei der Probenbearbeitung kommt. Einsendungen oder Proben, bei denen es aufgrund nicht eingehaltener Anforderungen zu einem Fehler gekommen ist, werden ohne weitere Bearbeitung geschlossen.
  • Die Probe muss in einer kennwortgeschützten ZIP-Datei vorliegen. 7Zip, RAR und andere Formate werden nicht bearbeitet.
  • Die ZIP-Datei darf nur aus einer Ebene bestehen, d. h. sie darf keine weiteren ZIP-Dateien (mit oder ohne Kennwortschutz) und keine Ordnerstrukturen, die tiefer als eine Ebene sind, enthalten. Dies kann dazu führen, dass Proben nicht bearbeitet werden.
  • Die Dateierweiterung der kennwortgeschützten ZIP-Datei muss .zip lauten. Alle anderen Erweiterungen bzw. das Fehlen einer Erweiterung führen dazu, dass die Probe nicht bearbeitet wird.
  • Verwenden Sie beim Erstellen einer ZIP-Datei nicht AES oder sonstige im Programm verfügbare Arten der Verschlüsselung, sondern verwenden Sie lediglich ein Kennwort zum Schutz.
  • Das Kennwort muss infected lauten. Alle anderen Kennwörter führen dazu, dass die Probe nicht bearbeitet wird.
  • Die ZIP-Datei darf maximal 30 Dateien enthalten. Eine größere Anzahl an Dateien führt dazu, dass die Probe nicht bearbeitet wird. Wenn es sich um mehr als 30 Dateien handelt, verteilen Sie diese auf mehrere Einsendungen.
  • Die ZIP-Datei darf höchstens 10 MB groß sein. Größere ZIP-Dateien führen dazu, dass die Probe nicht bearbeitet wird.
Proben, die diesen Anforderungen nicht entsprechen, werden ohne Benachrichtigung des Einsenders verworfen.

Weitere Informationen zum Erstellen einer ZIP-Datei:

HINWEIS: Beim Einsenden von Proben und Eröffnen eines Falls wird Kunden empfohlen, ein VSE-MER aus dem infizierten System beizufügen, sodass die Einstellungen und Protokolle für den Zugriffsschutz (Access Protection, AP), On-Access (OA) und On-Demand (OD) überprüft werden können. Weitere Informationen zur Verwendung des MER-Tools mit unterstützten McAfee-Produkten finden Sie in KB59385.
.


Nicht einzusendende Dateien
Das Einsenden weiterer Dateien zusätzlich zur verdächtigen Datei aus dem System führt zu Verzögerungen in der Verarbeitung oder kann sogar damit enden, dass die Einsendung aufgrund einer Überschreitung der zulässigen Anzahl an Dateien oder der Dateigröße fehlschlägt. Die folgenden Dateien sollten beispielsweise nicht eingesendet werden:
  • Protokolldateien von Scans, z. B. On-Demand- oder On-Access-Dateien
  • Screenshots
  • EML-/MSG-Dateien Es sollten nur die E-Mail-Anhänge eingesendet werden, nicht die eigentliche E-Mail.
  • Durch forensische Tools erstellte Berichte
  • Zeichenfolgen-Speicherabbilder (Dumps)
  • Netzwerkverkehrs-Speicherabbilder (Dumps)
Senden Sie nur die verdächtigen Dateien ein.

Nach dem Hochladen der Probe
Sie erhalten keine weiteren Benachrichtigungen, bis die Probe analysiert wurde.

Wenn eine EXTRA.DAT für Ihre Probe im ServicePortal veröffentlicht wird, werden Sie per E-Mail über deren Verfügbarkeit informiert. Überprüfen Sie Ihre Service-Anfrage im ServicePortal, um die EXTRA.DAT-Datei herunterzuladen. Ihnen werden keine Extra.DAT-Dateien per E-Mail oder auf sonstige Weise zugestellt.
  • Informationen über das manuelle Einchecken und Bereitstellen einer Extra.DAT-Datei über ePolicy Orchestrator finden Sie in KB67602.
  • Informationen über das lokale Anwenden einer EXTRA.DAT-Datei für VirusScan Enterprise 8.x oder höher finden Sie in KB50642.
  • Informationen über das Anwenden einer EXTRA.DAT-Datei in Security for Microsoft Exchange finden Sie in KB76201.
  • Informationen über das Anwenden einer EXTRA.DAT-Datei für die Sicherheit in Security for SaaS Endpoint Protection finden Sie in KB51459.
  • Anweisungen zum Kombinieren einer oder mehrerer extra.DAT-Dateien finden Sie in KB68061.

Einsenden von Proben an McAfee Labs mit GetSusp
GetSusp ist ein kostenloses Tool, das Sie bei der Suche nach verdächtigen Proben auf einem System unterstützen kann. GetSusp verfügt über eigene integrierte Einsendungsfunktionen, die zum Einsenden der von GetSusp erstellten Pakete verwendet werden sollten.

Antworten auf häufig gestellte Fragen zu GetSusp finden Sie unter KB69385.

Sie können GetSusp über die Seite http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx herunterladen.

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Betroffene Produkte