Loading...

Procédure de soumission d'échantillons à McAfee Labs en cas d'échec présumé de détection de logiciel malveillant (malware) (virus introuvable) ou d'échec de nettoyage pour un logiciel malveillant détecté
Articles techniques ID:   KB68030
Date de la dernière modification :  06/11/2015
Noté :


Environnement

Fichiers McAfee DAT
McAfee Labs
Plusieurs produits McAfee

Synthèse

Cet article décrit la procédure de soumission des échantillons présumés de logiciel malveillant (malware) à McAfee Labs.

McAfee Labs peut recevoir des échantillons de logiciel malveillant (malware) suspectés afin de les examiner et de les inclure potentiellement dans la réputation des fichiers GTI ou les publications de fichiers DAT quotidiennes pour une future détection.

Il existe deux méthodes principales pour soumettre des échantillons à des fins d'examen :

  • ServicePortal : à l'aide de votre Grant Number, vous pouvez vous connecter à ServicePortal et soumettre des échantillons à McAfee Labs.
  • E-mail : vous pouvez joindre les échantillons à un e-mail adressé à virus_research@avertlabs.com.

 

Solution

Si vous avez repéré un fichier qui semble infecté, mais s'il n'a pas été détecté par votre logiciel antivirus, ou s'il l'a été sans avoir été nettoyé, vous pouvez envoyer l'échantillon à McAfee Labs à des fins d'évaluation.

Exigences en matière de soumission
Ces instructions doivent être suivies attentivement pour éviter tout risque d'échec de traitement de l'échantillon ou de la soumission. Tout échec de soumission ou d'échantillon résultant du non-respect des exigences sera clos sans traitement supplémentaire.
  • L'échantillon doit être contenu dans un fichier .zip protégé par mot de passe. Les formats 7Zip, RAR et autres ne seront pas traités.
  • Le fichier .zip ne doit comporter qu'un seul niveau. En d'autres termes, le fichier .zip ne doit contenir aucun fichier .zip (avec ou sans protection par mot de passe) et comporter un seul niveau. Si ces exigences ne sont pas suivies, il se peut que les échantillons ne soient pas traités.
  • L'extension du fichier .zip protégé par mot de passe doit être .zip. Dans le cas d'une autre extension ou de l'absence d'extension, l'échantillon ne sera pas traité.
  • Lors de la création du fichier .zip, n'utilisez pas AES ou d'autres types de chiffrement disponibles à partir du programme. Utilisez simplement un mot de passe pour la protection.
  • Le mot de passe doit être « infected ». L'échantillon ne sera pas traité si un autre mot de passe est utilisé.
  • Le fichier .zip peut contenir 30 fichiers au maximum. L'échantillon ne sera pas traité si le fichier contient plus de fichiers. Si vous avez plus de 30 fichiers, répartissez-les dans plusieurs soumissions.
  • Le fichier .zip ne doit pas dépasser 10 Mo. L'échantillon ne sera pas traité si des fichiers .zip plus volumineux sont envoyés.
Les échantillons qui ne sont pas conformes à ces exigences seront rejetés, et vous ne recevrez aucune notification à ce sujet.

Pour plus d'informations sur la création d'un fichier .zip, voir :

REMARQUE : lors de la soumission des échantillons et de l'ouverture d'un dossier, les clients sont invités à joindre un MER VSE provenant du système infecté, afin que les paramètres et les journaux de la protection de l'accès (AP), de l'analyse à l'accès et à la demande soient vérifiés. Pour plus d'informations sur l'utilisation de l'outil MER avec les produits McAfee pris en charge, voir KB59385.
.


Eléments à ne pas soumettre
La soumission de fichiers supplémentaires autres que le fichier suspect, qui se trouve sur le système, entraînera des retards de traitement ou même l'échec de la soumission en raison de l'augmentation du nombre total de fichiers ou de la taille au-delà des limites autorisées. La liste suivante contient quelques exemples des éléments à ne pas envoyer :
  • Les fichiers journaux des analyses, comme les fichiers journaux de l'analyse à la demande ou à l'accès.
  • Captures d'écran.
  • Fichiers .eml/.msg. Seuls les fichiers joints aux e-mails doivent être soumis, et non l'e-mail lui-même.
  • Rapports créés par des outils d'expertise.
  • Fichiers de vidage de chaîne.
  • Fichiers de vidage de trafic réseau.
Seuls les fichiers suspects doivent être soumis.

Après avoir téléchargé votre échantillon
Vous ne recevrez aucune autre notification tant que l'échantillon n'aura pas été analysé.

Si un fichier Extra.DAT associé à votre échantillon est publié dans ServicePortal, vous serez informé de sa disponibilité par e-mail. Pour télécharger le fichier Extra.DAT, vérifiez votre demande de service sur ServicePortal. Vous ne recevrez pas de fichiers Extra.DAT par e-mail ou autrement.
  • Pour archiver et déployer manuellement un fichier Extra.DAT par le biais d'ePolicy Orchestrator, reportez-vous à l'article KB67602.
  • Pour obtenir des instructions sur l'application d'un fichier extra.DAT localement pour VirusScan Enterprise 8.x et les versions ultérieures, reportez-vous à l'article KB50642.
  • Pour des instructions sur l'application d'un fichier extra.DAT à Security for Microsoft Exchange, reportez-vous à l'article KB76201.
  • Pour des instructions sur l'application d'un fichier extra.DAT à Security for SaaS Endpoint Protection, voir KB51459.
  • Pour des instructions sur la combinaison de plusieurs fichiers extra.DAT, voir KB68061.

Envoi d'échantillons à McAfee Labs au moyen de GetSusp
GetSusp est un outil gratuit qui peut aider à trouver des échantillons suspects sur un système. GetSusp est doté d'une fonctionnalité de soumission intégrée qui doit être utilisée pour soumettre les packages qu'il crée.

Pour les questions fréquentes sur GetSusp, reportez-vous à l'article KB69385.

Pour télécharger GetSusp, rendez-vous sur http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document

Produits affectés