Loading...
null

Come inviare campioni a McAfee Labs in caso di errori di rilevamento malware sospetto (virus non trovato) o di errori di pulizia del malware rilevato
Articoli tecnici ID:   KB68030
Ultima modifica:  06/11/2015
Con punteggio:


Ambiente

File DAT McAfee
McAfee Labs
Diversi prodotti McAfee

Riepilogo

In questo articolo viene spiegato come inviare campioni di malware sospetto a McAfee Labs.

McAfee Labs può ricevere campioni di malware sospetto da analizzare ed eventualmente includere nei rilasci quotidiani di file DAT o nella reputazione file GTI in modo che vengano rilevati in futuro.

Per inviare i campioni da analizzare sono presenti due metodi principali:

  • ServicePortal: usando il proprio codice di autorizzazione, è possibile accedere al ServicePortal e inviare i campioni a McAfee Labs.
  • Email: i campioni possono essere allegati a un'email e inviati a virus_research@avertlabs.com.

 

Soluzione

Se si è individuato un file ritenuto infetto, ma il file non è stato rilevato dal software antivirus oppure il file è stato rilevato ma non è stato pulito, è possibile inviare il campione a McAfee Labs per una valutazione.

Requisiti per l'invio
È molto importante seguire queste informazioni, in caso contrario l'invio o l'elaborazione del campione non andranno a buon fine. Se la procedura non viene rispettata, gli invii e i campioni non validi verranno chiusi senza essere analizzati.
  • Il campione deve trovarsi in un file .zip protetto da password: gli archivi 7Zip, RAR e in altri formati non verranno analizzati.
  • Il file .zip deve essere composto da un singolo livello. In altre parole, il file .zip non deve contenere altri file .zip (con o senza password di protezione) e la struttura di cartelle deve essere composta da un solo livello. In caso contrario i campioni non verranno analizzati.
  • L'estensione del file compresso protetto da password deve essere .zip. Se si utilizza un'altra estensione, o se l'estensione è assente, il campione non verrà analizzato.
  • Quando si crea il file .zip, non usare AES o altri tipi di crittografia disponibili nel programma; utilizzare solo una password di protezione.
  • La password deve essere infected (infetto). Se si utilizza un'altra password, il campione non verrà analizzato.
  • Il file compresso può contenere un massimo di 30 file. Se il numero di file è maggiore, il campione non verrà analizzato. Se sono presenti più di 30 file, suddividerli in più invii.
  • Le dimensioni del file .zip non possono superare i 10 MB. Se le dimensioni dei file .zip sono maggiori, il campione non verrà analizzato.
I campioni che non soddisfano questi requisiti verranno ignorati e l'utente non verrà avvisato.

Per ulteriori informazioni su come creare un file .zip:

NOTA: quando si inviano campioni e viene aperto un caso, ai clienti viene chiesto di allegare un MER VSE dal sistema infetto, in modo da consentire la verifica delle impostazioni e dei registri di protezione dell'accesso (AP), scansione all'accesso (OA) e su richiesta (OD). Per informazioni sull'utilizzo dello strumento MER nei prodotti McAfee supportati, consultare l'articolo KB59385.
.


Elementi da non inviare
L'invio di altri file che si trovano nel sistema, oltre a quello sospetto, causa ritardi nell'analisi e può impedire l'invio stesso se i limiti relativi al numero totale di file o alle dimensioni vengono superati. Nel seguente elenco sono forniti alcuni esempi di elementi da non inviare:
  • File di registro risultanti dalle scansioni su richiesta o all'accesso.
  • Schermate.
  • File .eml/.msg. Devono essere inviati solo i file allegati alle email, non le email stesse.
  • I rapporti creati con gli strumenti forensi.
  • String dump.
  • Dump del traffico di rete.
Devono essere inviati solo i file sospetti.

Cosa attendersi dopo l'invio del campione
Finché il campione non è stato analizzato, non si riceveranno altre notifiche.

Se nel ServicePortal viene postato un Extra.DAT relativo al campione inviato, un'email ne notificherà la disponibilità. Controllare la richiesta di assistenza sul ServicePortal per scaricare il file Extra.DAT. Non verranno ricevuti file Extra.DAT via email o con altri mezzi.
  • Per depositare e distribuire manualmente un file Extra.DAT tramite ePolicy Orchestrator, consultare l'articolo KB67602.
  • Per istruzioni su come applicare un Extra.DAT in locale su VirusScan Enterprise 8.x e versioni successive, consultare l'articolo KB50642.
  • Per istruzioni su come applicare un extra.DAT su Security for Microsoft Exchange, consultare l'articolo KB76201.
  • Per istruzioni su come applicare un extra.DAT su Security for SaaS Endpoint Protection, consultare l'articolo KB51459.
  • Per istruzioni su come unire uno o più extra.DAT, consultare l'articolo KB68061.

Invio di campioni a McAfee Labs con GetSusp
GetSusp è uno strumento gratuito che agevola il rilevamento di campioni sospetti in un sistema. GetSusp dispone di proprie funzionalità integrate di invio che devono essere utilizzate per inviare i pacchetti creati con GetSusp.

Per esaminare le domande frequenti relative a GetSusp, consultare l'articolo KB69385.

Per scaricare GetSusp, accedere a http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Prodotti interessati

Beta Translate with

Select a desired language below to translate this page.