Loading...

Como enviar amostras para o McAfee Labs de falha na detecção de malware suspeito (vírus não encontrado) ou falha na limpeza de malware detectado
Artigos técnicos ID:   KB68030
Última modificação:  06/11/2015
Classificação:


Ambiente

Arquivos DAT da McAfee
McAfee Labs
Vários produtos da McAfee

Resumo

Este artigo descreve como enviar amostras de malware suspeito ao McAfee Labs.

O McAfee Labs pode receber amostras de malware suspeito para análise e possível inclusão nas versões diárias de arquivos DAT ou na reputação de arquivos GTI para futuras detecções.

Há dois métodos principais usados para enviar amostras para análise:

  • ServicePortal: usando seu número de concessão, é possível entrar no ServicePortal e enviar amostras ao McAfee Labs.
  • E-mail: é possível anexar as amostras a um e-mail e enviar para virus_research@avertlabs.com.

 

Solução

Caso você encontre um arquivo que acredita estar infectado, mas que não foi detectado pelo software antivírus ou que foi detectado, mas não foi limpo, será possível enviar a amostra ao McAfee Labs para avaliação.

Requisitos de envio
É muito importante seguir essas informações, pois, do contrário, ocorrerá falha no envio ou no processamento da amostra. Envios ou amostras que resultarem em falhas devido ao não cumprimento dos requisitos serão encerrados sem nenhum tipo de processamento.
  • A amostra deverá ser um arquivo .zip protegido por senha - outros formatos, como 7Zip e RAR, não serão processados.
  • O arquivo .zip deverá ter um único nível. Em outras palavras, não deve haver nenhum outro arquivo .zip dentro do arquivo .zip (com ou sem proteção de senha). Além disso, não deve haver estruturas de pasta com mais de um nível. Isso pode fazer com que as amostras não sejam processadas.
  • A extensão de arquivo do arquivo .zip protegido por senha deve ser: .zip. Qualquer outra extensão, ou a ausência de uma extensão, fará com que a amostra não seja processada.
  • Ao criar o arquivo .zip, não use o AES ou qualquer outro tipo de criptografia disponível no programa; basta usar uma senha de proteção.
  • A senha deve ser infected. Qualquer outra senha fará com que a amostra não seja processada.
  • Não deve haver mais de 30 arquivos no arquivo zip. Um número maior de arquivos fará com que a amostra não seja processada. Caso você tenha mais de 30 arquivos, divida-os em vários envios.
  • O arquivo .zip não pode ter mais de 10 MB. A existência de arquivos .zip maiores fará com que a amostra não seja processada.
As amostras que não atenderem a esses requisitos serão descartadas. Não será enviada a você nenhuma notificação sobre isso.

Para obter mais informações sobre como criar um arquivo .zip:

NOTA: ao enviar amostras e abrir um caso, é recomendável que os clientes anexem um VSE MER do sistema infectado, de modo que seja possível verificar os logs e as configurações de varredura por solicitação (OD), de varredura ao acessar (OA) e de proteção de acesso. Para obter informações sobre como usar a ferramenta MER com produtos compatíveis da McAfee, consulte o artigo KB59385.
.


O que não enviar
O envio de arquivos adicionais que residem no sistema e não sejam o arquivo suspeito poderá causar (e certamente causará) atrasos no processamento ou até mesmo causar falhas de envio aumentando o total de arquivos ou o tamanho além dos limites permitidos. A lista a seguir contém alguns exemplos do que não enviar:
  • Arquivos de log provenientes de varreduras, tais como arquivos de log de varreduras por solicitação ou de varreduras ao acessar.
  • Capturas de tela.
  • Arquivos .eml/.msg. Somente os arquivos anexados aos e-mails deverão ser enviados, e não o e-mail propriamente dito.
  • Relatórios criados por ferramentas forenses.
  • Descargas de cadeias.
  • Descargas de tráfego de rede.
Somente os arquivos suspeitos devem ser enviados.

O que esperar depois de fazer upload da amostra
Você não receberá mais notificações até que a amostra tenha sido analisada.

Se um arquivo Extra.DAT relacionado a sua amostra for publicado no ServicePortal, você será informado por e-mail sobre sua disponibilidade. Verifique sua Solicitação de serviço no ServicePortal para baixar o arquivo Extra.DAT. Você não receberá nenhum arquivo Extra.DAT por e-mail ou de qualquer outra forma.
  • Para fazer check-in e distribuir manualmente um Extra.DAT por meio do ePolicy Orchestrator, consulte o artigo KB67602.
  • Para obter instruções sobre como aplicar um Extra.DAT localmente para o VirusScan Enterprise 8.x e posteriores, consulte o artigo KB50642.
  • Para obter instruções sobre como aplicar um extra.DAT ao Security for Microsoft Exchange, consulte o artigo KB76201.
  • Para obter instruções sobre como aplicar um arquivo extra.DAT ao Security for SaaS Endpoint Protection, consulte o artigo KB51459.
  • Para obter instruções sobre como combinar um ou mais arquivos extra.DAT, consulte o artigo KB68061.

Enviar amostras ao McAfee Labs com o GetSusp
O GetSusp é uma ferramenta gratuita que pode ajudar a encontrar amostras suspeitas em um sistema. Ele tem seus próprios recursos internos de envio que devem ser utilizados para enviar pacotes criados por ele.

Para ler as perguntas frequentes sobre o GetSusp, consulte o artigo KB69385.

Para baixar o GetSusp, acesse http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento