将样本提交到 Labs，如果恶意软件检测失败

环境

DAT files
实验室

摘要

如果您面临以下任何问题，请遵循本文提供的说明：

您拥有您认为被感染的文件，但防病毒软件未检测到该文件。
检测到文件，但不清理。

内容
单击以展开要查看的部分：

选择适合您需求的服务请求类型

查看以下两个选项并选择适合您的选项：

恶意软件服务请求：
通过服务请求打开技术支持 ServicePortal 并分配技术支持（TSE）的工程师。所有更新和通信流经 TSE。当您需要及时的更新并且偏好人员交互时，此类型的服务请求将满足需要。

此方法用于以下用途：
- 客户环境中主动恶意软件感染
- 清理失败，检测到并删除恶意软件，但一些攻击指示器（IIC）在重新启动后仍保留在系统中
- 剩余部分（注册表项、磁盘中剩余文件）
- 病毒信息库（VIL）请求（包含示例）
- 产品对策
- 行为分析
- 错误检测
- 自动化无法解决或正在影响企业的检测失败
Labs/自动化服务请求：
对于此类型的恶意软件提交，您可以先提交样本，然后创建服务请求进行提交。此方法完全由自动化驱动，无需其他信息。但是，自动化不会处理误报。如果您需要检查检测失败，并且不希望任何人为交互，或问题不紧急或业务受到影响，您可以选择此方法。

此方法用于以下用途：
- 大量样本（10 个或多个需要分析的样本）
- 来自自动外围设备的集合
- 没有业务影响或不是活动病毒爆发或紧急问题的检测失败
- 没有业务影响或不是活动病毒爆发或紧急问题的未知文件（是恶意文件？）

问题类型和提交方法

选择您的问题类型并按照提交说明操作：

清理失败、检测失败或 VIL
覆盖请求
通过 ServicePortal 提交样本（自动，无实时支持），也称为 Labs 服务请求
样本提交的其他方法（SFTP、电子邮件、Web Gateway、Advanced Threat Defense、GetSusp）

有关具体提交要求，请参阅KB91459 - 检测失败、清理失败和误报的最低数据收集要求.

清理失败、检测失败或 VIL：
按如下方式打开恶意软件服务请求。

注意： 对于误报，请勿打开恶意软件服务请求，因为自动化无法处理误报请求。

通过ServicePortal. 选择创建服务请求选项并选择恶意软件作为产品。
上传服务请求上的示例。使用此选项提交示例.
将相关日志或 ePO 威胁事件附加到服务请求中。
提供以下详细信息：KB91459 - 检测失败、清理失败和误报的最低数据收集要求.

覆盖请求：
覆盖请求是在环境未被感染时，但您希望覆盖合规性/保护。此类请求被视为严重性为 3 或 4。客户需要共享其寻求覆盖的哈希的来源。要针对每个处理系统打开单独的服务请求，请参阅KB91459 - 检测失败、清理失败和误报的最低数据收集要求.

根据提交的哈希数量，Labs 可能需要一些时间提供覆盖。此外，否Extra.DAT已共享，但覆盖范围在内部添加。有关详细信息，请参阅KB93747 - 有关 Extra.DAT 的信息和常见问题解答以及覆盖请求.

注意： Anyrun、沙盒和 VirusTotal 不被视为来源。

选项 1：

通过ServicePortal.
提供需要覆盖的哈希的来源。来源可以是威胁顾问、博客或内部研究（基于通配符的工件）。不过，来源应小处理哈希。有关详细信息，请参阅KB91459 - 检测失败、清理失败和误报的最低数据收集要求.

选项 #2：
通过以下项直接打开 Labs 服务请求：提交示例选项。 Labs 自动化处理该服务请求，并且无需人员干预。所有更新都通过自动发送到您的电子邮件地址。

提交样本的说明：

将文件放在 ZIP 文件夹中。确保 ZIP 文件夹具有.zip扩展。请最好使用 WinRAR/7z 。
使.zip受“infected”字样密码保护，无引号。
登录到ServicePortal.
点击提交示例。
单击服务请求。
上传文件。
点击提交。

通过 ServicePortal 提交样本（自动，无实时支持），也称为 Labs 服务请求：
首选提交方法为 ServicePortal 。使用该方法不会将 TSE 分配给服务请求。服务请求号仅为跟踪之用，不进行监控。

登录到ServicePortal.
单击服务请求选项卡。
单击提交示例选项卡。
完成提交详细信息。请确保您为提交选择相应的问题类型：检测失败。
上传示例。
点击提交。在 ServicePortal 上创建提交服务请求示例，您可以使用此请求跟踪进度。此系统是自动的，并且不会向提交项目分配任何 TSE。服务请求号仅为跟踪之用，不进行监控。如果需要立即帮助，您必须在打开服务请求时技术支持。

样本提交的其他方法（SFTP、电子邮件、Web Gateway、Advanced Threat Defense、GetSusp）：

SFTP 提交：看到KB87703 - 指南，用于通过可用的 FTP 服务器将恶意软件示例提交到 Labs.
电子邮件提交（已处理自动化）： 若要使用电子邮件提交样本，请将其发送到 Labs Virus Research，地址是：virus_research@avertlabs.com. 自动化不会处理误报检测。告知服务请求所有者提交样本的信息。
网络Gateway：按照中提供的特定于产品的说明收集并提交样本KB62662 - 如何提交 Web Gateway病毒和恶意软件样本进行分析.
Advanced Threat Defense：按照中提供的特定于产品的说明收集并提交样本KB83659 - 如何提交误报样本或漏报恶意软件样本，Advanced Threat Defense.
GetSusp：GetSusp 是一个免费工具，可帮助您查找和记录未检测到的恶意软件。 GetSusp 内置提交功能，允许您自动将样本提交到 Labs。看到KB69385 - 有关 GetSusp 的常见问题解答. 要下载 GetSusp，请转到GetSusp 下载站点.

不提交什么

不提交日志文件、快照、来源 URL、PDF（哈希覆盖）或报告。这些项目将附加到服务请求中。

Knowledge Center

将样本提交到 Labs，如果恶意软件检测失败

环境

摘要

相关信息

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

将样本提交到 Labs，如果恶意软件检测失败

环境

摘要

相关信息

免责声明

受影响的产品

语言:

选择您的区域

Title

Title