如果您找到了认为受到感染的文件,但是防病毒软件并未检测到它,或者虽检测到却未能清理,则可以将该示例提交给 McAfee Labs 进行评估。
提交要求
必须遵照此信息进行提交,否则会导致提交或示例处理失败。因为没有按照要求操作而失败的提交或示例将被直接关闭,而不做进一步的处理。
- 示例必须采用受密码保护的 .zip 文件格式(7Zip、RAR),其他格式不予处理。
- .zip 文件应只有一层。换言之,.zip 文件中不能包含其他 .zip 文件(带有或不带密码保护),并且文件夹结构不超过一层。否则可能导致示例不予处理。
- 受密码保护的 .zip 文件的文件扩展名必须是 .zip。使用任何其他扩展名或缺少扩展名都将导致示例不予处理。
- 创建 .zip 文件时,不要使用 AES 或程序中提供的其他加密类型;只使用密码保护即可。
- 密码必须是 infected。任何其他密码将导致示例不予处理。
- zip 文件中可包含不超过 30 个文件。超过此限制将导致示例不予处理。如果您的文件数超过 30 个,请进行拆分,分多次提交。
- .zip 文件的大小不得超过 10 MB。超过此限制的 .zip 文件将导致示例不予处理。
不符合这些要求的示例将被丢弃,并且您
不会接收到任何相关通知。
有关创建 .zip 文件的详细信息,请参阅:
注意:当提交示例并打开案例时,建议客户从受感染的系统附加 VSE MER,从而可以检查访问保护 (AP)、按访问扫描 (OA) 和按需扫描 (OD) 设置和日志。有关如何对支持的 McAfee 产品使用 MER 工具的详细信息,请参阅
KB59385
。
无需提交的内容
提交除可疑的文件以外的其他文件(因为它驻留在系统上)可能并将会导致处理延迟,或者甚至导致提交失败(因为增大了文件总数或大小超过允许的阈值)。下面的列表包含不应该发送的一些示例:
- 扫描产生的日志文件,例如按需扫描或按访问扫描日志文件。
- 屏幕抓图。
- .eml/.msg 文件。只应该提交附加到电子邮件的文件,不包括电子邮件本身。
- 由取证工具创建的报告。
- 字符串转储。
- 网络流量转储。
只应该提交可疑的文件。
在上载示例后出现的情况
当示例经过分析之后,您才会收到进一步的通知。
如果有与您的示例相关的 Extra.DAT 被发布到 ServicePortal,您将获得电子邮件通知。在 ServicePortal 上检查您的服务请求以下载 Extra.DAT 文件。您无法通过电子邮件或其他方式收到 Extra.DAT 文件。
- 要通过 ePolicy Orchestrator 手动签入并部署 Extra.DAT,请参阅 KB67602。
- 有关为 VirusScan Enterprise 8.x 及更高版本在本地应用 Extra.DAT 的说明,请参阅 KB50642。
- 有关将 extra.DAT 应用于 Security for Microsoft Exchange 的说明,请参阅 KB76201。
- 有关将 extra.DAT 应用于 Security for SaaS Endpoint Protection 的说明,请参阅 KB51459。
- 有关结合一个或多个 extra.DAT 的说明,请参阅 KB68061。
使用 GetSusp 向 McAfee Labs 提交示例
