Loading...

Knowledge Center


當偵測可疑的惡意軟體偵測失敗 (找不到病毒),或無法清除偵測到的惡意軟體時,如何將樣本提交給 McAfee Labs
技術文章 ID:   KB68030
上次修改:  2015/11/6
已評分:


環境

McAfee DAT 檔案
McAfee Labs
多項 McAfee 產品

摘要

本文說明如何將可疑的惡意軟體樣本提交給 McAfee Labs。

McAfee Labs 會接收可疑的惡意軟體樣本進行審查,並將可能納入的項目加入每日 DAT 檔案發佈或 GTI 檔案信用評價中供日後偵測之用。

有兩種主要的方法可提交樣本進行審查:

  • ServicePortal:使用您的授權號碼登入 ServicePortal,並將樣本提交給 McAfee Labs。
  • 電子郵件:可將樣本附加到電子郵件,然後寄到 virus_research@avertlabs.com

 

解決方案

如果您找到一個您認為受感染但防毒軟體卻未偵測出的檔案,或者系統雖偵測出檔案但卻未清除,您便可將樣本提交給 McAfee Labs 進行評估。

提交需求
請務必遵照此資訊,若未遵照,將導致提交或樣本處理失敗。因未遵照需求而失敗的提交或樣本將予以結案,不做進一步處理。
  • 樣本必須是由密碼保護的 .zip 檔案,7Zip、RAR 及其他格式將不予以處理。
  • .zip 檔案應是單一層級。換句話說,.zip 檔案內不能有 .zip 檔案 (無論是否有密碼保護),資料結構不超過一層,否則會造成無法處理樣本。
  • 密碼保護的 .zip 檔案其副檔名必須是 .zip。使用其他副檔名或沒有副檔名將造成無法處理樣本。
  • 建立 .zip 檔案時,請勿使用 AES 或程式中其他可用的加密類型;請只使用密碼保護。
  • 密碼必須是 infected。任何其他的密碼將造成無法處理樣本。
  • zip 檔案內不能超過 30 個檔案。若有更多的檔案會造成無法處理樣本。如果檔案超過 30 個,請將檔案分成多個提交項目。
  • .zip 檔案不能大於 10 MB。大於此限制的 .zip 檔案將造成無法處理樣本。
無法遵照這些需求的樣本將遭捨棄,您也不會收到該結果的通知。

如需建立 .zip 檔案的詳細資訊:

附註:提交樣本並開啟案例時,會建議客戶附加受感染系統的 VSE MER,讓系統能夠檢查存取保護 (AP)、常駐 (OA) 及按指定 (OD) 設定和記錄。有關如何將 MER 工具搭配支援的 McAfee 產品使用,請參閱 KB59385
.


不要提交的項目
若提交其他存在於系統上但不是可疑檔案的檔案,會造成延遲處理,甚至會因為檔案總數或總大小超過許可的閾值而造成提交失敗。下列清單為部分不要傳送的範例:
  • 掃描的記錄檔案,例如按指定或常駐記錄檔。
  • 螢幕擷取畫面。
  • .eml/.msg 檔案。只有附加到電子郵件的檔案才應提交,而非電子郵件本身。
  • 鑑識工具建立的報告。
  • 字串傾印。
  • 網路流量傾印。
應提交可疑的檔案。

上傳樣本後會發生什麼事
您必須等到該樣本已進行分析,才能收到其他通知。

如果有與您樣本相關的 Extra.DAT 張貼到 ServicePortal,則會以電子郵件通知您其可用性。在 ServicePortal 上檢查服務請求以下載 Extra.DAT 檔案。您不會透過電子郵件或其他方式收到 Extra.DAT 檔案。
  • 若要透過 ePolicy Orchestrator 手動簽入及部署 Extra.DAT,請參閱 KB67602
  • 如需有關如何為 VirusScan Enterprise 8.x 或更新版本在本機套用 Extra.DAT,請參閱 KB50642
  • 如需有關如何將 Extra.DAT 套用至 Security for Microsoft Exchange 的指示,請參閱 KB76201
  • 有關將 extra.DAT 套用到 Security for SaaS Endpoint Protection 的指示,請參閱 KB51459
  • 有關結合一或多個 extra.DAT 的指示,請參閱 KB68061

透過 GetSusp 將樣本提交給 McAfee Labs
GetSusp 是免費的工具,可協助尋找系統上可疑的樣本。GetSusp 有自己內建的提交功能,應利用此功能提交由 GetSusp 建立的套件。

若要檢視 GetSusp 的常見問題,請參閱 KB69385

若要下載 GetSusp,請前往 http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分

受影響的產品


Threat Prevention and Removal

Beta Translate with

Select a desired language below to translate this page.