Ein False-Positive ist eine Malware-Erkennung, die für eine legitime Datei ausgelöst wird. Wenn eine Datei Ihrer Meinung nach fälschlicherweise als Malware erkannt wurde, können Sie wie folgt eine Probe an McAfee Labs senden.
Einsenden potenzieller False-Positive-Proben über das ServicePortal
Die bevorzugte Methode für das Einsenden von Proben ist das ServicePortal (
http://supportm.trellix.com). Wenn Sie False-Positives über das ServicePortal einsenden, achten Sie darauf, den richtigen
Problemtyp für Ihre Einsendung auszuwählen:
- Von Artemis erkannte Datei wahrscheinlich False Positive (False-Positive-Erkennung aus Global Threat Intelligence)
- Erkannte Datei wahrscheinlich False-Positive (alle anderen False-Positive-Erkennungen)
Einsenden potenzieller False-Positive-Proben per E-Mail
Senden Sie Proben per E-Mail unter virus_research@mcafee.com an McAfee Labs Virus Research.
- Beginnen Sie den Betreff mit dem Wort FALSE. Beispiel:
FALSE: In-house file being detected by McAfee (Intern verwendete Datei durch McAfee erkannt)
- Anzugebende Informationen: (Beispiel)
Please review the submitted file as we believe this is a false detection. (Bitte überprüfen Sie die eingesendete Datei, da wir glauben, dass es sich um eine Falscherkennung handelt.)
Product: (Produkt) VirusScan Enterprise 8.8
DAT version: (DAT-Version) 6587
Engine: (Modul) 5400
Description of issue: This application has been developed as an in-house tool for cleaning our databases. (Beschreibung des Problems: Diese Anwendung wurde als internes Tool zur Säuberung unserer Datenbanken entwickelt.)
HINWEIS: Wenn nicht alle oben genannten Informationen angegeben werden, kann dies zu Verzögerungen bei der Analyse führen.
Regeln für die Einsendung
Sie müssen diesen Prozess genau einhalten, da es sonst zu Fehlern beim Einreichen oder bei der Probenbearbeitung kommt. Einsendungen oder Proben, bei denen es aufgrund nicht eingehaltener Anforderungen zu einem Fehler gekommen ist, werden ohne weitere Bearbeitung geschlossen.
- Die Probe muss in einer kennwortgeschützten ZIP-Datei vorliegen. 7Zip, RAR und andere Formate werden nicht bearbeitet.
- Die ZIP-Datei darf nur aus einer Ebene bestehen, d. h. sie darf keine weiteren ZIP-Dateien (mit oder ohne Kennwortschutz) und keine Ordnerstrukturen, die tiefer als eine Ebene sind, enthalten. Dies kann dazu führen, dass Proben nicht bearbeitet werden.
- Die Dateierweiterung der kennwortgeschützten ZIP-Datei muss .zip lauten. Alle anderen Erweiterungen bzw. das Fehlen einer Erweiterung führen dazu, dass die Probe nicht bearbeitet wird.
- Verwenden Sie beim Erstellen einer ZIP-Datei nicht AES oder sonstige im Programm verfügbare Arten der Verschlüsselung, sondern verwenden Sie lediglich ein Kennwort zum Schutz.
- Das Kennwort muss infected lauten. Alle anderen Kennwörter führen dazu, dass die Probe nicht bearbeitet wird.
- Die ZIP-Datei darf maximal 30 Dateien enthalten. Eine größere Anzahl an Dateien führt dazu, dass die Probe nicht bearbeitet wird. Wenn es sich um mehr als 30 Dateien handelt, verteilen Sie diese auf mehrere Einsendungen.
- Die ZIP-Datei darf höchstens 10 MB groß sein. Größere ZIP-Dateien führen dazu, dass die Probe nicht bearbeitet wird.
Proben, die diesen Anforderungen nicht entsprechen, werden ohne Benachrichtigung des Einsenders verworfen.
Weitere Informationen zum Erstellen einer ZIP-Datei:
Nachdem die Probe analysiert wurde, geschieht Folgendes:
- Die Probe wird als sauber angesehen. Die Erkennung wird unterdrückt und in der nächstmöglichen DAT-Version aktualisiert.
- Die Analyse der Datei ergibt, dass die Probe zu Recht erkannt wurde. Sie werden über die Ergebnisse benachrichtigt.
Häufig gestellte Fragen
Wie kann ich als Kunde verhindern, dass unsere Dateien zukünftig nicht fälschlicherweise als Malware erkannt werden?
McAfee Labs nimmt Proben in das Qualitätssicherungs-Testverfahren auf, wo sie mit allen DAT-Versionen gescannt werden, um Falscherkennungen zu verhindern. Weitere Informationen hierzu finden Sie in KB85568.
Bisher habe ich immer das Schlüsselwort NOAUTO in der Betreffzeile verwendet, wenn ich Proben per E-Mail eingesendet habe. Wird das Schlüsselwort nicht mehr erkannt?
NOAUTO, das eine automatische Antwortnachricht verhindert, gehört weiterhin zu den akzeptierten Schlüsselwörtern. Um jedoch mögliche Falscherkennungen schnell erkennen und bearbeiten zu können, wird bei McAfee Labs jetzt wie oben beschrieben das Schlüsselwort FALSE verwendet.