A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Qual era o ponto de entrada inicial – e-mail ou URL? Forneça detalhes, se estiverem disponíveis.
Onde o exemplo foi encontrado no sistema? Forneça o caminho de arquivo, o local de registro e quaisquer outras informações relevantes.
Por que o arquivo é suspeito como malware? Quais comportamentos suspeitos foram observados?
Descrição Você está solicitando cobertura para os hashes de amostra originados por uma origem interna ou externa. Os encaminhamentos de lista de hash são considerados informativos, pois não têm impacto sobre o cliente.
Necessário Forneça as seguintes informações:
Por que os hashes são suspeitos como malware? Quais comportamentos suspeitos são associados aos hashes?
Forneça a origem dos hashes. A arquivo vem da caça de ameaças internas, de compartilhamento de inteligência de terceiros ou de um blog? Forneça informações relevantes, incluindo um link para ou uma cópia do relatório, se disponível.
IMPORTANTE: Não envie várias famílias de malware sob a mesma solicitação. Cada variante individual requer uma solicitação de serviço separada com sua própria citação para uma origem para os hashes indicados. Os exemplos devem estar disponíveis para serem originados para McAfee a fim de revisar e adicionar cobertura. Se uma amostra não puder ser originada, você deverá enviar uma amostra. Siga as instruções em KB68030 Se você precisar enviar uma amostra.
Descrição Quando o produto dispara uma detecção, mas não remove alguns componentes do malware.
Exemplo 1: o ENS detecta e exclui as arquivo maliciosas, mas as entradas do registro (como entradas de serviço ou chaves de execução) são deixadas para trás.
Exemplo 2: ENS dispara um !memdetectado. Essa detecção indica que houve uma detecção encontrada em um processo na memória. No entanto, o arquivo gerando o processo infectado não é detectado.
Necessário Forneça as seguintes informações:
Envie a amostra detectada a partir da quarentena. O local de quarentena padrão do ENS e do VSE é C:\Quarantine.
Envie os vestígios como uma amostra, conforme descrito em KB68030.
O arquivo faz parte de uma infecção ativa no ambiente?
Qual era o ponto de entrada inicial – e-mail ou URL? Forneça detalhes, se estiverem disponíveis.
Onde o exemplo foi encontrado no sistema? Forneça o caminho de arquivo, o local de registro e quaisquer outras informações relevantes.
Por que o arquivo é suspeito como malware? Quais comportamentos suspeitos foram observados?
Envie os logs de varredura relevantes mostrando a falha de limpeza.
VSE %deflogdir%\OnAccessScanLog.txt
%deflogdir%\OnDemandScanLog.txt
MOVE AV Multi-platform
OAS: C:\Arquivos de programas (x86) \McAfee\MOVE AV Server\mvserver.log
OAS: C:\Arquivos de programas (x86) \McAfee\MOVE AV Client\mvagent.log
ODS: os mesmos registros que o OAS acima, mas primeiro ative o registro de depuração de acordo com KB87799
MOVE AV sem agente: /opt/McAfee/move/logs/mvsvc.log
Descrição Um aplicativo de produção, ou componentes deste aplicativo, está sendo detectado e há suspeita de que sejam detecções incorretas.
Necessário Os itens a seguir devem ser fornecidos para McAfee Labs para analisar corretamente um arquivo e determinar se ele é um falso positivo:
Descrição Um aplicativo ou componentes deste aplicativo estão sendo detectados como um programa potencialmente indesejado. Ou ele não está sendo detectado e é suspeito que essa detecção esteja incorreta.
O arquivo faz parte de uma infecção ativa no ambiente?
Qual era o ponto de entrada inicial – e-mail, URL ou instalador? Forneça detalhes, se estiverem disponíveis.
Onde o exemplo foi encontrado no sistema? Forneça o caminho de arquivo, o local de registro e quaisquer outras informações relevantes.
A arquivo foi suspeita como um programa potencialmente indesejado? Se a amostra for um programa potencialmente indesejado, forneça o pacote de instalação completo ou o local fazer download para o programa.
Por que o arquivo é suspeito como um programa potencialmente indesejado? Quais comportamentos foram observados?
Ele foi um aplicativo interno ou um software de terceiros? Se um software de terceiros, que é o fornecedor, e qual é o nome e a versão do aplicativo?
Forneça uma descrição detalhada sobre o arquivo e como ele está sendo usado.
Forneça o instalador, origem ou um URL do fazer download, se estiver disponível. Normalmente, a McAfee precisa do pacote de instalação completo para Iraque totalmente se um aplicativo violar a McAfee política de programa potencialmente indesejado.
Onde o exemplo foi encontrado no sistema? Forneça o caminho de arquivo, o local de registro e quaisquer outras informações relevantes.
Envie os registros de varredura relevantes mostrando as detecções.
VSE %deflogdir%\OnAccessScanLog.txt
%deflogdir%\OnDemandScanLog.txt
IMPORTANTE: Se um aplicativo violar a McAfee política de programa potencialmente indesejado, a McAfee Labs adicionará uma detecção para o aplicativo. Se uma detecção de programa potencialmente indesejado for adicionada e você usar o aplicativo, adicione uma exclusão de programa potencialmente indesejado para impedir a detecção do aplicativo. Para obter instruções sobre como ativar a detecção de programas potencialmente indesejados e para definir uma exclusão, consulte o guia de produto. Uma explicação sobre a McAfee política de programas potencialmente indesejados está disponível no seguinte local: https://www.mcafee.com/enterprise/en-us/assets/misc/ms-pup-policy.pdf.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.