如何提交给 Microsoft 进行分析的恶意软件文件

文章翻译 文章翻译
文章编号: 939288 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

当您怀疑文件或程序是恶意的 ,您可以提交给 Microsoft 研究和响应小组进行分析该文件。此外,如果使用的 Microsoft Forefront 客户端安全可以指出该程序确定该文件是恶意的方式。

本文介绍了可用于将文件提交给 Microsoft 进行分析的方法。本文还介绍如何准备文件进行
提交。

简介

本文介绍了可用于提交给 Microsoft 进行分析的恶意软件 (malware) 文件的方法。

更多信息

您可以使用下列方法之一提交给 Microsoft 进行分析的恶意软件文件:
  • 基于 web 的提交
  • 由 Microsoft 客户支持服务的提交
  • 提示的提交
如果您怀疑文件或程序可能是恶意,您可以使用这两种方法。有关如何将文件提交给 Microsoft 进行分析的详细信息请参阅部分中"基于 Web 的提交"。

基于 web 的提交

若要通过 Web 提交给 Microsoft 进行分析的文件,请访问下面的 Microsoft 恶意软件防护中心 Web 站点:
https://www.microsoft.com/security/portal/Submission/Submit.aspx


请按照"提交示例"部分中可以准备一个存档文件,其中包含要向其提交的文件。

响应消息

Microsoft 将把发送响应消息的存档文件中包括的文件的列表。Microsoft 已经具有分析您提交的文件,如果第一个响应消息将包含每个文件所做的决定。如果 Microsoft 不进行分析了的文件,或者您指示的文件被错误地确定为恶意软件 Microsoft 将分析该文件。

要正确理解响应消息,您必须了解确定扫描结果之差。

确定和 $ 扫描结果的区别

  • 确定
    确定是与特定文件关联。Microsoft 分析确定,并输入到信息检索和响应工作组数据库。
  • 扫描结果
    扫描结果都由 anti-malicious 软件定义单个文件运行该扫描的结果。
确定和 $ 扫描结果都只是相同的文件提交给 Microsoft,并且由一个分析人员审阅之后。

注意确定可能显示为不确定,即使 Microsoft 扫描结果会显示该文件受到病毒感染。使用泛型算法应用于一系列的恶意软件进行检测时,会发生这种情况。当.gen 文件扩展名追加到为"TrojanDownloader:Win32/Emerleox.gen"文件名称中的该恶意软件的名称时,可能会发生这种情况。在这种情况下,如果确定不完全表示是否 Forefront 客户端安全确定该文件是恶意软件。

分析结果

分析完成后,您提供的电子邮件地址发送另一条消息。此邮件包含一个最终确定的文件。如果 Microsoft anti-malicious 软件定义已更新以响应此提交,邮件还包括以下信息:
  • 名称和恶意软件类别
  • 有关此恶意软件威胁的联机百科全书项的互联网链接

    注意百科全书项出现在 Internet 上发送响应消息后,它可能需要很短的时间。
  • 包括此威胁的信息在定义的版本
  • 互联网链接到包含测试版定义文件的位置

    注意请参阅"测试定义"部分中的详细信息。

由 Microsoft 客户支持服务的提交

Microsoft 客户支持服务可以提交到 Microsoft 研究和响应团队的代表您的文件。如果您的紧急的恶意软件的情况下,Forefront 客户端安全不能解决我们建议您与客户支持服务有关的帮助。若要执行此操作使用在您购买 Forefront 客户端安全提供给您的支持信息。或者请访问下面的 Microsoft 网站:
http://www.microsoft.com/protect/support/default.mspx

提示的提交

Microsoft 研究和响应团队可能表示团队可以从其派生的详细信息的文件。如果您加入的 Microsoft SpyNet 社区,并 Forefront 客户端安全检测到有不尚未被分类的风险的计算机上的软件可能要求您发送给 Microsoft SpyNet 的软件的一个示例进行分析。在提示时 Forefront 客户端安全将显示的文件,可帮助确定是否是恶意软件的分析人员的列表。您可以决定发送列表中的某些或所有文件。

forefront 客户端安全允许管理员控制,无论它们通过使用组策略设置加入到 Microsoft SpyNet 社区。有关如何执行此操作的详细信息请参阅 Forefront 客户端安全管理指南。

如何准备提交的文件

当您处理可能会被归类为恶意软件的文件时,请务必小心。将可疑的恶意软件文件添加到一个压缩的存档文件中,使用一个密码。通过这样做可以避免当文件在传输过程或当您提交文件感染其他计算机。若要将文件添加到一个存档文件中,使用一个密码,请按照下列步骤操作。

注意如果安装 WinZip 或类似的压缩实用程序,则可以使用它来创建存档文件。但是,您必须使用相同的文件名和相同的密码包含在这些步骤。
  1. 在 Windows 资源管理器中,打开可疑的恶意软件文件所在的文件夹。
  2. 用鼠标右键单击窗口中的空白区域,指向 新建,然后再单击 压缩 (zipped) 文件夹
  3. 键入 malware.zip 来命名新的存档文件,然后按 ENTER。
  4. 删除可疑的恶意软件文件放在存档文件,如将拖放到一个典型的 Windows 文件夹。
  5. 双击该存档文件。
  6. 文件 菜单上单击 添加密码
  7. 密码 框中键入 感染
  8. 确认密码 框中重新键入 感染,然后单击 确定

测试版定义

Microsoft 研究和响应团队的威胁的新信息更新恶意软件定义。然后,团队广泛测试新的定义。虽然此测试将保护 Forefront 客户端安全权限的用户身份,然后才能执行该测试的时间可能会在您的环境中的一个恶意软件危机过程中关键。

因此,可用的 Microsoft 使您可以下载经过充分测试的发行版之前的部分测试的测试版定义变为可用。可以快速地将此测试版定义部署到受感染的计算机中。测试版定义还可以帮助保护未感染的计算机位于即时感染病毒的风险。测试版定义不是为范围的部署。我们建议的 Forefront 客户端安全客户不部署这些除非客户遇到显式创建测试版定义了恶意软件威胁。

有关详细信息,请参阅本文 Microsoft 知识基础:
939757如何下载最新的测试版的恶意软件定义更新的 Forefront 客户端安全



本文讨论了在第三方产品是由独立于 Microsoft 的公司生产的。Microsoft 使不保证或暗示或其他有关性能或可靠性,这些产品的方式。

属性

文章编号: 939288 - 最后修改: 2007年6月29日 - 修订: 1.4
这篇文章中的信息适用于:
  • Microsoft Forefront Client Security
关键字:?
kbmt kbhowto KB939288 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 939288
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com