如何向 Microsoft 发送恶意软件,用于分析


概要


如果您怀疑某个文件或程序是恶意的可以到微软研究院和响应的分析团队来发送文件。病毒、 间谍软件、 蠕虫和广告,可能包含恶意的文件或程序 (恶意软件)。此外,如果您使用的 Microsoft Forefront 客户端安全,您可以指示该程序如何确定该文件是恶意的。

本文介绍了可用来将恶意软件文件发送给 Microsoft,以便进行分析的方法。本文还介绍如何准备提交的文件。

简介


本文介绍了可用来将恶意软件文件发送给 Microsoft,以便进行分析的方法。

详细信息


您可以使用以下方法之一向 Microsoft 发送恶意软件的文件,以便进行分析︰
  • 基于 web 的提交
  • 提交由 Microsoft 客户支持服务
  • 提示的提交
如果您怀疑某个文件或某个程序可能是恶意的 (例如,您怀疑有问题的文件或程序是病毒、 蠕虫病毒、 间谍软件或广告软件),您可以使用这些方法。如何分析向 Microsoft 发送恶意软件文件的详细信息,请参阅"基于 Web 的资料"节、 明"提交由 Microsoft 客户支持服务"提示您提交"部分。

基于 web 的提交

若要使用 Web 发送给 Microsoft 的分析文件,请访问下面的 Microsoft 网站︰按照准备存档文件,其中包含您想要发送的可疑恶意软件文件的恶意软件防护中心的"提交示例"一节中的步骤。

响应消息

Microsoft 将发送一个响应消息,存档文件中包括的文件的列表。如果 Microsoft 已经分析了您发送的文件,第一个响应消息将包含每个文件所做的决定。如果 Microsoft 未分析这些文件,或者如果您指明文件被错误地确定为恶意软件,Microsoft 将分析的文件。

要正确理解响应消息,您必须了解确定和扫描结果之间的差异。

确定和扫描结果之间的差异

  • 确定
    确定是与特定文件关联。Microsoft 分析确定并进入研究和响应团队的数据库。
  • 扫描结果
    扫描结果是运行在单个文件的防恶意软件定义扫描的结果。
确定和扫描结果是只相同的文件发送给 Microsoft,并由分析师审查,是后。

注意:即使 Microsoft 扫描结果显示该文件被感染,确定可能显示为"不确定"。使用泛型算法应用于一系列的恶意软件进行检测时发生这种情况。.Gen 文件扩展名追加到的恶意软件,如下所示的"TrojanDownloader:Win32/Emerleox.gen"文件的名称的名称,则可能会发生这种情况。在此情况下,决定不完全代表是否 Forefront 客户端安全确定该文件是恶意软件。

分析结果

分析完成后,另一条消息发送到您提供的电子邮件地址。此邮件包含的文件的最终裁决。如果 Microsoft 防恶意软件定义更新在此提交的响应,该消息还包括以下信息︰
  • 该名称,对恶意软件类别。
  • 有关该恶意软件威胁的在线百科全书条目互联网链接。

    注意:百科全书条目出现在 Internet 上发送响应消息后可能需要一段时间。
  • 包括关于这种威胁的信息定义的版本。
  • 互联网链接到包含测试定义文件的位置。

    注意:请参阅"Beta 定义"部分以了解更多信息。

提交由 Microsoft 客户支持服务

Microsoft 客户支持服务可以将文件以您的名义发送到微软研究院和响应小组。如果 Forefront 客户端安全不能解决恶意软件的紧急情况,我们建议您联系客户支持服务的帮助。若要执行此操作,使用时购买 Forefront 客户端安全提供对您的支持信息。或者,请访问下面的 Microsoft 网站︰

提示的提交

微软研究院和响应团队可能表明团队可以从中派生的详细信息的文件。如果您加入 Microsoft SpyNet 社区,并且如果 Forefront 客户端安全检测到尚未分类的风险的计算机上的软件,您可能被要求向 Microsoft SpyNet 软件的样本进行分析。当系统提示您时,Forefront 客户端安全显示可以帮助分析人员确定是否为恶意软件的文件的列表。您可以决定将部分或全部文件发送列表中。

是否他们将加入 Microsoft SpyNet 社区通过使用组策略设置,则 forefront 客户端安全允许管理员控制。有关如何执行此操作的详细信息,请参阅 Forefront 客户端安全管理指南 》。

如何准备提交的文件

在处理可能被归类为恶意软件的文件时,请务必小心。将可疑的恶意软件的文件添加到使用密码压缩的存档文件。通过这样,可以避免当文件在运输或发送文件时,感染其他计算机。若要将文件添加到存档文件使用密码,请执行以下步骤。

注意:如果已安装 WinZip 或类似的压缩实用程序,可用于创建归档文件。但是,必须使用相同的名称和相同的密码包含在下列步骤中。
  1. 在 Windows 资源管理器中,打开包含可疑恶意软件文件的文件夹。
  2. 用鼠标右键单击窗口中的空白区域,指向新建,然后单击压缩 (zipped) 文件夹
  3. 键入malware.zip ,以命名为新的存档文件,然后按 ENTER。
  4. 放可疑恶意软件文件放在存档文件中,如将它们放到一个典型的 Windows 文件夹。
  5. 双击该存档文件。
  6. 文件菜单上,单击添加密码
  7. 密码框中,键入感染
  8. 确认密码框中,重新键入感染,,然后单击确定

测试定义

微软研究院和响应团队更新新威胁信息的恶意软件的定义。然后,团队广泛地测试新的定义。虽然这个测试保护 Forefront 客户端安全权限的用户,需要执行该测试的时间可能在您的环境中出现的恶意软件危机严重。

因此,可用的 Microsoft 使之前经过充分测试的发布版本可以下载的完全测试的测试定义将变为可用。您可以到受感染的计算机快速部署此 beta 版的定义。测试定义可能也有助于保护未受感染的计算机,直接感染的风险。测试定义并不适用于大范围的部署。我们建议 Forefront 客户端安全客户不要将它们部署,除非客户都在经历了显式创建测试定义的恶意软件威胁。

有关详细信息请参阅这篇 Microsoft 知识库文章︰
939757如何下载最新的测试版恶意软件定义更新 Forefront 客户端安全




本文讨论的第三方产品是由与 Microsoft 无关的公司生产的。Microsoft 不做这些产品的任何担保、默示或其他有关的性能或可靠性。