如何傳送給 Microsoft 的惡意程式碼分析


摘要


當您懷疑是惡意的檔案或程式時,您就可以傳送檔案給 Microsoft 研究和回應小組進行分析。惡意的檔案或程式 (惡意程式) 可能包含病毒、 間諜軟體、 病蟲和廣告軟體。此外,如果您使用的 Microsoft Forefront 用戶端的安全性,您可以指定此程式決定檔案是惡意的方式。

本文將告訴您可以使用惡意程式碼檔案傳送給 Microsoft,進行分析的方法。本文也說明如何準備送出的檔案。

簡介


本文將告訴您可以使用惡意程式碼檔案傳送給 Microsoft,進行分析的方法。

更多的資訊


您可以使用下列方法之一來進行分析,傳送給 Microsoft 的惡意程式碼檔案︰
  • 以 web 為基礎的送出
  • Microsoft 客戶支援服務的送出
  • 提示的送出
如果您懷疑檔案或程式可能會惡意 (例如,您可疑的檔案或程式是病毒、 蠕蟲、 間諜軟體或廣告軟體),您可以使用這些方法。如需有關如何將傳送到 Microsoft 的惡意程式碼檔案,進行分析的詳細資訊,請參閱 「 網頁送出 」 區段、 「 送出由 Microsoft 客戶支援服務 」 區段中或"要求送出"區段。

以 web 為基礎的送出

將檔案傳送到 Microsoft 進行分析使用 Web,請造訪下列 Microsoft 網站︰請依照下列的惡意程式碼防護中心,若要準備一個封存檔案包含您想要傳送的可疑的惡意軟體檔案的 [送出的範例 > 一節中的步驟。

回應訊息

Microsoft 會傳送回應訊息中的封存檔案包含的檔案清單。Microsoft 已經已經分析您所傳送的檔案,如果第一個回應訊息會包含每個檔案所做的決定。如果 Microsoft 有未分析檔案,或您指示檔案不正確的決定是惡意軟體,則 Microsoft 會分析檔案。

若要正確地瞭解回應訊息,您必須瞭解訂立和掃描結果之間的差異。

判斷和掃描結果之間的差異

  • 判斷
    判斷是與特定的檔案相關聯。Microsoft 分析判斷,而且輸入研究和回應小組的資料庫。
  • 掃描結果
    掃描結果會是反惡意軟體定義在個別的檔案執行掃描的結果。
判定及掃描結果是只有相同的檔案傳送給 Microsoft,並分析師會檢閱之後。

注意即使 Microsoft 掃描結果顯示的檔案遭感染時判斷可能會顯示為 「 沒有決定 >。藉由使用泛用的演算法套用至一系列的惡意程式碼進行偵測時,就會發生這種情況。.Gen 檔案的副檔名會附加到惡意軟體,如"TrojanDownloader:Win32/Emerleox.gen"的檔案名稱所示的名稱時,可能會發生這種情況。在此情況下,決定不完全代表是否 Forefront 用戶端安全性可讓您決定檔案的惡意程式碼。

分析結果

分析完畢之後,另一則訊息會傳送至您所提供的電子郵件地址中。這封郵件包含的檔案的最後決定。如果 Microsoft 的反惡意軟體定義更新以回應這個送出,訊息也會包含下列資訊︰
  • 名稱,而且惡意軟體的類別。
  • 網際網路連結到這個惡意軟體潛在威脅的相關的線上百科全書項目。

    注意回應訊息傳送後被網際網路上出現的百科全書項目可能需要一段時間。
  • 定義包含這項威脅的相關資訊的版本。
  • 網際網路連結到包含的測試版定義檔的位置。

    注意請參閱 < beta="" 定義=""> 一節,如需詳細資訊。

Microsoft 客戶支援服務的送出

Microsoft 客戶支援服務可以傳送給 Microsoft 研究和回應小組的代表您的檔案。如果您有緊急的惡意程式碼的情況時,不能解決 Forefront 用戶端的安全性,我們建議您連絡客戶支援服務的說明。若要這樣做,請使用您在購買 Forefront 用戶端安全性時,您所提供的支援資訊。或者,請造訪下列 Microsoft 網站︰

提示的送出

Microsoft 研究和回應小組可能表示小組可以用於衍生出更多的資訊的檔案。如果您加入 Microsoft SpyNet 社群,而且如果 Forefront 的用戶端安全性偵測到有尚未進行分類的風險的電腦上的軟體,您可能會要求您傳送給 Microsoft SpyNet 的軟體的範例,進行分析。當系統提示您時,Forefront 用戶端的安全性就會顯示一份檔案,可協助您判斷軟體是否為惡意的分析師。您可以決定傳送部份或全部的檔案清單中。

是否使用群組原則設定加入至 Microsoft SpyNet 社群,forefront 用戶端安全性可讓系統管理員控制。如需有關如何執行這項操作,請參閱 Forefront 用戶端安全性系統管理指南的詳細資訊。

如何準備送出的檔案

當您處理可能會被歸類為惡意程式碼的檔案,請務必小心。加入使用密碼的壓縮的保存檔中的可疑的惡意軟體檔案。如此一來,您可以避免感染其他電腦,當這些檔案是在傳輸,或當您傳送檔案。若要新增檔案至封存檔使用的密碼,請依照下列步驟執行。

注意如果已安裝 WinZip 或類似的壓縮公用程式,您可用它來建立封存。不過,您必須使用相同的檔案名稱與密碼隨附於這些步驟。
  1. 在 [Windows 檔案總管] 中開啟包含可疑的惡意軟體檔案的資料夾。
  2. 在視窗中的空白區域按一下滑鼠右鍵,指向 [新增],然後按一下壓縮的 (zipped) 資料夾
  3. 請輸入malware.zip ,如果有命名新的封存檔案,然後按 ENTER 鍵。
  4. 當您會將它們拖到典型的 Windows 資料夾,則您可以放存檔可疑的惡意軟體檔案。
  5. 按兩下 [存檔]。
  6. 按一下 [檔案] 功能表的 [新增密碼]。
  7. 在 [密碼] 方塊中,鍵入感染
  8. 在 [確認密碼] 方塊中,感染,請重新輸入,然後按一下[確定]

Beta 定義

Microsoft 研究和回應小組更新惡意軟體的定義,以新威脅的資訊。然後小組會廣泛地測試新的定義。雖然這項測試會保護您的 Forefront 用戶端安全性的使用者身分,才能執行此測試的時間可能重要環境中的惡意軟體危機時。

因此,Microsoft 會讓您可以下載完整的測試版之前的全面測試的測試版定義變成可用。您可以快速地部署這個 beta 版定義,受感染的電腦。Beta 定義也有助於保護受感染的電腦立即判斷感染病毒的風險。Beta 定義而不是部署許多。我們建議,Forefront 用戶端安全性客戶不要部署它們除非客戶遭遇到明確建立的測試版的定義是惡意軟體潛在威脅。

如需詳細資訊,請參閱此 Microsoft 知識庫文件︰
939757如何下載 Forefront 用戶端安全性的最新的 beta 惡意軟體定義更新




本文將所述之產品製造協力廠商均與 Microsoft 無關。Microsoft 不對這些產品之其他相關效能或可靠性作出任何擔保或默示。