如何將傳送到 Microsoft 的惡意程式碼分析

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:939288
結論
當您懷疑檔案或程式是惡意時,您可以傳送檔案給 Microsoft 研究和回應小組進行分析。惡意的檔案或程式 (惡意程式) 可能包含病毒、 間諜軟體、 病蟲和廣告軟體。此外,如果您使用的 Microsoft Forefront 用戶端安全性,您可以指定此程式決定檔案是惡意的方式。

本文將告訴您可以使用惡意程式碼檔案傳送給 Microsoft,進行分析的方法。本文也說明如何準備送出的檔案。
簡介
本文將告訴您可以使用惡意程式碼檔案傳送給 Microsoft,進行分析的方法。
其他相關資訊
您可以使用下列方法之一將惡意程式碼檔案傳送到 Microsoft,進行分析:
  • 以 web 為基礎的送出
  • Microsoft 客戶支援服務的送出
  • 提示送出
如果您懷疑檔案或程式可能會惡意 (例如,您可疑的檔案或程式是病毒、 蠕蟲、 間諜軟體或廣告軟體),您可以使用這些方法。如需有關如何將傳送到 Microsoft 的惡意軟體檔案進行分析的詳細資訊,請參閱 「 網頁送出 」 一節、 「 送出的 Microsoft 客戶支援服務 」 區段中或 「 提示送出 」 一節。

以 web 為基礎的送出

將檔案傳送到 Microsoft 進行分析使用 Web,請造訪下列 Microsoft 網站:遵循惡意程式碼防護中心,若要準備的封存檔案,包含您想要傳送的可疑的惡意軟體檔案的 [送出範例 」 一節中的步驟。

回應訊息

Microsoft 會傳送回應訊息中的封存檔案包含的檔案清單。Microsoft 已經已經分析您所傳送的檔案,如果第一個回應訊息會包含每個檔案所做的決定。如果 Microsoft 有未分析檔案,或您指示檔案不正確地判定為惡意軟體,Microsoft 會分析檔案。

若要正確地瞭解回應訊息,您必須了解訂立和掃描結果之間的差異。

判斷和掃描結果之間的差異

  • 判斷
    判斷是與特定的檔案相關聯。Microsoft 分析判斷,並輸入研究和回應小組的資料庫。
  • 掃描結果
    掃描結果是反惡意軟體定義在個別的檔案執行掃描的結果。
判定及掃描結果是只有相同的檔案傳送給 Microsoft,並檢閱分析師之後。

注意即使 Microsoft 掃描結果會顯示檔案遭感染時判斷可能會顯示為 「 沒有決定 」。藉由使用泛用的演算法,會套用至一系列的惡意程式碼進行偵測時,就會發生這種情況。.Gen 檔案的副檔名會附加至惡意的軟體,例如"TrojanDownloader:Win32/Emerleox.gen"檔案名稱的名稱時,可能會發生這種情況。在此情況下,決定不完全代表是否 Forefront 用戶端安全性決定檔案的惡意程式碼。

分析結果

分析完畢之後,另一則訊息會傳送至您所提供的電子郵件地址。這封郵件包含檔案最後決定。如果 Microsoft 反惡意軟體定義更新以回應這個送出,訊息也會包含下列資訊:
  • 名稱,而且惡意軟體的類別。
  • 網際網路連結到這個惡意軟體潛在威脅的相關的線上百科全書項目。

    注意回應訊息傳送後被網際網路上出現的百科全書項目可能需要很短的時間。
  • 定義包含這項威脅的相關資訊的版本。
  • 網際網路連結到包含 beta 版定義檔的位置。

    注意請參閱 「 Beta 定義 「 如需詳細資訊。

Microsoft 客戶支援服務的送出

Microsoft 客戶支援服務可以將您的名義上的檔案傳送給 Microsoft 研究和回應小組。如果您有緊急的惡意程式碼的情況時,Forefront 用戶端安全性不能解決,我們建議您連絡客戶支援服務的說明。若要這樣做,請使用您在購買 Forefront 用戶端安全性時提供給您的支援資訊。或者,請造訪下列 Microsoft 網站:

提示送出

Microsoft 研究和回應小組可能會指出小組可以衍生出更多的資訊的檔案。如果您加入 Microsoft SpyNet 社群,而且如果 Forefront 用戶端安全性偵測到有尚未進行分類的風險的電腦上的軟體,您可能會要求您傳送給 Microsoft SpyNet 軟體的範例,進行分析。當系統提示您時,Forefront 用戶端安全性就會顯示一份檔案,可協助您判斷是否為惡意軟體的分析師。您可以決定傳送部份或全部的檔案清單中。

是否使用群組原則設定加入至 Microsoft SpyNet 社群,forefront 用戶端安全性可讓系統管理員控制。如需有關如何執行這項操作的詳細資訊,請參閱 Forefront 用戶端安全性系統管理指南 》。

如何準備送出的檔案

當您處理可能會被歸類為惡意程式碼的檔案,請務必小心。使用密碼壓縮的保存檔案中加入可疑的惡意軟體檔案。藉由這樣做,您可以避免感染其他電腦,當這些檔案是在傳輸或當您傳送檔案。要將檔案新增至使用密碼的封存檔案,請依照下列步驟執行。

注意如果已安裝 WinZip 或類似的壓縮公用程式,您可用它來建立封存。不過,您必須使用相同的檔案名稱,請按照這些步驟包含相同的密碼。
  1. 在 Windows 檔案總管] 中開啟包含可疑的惡意軟體檔案的資料夾。
  2. 在視窗中的空白區域上按一下滑鼠右鍵,指向 [新增],然後按一下壓縮的 (zipped) 資料夾
  3. 型別 malware.zip 若要命名新的封存檔案,然後按 ENTER 鍵。
  4. 當您想放到典型的 Windows 資料夾,則您可以放封存檔案可疑的惡意軟體檔案。
  5. 按兩下 [封存檔案]。
  6. 按一下 [檔案] 功能表的 [新增密碼]。
  7. 在 [密碼] 方塊中,輸入 感染.
  8. 在 [確認密碼] 方塊中,請重新輸入 感染然後按一下[確定]

Beta 版定義

Microsoft 研究和回應小組的潛在威脅的新資訊更新惡意軟體的定義。然後小組會廣泛地測試新的定義。雖然這項測試會保護您的 Forefront 用戶端安全性的使用者身分,才能執行此測試的時間可能重要環境中的惡意軟體危機。

因此,Microsoft 會讓您可以下載完整的測試版之前的部分測試的測試版定義變成可用。您可以快速將這個 beta 版定義部署受感染的電腦。Beta 版定義也可能會協助保護受感染的電腦立即受感染的風險。Beta 版定義而不是部署許多。我們建議您 Forefront 用戶端安全性客戶不要部署它們除非客戶遭遇到惡意軟體潛在威脅,明確地建立 beta 定義了。

如需詳細資訊,請參閱此 Microsoft 知識庫 」 文件:
939757 如何下載 Forefront 用戶端安全性的最新的 beta 版的惡意軟體定義更新



本文將所述之產品製造協力廠商均與 Microsoft 無關。Microsoft 不對這些產品之其他相關效能或可靠性作出任何擔保或默示。
病毒防毒位

警告:本文為自動翻譯

內容

文章識別碼:939288 - 最後檢閱時間:10/18/2014 06:59:00 - 修訂: 2.0

  • kbhowto kbmt KB939288 KbMtzh
意見反應