ROセキュリティWiki

英文例

  • 検体提出用英文例 (2chセキュ板に掲載されたものをベースに作成)
    Hello.
    Threats may be included in the attached file.
    Please examine this.
    Details are as follows.
    Thanks in advance.
    
    <Attached file info>
    Decompression password : infected
    File name : malware.zip
    In file : malware.exe
    
    <Where did I get this?>
    http://exmaple.com/malware.exe
    
    <Aditional Info>
    
    <OS>
    Windows XP Professional SP3
    
    <Country>
    Japan
    
    <Other detectable software>
    Dr.WEB:BackDoor.Freak
    Kaspersky:Trojan-DDoS.Win32.Dest
    McAfee:BackDoor-FQ
    NOD32:Win32/Dest
    Panda:Trj/Freak88
    Symantec:Backdoor.Trojan
    Trend Micro:TROJ_DDOS.DESTC
  • 面倒くさい人は下記の文面でファイルのみ添付でもOK。(可能な限り上の文案推奨)
    • 検体送付
      • 件名:Malware または Threat あるいは Malicious software
      • 本文:件名と同文
    • 誤検知の疑い
      • 件名:False Positive
      • 本文:件名と同文
  • 添付するファイルの扱い
    • 基本的にzipで圧縮する(1ファイルずつフォームから投稿するベンダー等は圧縮しない)
    • 圧縮時は、原則的にはパスワードをかける。"virus", "infected" がよく使用され、一般的。
      • パスワードが無いと、受信時にフィルタリングされ、ファイルがベンダーに届かない可能性があるため。
    • メールの本文には、添付ファイル名と解凍パスワードを分かりやすく明記する。

メール可能な検体提出先(英文が基本)

Ahnlab(AhnLab-V3) <v3sos@ahnlab.com>
Aladdin(eSafe) <virus@aladdin.co.jp>
ALWIL Software(avast!) <virus@avast.com>
ArcaBit(ArcaVir) <virus@arcabit.com>
Antiy Labs <submit@virusview.net>
Authentium(Command Antivirus) <virus@authentium.com>
AVG Technologies(AVG Anti-Virus) <virus@avg.com>
Avira GmbH(AntiVir) <virus_malware@avira.com>
BitDefender <virus_submission@bitdefender.com>
CA(eTrust Vet) <support@vet.com.au>
Comodo <malwaresubmit@avlab.comodo.com>
Cat Computer Services(QuickHeal) <viruslab@quickheal.com>
Cybersoft(VFind) <virus@cybersoft.com>
Dr.WEB <vms@drweb.com>
EMSI(A-Squared) <submit@emsisoft.com>
ESET(NOD32) <samples@eset.com>
F-PROT <viruslab@f-prot.com>
F-Secure <samples@f-secure.co.jp>
Filseclab(Twister Anti-TrojanVirus) <virus@filseclab.com>
Fortinet <submitvirus@fortinet.com>
Greatis(RegRun Security Suite) <support@greatis.com>
Hacksoft(TheHacker) <virus@hacksoft.com.pe>
IKARUS Software(Ikarus) <samples@ikarus.at>
Jiangmin <virus@jiangmin.com>
K7Computing <k7viruslab@k7computing.com>
Kaspersky Lab <newvirus@kaspersky.com>
Lavasoft(Ad-Aware) <research@lavasoft.com>
McAfee <virus_research@avertlabs.com>
Microsoft(OneCare) <onecare@submit.microsoft.com>
MicroWorld Technologies(eScan) <samples@mwti.net>
MKS(mks_vir) <pomoc@mks.com.pl>
NANO Security(NANO Antivirus) <virus@nanoav.ru>
NictaTech Software<newvirus@nictasoft.com>
Panda(Panda Platinum) <virussamples@pandasecurity.com>
Prevx(Prevx3) <mike@prevx.com>
Proland Software(Protector Plus) <virsample@pspl.com>
SecureBrain(gred AntiVirusアクセラレータ) <avx-support@gred.jp>
Simply(Trojan Remover) <submit@simplysup.com>
Sophos <samples@sophos.co.jp>
SRN Micro(Solo Antivirus) <support@srnmicro.com>
SuperAntiSpyware <samples@superantispyware.com>
Sunbelt <malware-cruncher@sunbelt-software.com>
Sybari Software(Antigen) <submit_virus@research.sybari.com>
Symantec(Norton) <AVSubmit@symantec.com>
Trendmicro <trendlabs@av-emea.com>
VirusBlokAda(VBA32) <newvirus@anti-virus.by>
VirusBuster <virus@vbuster.hu>
  • 注意事項
    • ALWIL Software(avast!)は、パスワードが"virus"の方が良いが、他のパスでも受理はしてくれる。
    • BitDefender(Softwin)は、サイズ2MBまで。
    • DrWebは、パスワードが"virus"でないと自動処理ができない。
    • ESET(NOD32)は、ファイルをZIPかRARで圧縮、パスワードは"infected"または"virus"推奨
      • 嫌疑ファイル提出時のメールの件名は、"suspected infection""threat"としたほうが良い。
      • 誤検出ファイル提出時のメールの件名は、"false positive"としたほうが良い。
    • Fortinetは、パスワードは"infected"推奨。サイズは4MBまで(Webフォームは1MBまで)
    • Greatisは、送信タイトル"Sample_for_RegRun_testing"固定
    • Jiangminは、送信タイトル"Suspected Virus"固定、パスワードは"virus"固定
    • K7Computingは、他の宛先(to:)が多すぎると、エラーが発生して検体がK7まで届かない。
      • K7のアドレスを他の宛先より前に記述しておくと大丈夫かも。
    • Lavasoftは、パスワードなしで送信。
    • McAfeeは、パスワード"infected"固定,サイズ3MB,ファイル数30個まで
      • McAfeeの誤検出ファイル提出先は、宛先が違うので注意。
    • Microsoft(OneCareなど)は、ファイルをZIPで圧縮、パスワードは"infected"固定
    • NANO Security(NANO Antivirus)は、送信タイトル"virus"固定、パスワードは"123"固定
    • Panda Securityは、パスワードが"virus"の方がいいが、他のパスでも受理はしてくれる。
    • Prevxは、ファイルはZIP圧縮、パスワード"infected"固定。
    • Proland Softwareは、送信タイトルを"Virus Sample"とすること
      • タイトルが違うと解析チームまで検体が届かない可能性が高い。
    • SecureBrain(gred AntiVirusアクセラレータ)は、ファイルをZIPで圧縮、パスワードは"infected"固定
    • Simplyは、送信タイトル"File For Analysis"・パスワード"infected"固定
    • Sophosは、送信タイトル"Sample submitted for analysis"固定、ファイルはZIP圧縮。
      • パスワード保護されたZIPファイルをメールに添付し、パスワードをメールに記載すること。
      • 詳しくはこのページを参照されたい。
    • Symantec(Norton)は、サイズ10MB,ファイル数9個まで
      • 送信タイトルを"Submission"とすること。
    • Trendmicro(ウイルスバスター/PC-Cillin)はパスワード"virus"固定

  • 【おまけ】
    • ベンダーではないが、VirusTotalには、メールの添付ファイルを解析できる機能がある。
      ただし、下記のフォーマットで提出すること。
      • スキャンしたいファイルをメールに添付して下記の宛先に送ることで、そのファイルを解析できる。
      • 宛先:Virustotal<scan@virustotal.com>
      • 件名:SCAN
      • ただし、添付できるファイルの容量は 20MB まで。
      • なお、ファイルの解析結果は、メールで送られてくる。

削除された投稿先

  • エラーで届かない by 216@総合Lv.3
  • Webフォームの検体投稿窓口がなくなっていた(2008-12-27に確認)
    • Cat Computer Services(QuickHeal)
    • Ewido(AVG Anti-Spyware)
    • 上記2件とも、メールは届いているのでメールにて
  • 届かない(2009/01)
  • Rising Antivirus
    • 2009/01/23よりメール受付終了
    • サポートセンターを利用するよう自動返信がくる
    • Webフォームからの送信はまだ生きている模様
      • Webフォームへの直リンクが、ベンダーから削除されたこともあるので、今後はサポートセンター経由の方がいいかも
  • Ewido
  • 2009/03/05
    • Ahnlabのフォームは投稿してもグローバルのトップページにリダイレクトされるだけなので抹消
    • メールでは受け付けて貰えているはず
  • 2009/05/27
  • 2009-06-07
    • MicroWorld Technologies(eScan) <samples@mwti.net>
      • 返答をよこしていたアナライザ(Varghese Mathew)のアドレスに送っていたが検出結果の回答がこのアドレスから届いていた
      • この窓口に投稿変更後も対応してるので、今後はこちらで。
  • 2011-01-25

Webからの提出

Webフォームのみ

  • ClamAV
    • zipのパスワードは virus 固定
    • 3,145,728 bytes(3MB)未満でないとエラー
    • それより大きなものを送る時は、事前にメールで問い合わせが必要
  • Hauri(英文) (ハングルフォーム)
  • Kingsoft(日本語) (中文フォーム)
    • ファイルサイズ10MBまで
  • Malwarebytes
    Webフォーム:http://uploads.malwarebytes.org/
    • 25MBまで。ZIP圧縮推奨。パスワードなし?
  • Microsoft (Forfront Client Security/Live OneCare/WindowsDefender)
    • zipのパスワードは infected
  • Norman
    • 未圧縮のファイルを1づつ投稿
    • 投稿時には、必ず、Change Image!を1回クリックしてから入力しないと投稿に失敗する。
    • 誤検知提出先
      • 誤検知に関しては、アーカイブしたファイルの送信可能
      • 誤検知提出先アドレスに、検体を投稿しないように赤字で警告文がついている
  • nProtect
    • ファイルの添付不可能
  • Rising Antivirus
    • 消去したとのコメントがついていたので、フォームへの直リンクを中止
      英文フォーム:http://sample.rising-global.com/webmail/upload_en.htm
      • ファイルサイズ5MBまでと書いてあるが、実際は2MBまで
      • 圧縮ファイルのパスワードなし
    • サポートセンターSubmit a Ticketからファイルが送れる
      • 2009/01/23より、メールを出すと、サポートセンターを通すように自動返信が来るようになった
  • Sophos(英文フォーム) (日本語フォーム)
    • ファイルサイズ50MBまで
    • 日本語のフォームから送ると、自動返信メールがUTF-8(charset=Cp1252)で送られる為、文字化けする。
    • 英語サイトから英語圏の国(Ex."United Kingdom")を選択して送信すると英語での自動返信となるので文字化けしない。
    • ライセンスナンバーのない投稿については、解析結果の案内は行われない。
  • Trendmicro(ウイルスバスター PC-cillin)Suspicious file
    • Session IDが付くのでブックマークは上記で。
    • このフォームはIEでしか動作しないらしい
    • ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んでzipで固めてアップ
    • 厳密な容量は不明だが、大きいと送信に失敗する率が高いので、投稿サイズは2MBを目処に。
    • 現状、上記リンクからの提出が出来ず、Sumbmit a virusに記載のtrendlabs@av-emea.comでパスワード付きzip(password:virus)で受け付けている模様。
  • Zoner Antivirus
    • 未圧縮のファイルを1づつ投稿
    • ブラウザの表示サイズが小さいとフォーム内にカーソルが移動しないことがある。
  • MooSoft(The Cleaner)
    • zipまたはrar形式のみ受付。実行ファイル形式は受付せず。

Webフォーム または メール

  • ArcaBit(ArcaVir)
  • Avira(AntiVir)
  • Dr.WEBWebフォーム(英文)Webフォーム(露文)
    • Dr.WEB <vms@drweb.com>
    • 7MBまで(メールの場合、MIMEエンコード後のサイズなので、実質5MB程度)
  • EMSI(A-Squared)
    • EMSI(A-Squared) <submit@emsisoft.com>
    • 誤認情報はこちら False alerts : <fp@emsisoft.com>
    • フォームへの投稿文に < > の文字列があると、htmlの構文と間違われ投稿に失敗する
  • Fortinet オンラインスキャナ 兼 検体提出
    • zipで固めて、パスワードinfectedのファイルも自動処理OK
    • ファイルサイズ1MBまで
    • Fortinet <submitvirus@fortinet.com>
      • メールでは4MBまで受付
  • F-Prot(FRISK Software)
    • フォームが死んでいる時はメール(F-PROT Viruslab <viruslab@f-prot.com>)に送付
    • フォームはほぼ確実に死んでるので、最初からメールで送ったほうが良さそうです
  • Lavasoft(Ad-Aware)
    • Lavasoft(Ad-Aware) <research@lavasoft.com>
    • フォームは20MBまで
    • 20MB以上はメールで
    • パスワードをかけないZIPで送付
  • McAfee
    • アカウントを取得しておくこと。
    • zipで固めてアップ。
    • アップ後1分ほど待ってからMy Accountで結果が出る。
    • McAfee <virus_research@avertlabs.com>
  • NictaTech Software<newvirus@nictasoft.com>
  • Sunbelt Software <malware-cruncher@sunbelt-software.com>
  • Symantec(Norton)
    • Symantec(Norton) <AVSubmit@symantec.com>
    • zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
    • 図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。
    • サイズは10MBまで。
      • 転送に時間がかかると、Captcha が合っていてもエラーになるので、10MBの送信は難しいかも
    • 送信するファイル内に含めていいのは9ファイルまで
      • 9ファイルで送信しても、ファイル数多すぎエラーで返ってくることがあるので、
        内部のパス無しZIPの内部ファイルか、フォルダもカウントされてる可能性あり
      • 裏技として、7zのパスワードなしで固めたものを、パス付きのZIPで圧縮しなおして送れば詰め放題
      • 解凍できないとか言ってくる心配があるので、7zの圧縮は自己解凍のが無難?
      • 7zのソリッド圧縮を使うとかなり圧縮率が高くなる為、送信時間的にも有利
      • 二重圧縮にしない方が、対応速度は早いかもしれない
  • Proland Software
    • Proland Software(Protector Plus) <virsample@pspl.com>
      • タイトルは「Virus Sample」固定。
  • VirusDoctor Jiangmin
  • VirusBuster

その他

  • PC Tools/Spyware Doctor
    • PC Tools Limited <support@pctools.com>に問い合わせたところ、登録ユーザ以外の受付窓口なしとの返答(2008/12/30)
  • 他の宛先に提出すれば対応してくれるベンダー
    • ウイルスチェイサー
      • Dr.Webの検索エンジンを使用しているので、Dr.Web<vms@drweb.com>宛に提出すればOK。
    • ウイルスセキュリティZERO
    • ウイルスキラー
      • Rising Technology宛に送付
    • Webroot Software(Spy Sweeper)
      • Sophosに提出するか、VirusTotalに提出して下さいとの返答(2009-01-02)
      • Webroot Software(Spy Sweeper) <japansupport@webroot.com>でも一応受付可
    • GFI Software
      • Kaspersky, McAfee, NORMAN, bitdefender, AVG(5種類)の検索エンジンを使用している。
      • そのため、各ベンダーに提出すればOK。

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2012-05-17 Thu 21:02:21 JST (2684d)