[[ROセキュリティWiki]]

**英文例 [#m0b09e07]
-検体提出用英文例 (2chセキュ板に掲載されたものをベースに作成)
 Hello.
 Threats may be included in the attached file.
 Please examine this.
 Details are as follows.
 Thanks in advance.
 
 <Attached file info>
 Decompression password : infected
 File name : malware.zip
 In file : malware.exe
 
 <Where did I get this?>
 http://exmaple.com/malware.exe
 
 <Aditional Info>
 
 <OS>
 Windows XP Professional SP3
 
 <Country>
 Japan
 
 <Other detectable software>
 Dr.WEB:BackDoor.Freak
 Kaspersky:Trojan-DDoS.Win32.Dest
 McAfee:BackDoor-FQ
 NOD32:Win32/Dest
 Panda:Trj/Freak88
 Symantec:Backdoor.Trojan
 Trend Micro:TROJ_DDOS.DESTC

-面倒くさい人は下記の文面でファイルのみ添付でもOK。(可能な限り上の文案推奨)
--検体送付
---件名:&color(red){''Malware''}; または &color(red){''Threat''}; あるいは &color(red){''Malicious software''};
---本文:件名と同文
--誤検知の疑い
---件名:&color(red){''False Positive''};
---本文:件名と同文

-添付するファイルの扱い
--基本的にzipで圧縮する(1ファイルずつフォームから投稿するベンダー等は圧縮しない)
--圧縮時は、原則的にはパスワードをかける。&color(red){''"virus"''};, &color(red){''"infected"''}; がよく使用され、一般的。
---パスワードが無いと、受信時にフィルタリングされ、ファイルがベンダーに届かない可能性があるため。
--メールの本文には、添付ファイル名と解凍パスワードを分かりやすく明記する。

**メール可能な検体提出先(英文が基本) [#uf53c53b]
 Ahnlab(AhnLab-V3) <v3sos@ahnlab.com>
 Aladdin(eSafe) <virus@aladdin.co.jp>
 ALWIL Software(avast!) <virus@avast.com>
 ArcaBit(ArcaVir) <virus@arcabit.com>
 Antiy Labs <submit@virusview.net>
 Authentium(Command Antivirus) <virus@authentium.com>
 AVG Technologies(AVG Anti-Virus) <virus@avg.com>
 Avira GmbH(AntiVir) <virus_malware@avira.com>
 BitDefender <virus_submission@bitdefender.com>
 CA(eTrust Vet) <support@vet.com.au>
 Comodo <malwaresubmit@avlab.comodo.com>
 Cat Computer Services(QuickHeal) <viruslab@quickheal.com>
 Cybersoft(VFind) <virus@cybersoft.com>
 Dr.WEB <vms@drweb.com>
 EMSI(A-Squared) <submit@emsisoft.com>
 ESET(NOD32) <samples@eset.com>
 F-PROT <viruslab@f-prot.com>
 F-Secure <samples@f-secure.co.jp>
 Filseclab(Twister Anti-TrojanVirus) <virus@filseclab.com>
 Fortinet <submitvirus@fortinet.com>
 Greatis(RegRun Security Suite) <support@greatis.com>
 Hacksoft(TheHacker) <virus@hacksoft.com.pe>
 IKARUS Software(Ikarus) <samples@ikarus.at>
 Jiangmin <virus@jiangmin.com>
 K7Computing <k7viruslab@k7computing.com>
 Kaspersky Lab <newvirus@kaspersky.com>
 Lavasoft(Ad-Aware) <research@lavasoft.com>
 McAfee <virus_research@avertlabs.com>
 Microsoft(OneCare) <onecare@submit.microsoft.com>
 MicroWorld Technologies(eScan) <samples@mwti.net>
 MKS(mks_vir) <pomoc@mks.com.pl>
 NANO Security(NANO Antivirus) <virus@nanoav.ru>
 NictaTech Software<newvirus@nictasoft.com>
 Panda(Panda Platinum) <virussamples@pandasecurity.com>
 Prevx(Prevx3) <mike@prevx.com>
 Proland Software(Protector Plus) <virsample@pspl.com>
 SecureBrain(gred AntiVirusアクセラレータ) <avx-support@gred.jp>
 Simply(Trojan Remover) <submit@simplysup.com>
 Sophos <samples@sophos.co.jp>
 SRN Micro(Solo Antivirus) <support@srnmicro.com>
 SuperAntiSpyware <samples@superantispyware.com>
 Sunbelt <malware-cruncher@sunbelt-software.com>
 Sybari Software(Antigen) <submit_virus@research.sybari.com>
 Symantec(Norton) <AVSubmit@symantec.com>
 Trendmicro <trendlabs@av-emea.com>
 VirusBlokAda(VBA32) <newvirus@anti-virus.by>
 VirusBuster <virus@vbuster.hu>

-注意事項
--ALWIL Software(avast!)は、&color(red){パスワードが''"virus"''};の方が良いが、他のパスでも受理はしてくれる。
--BitDefender(Softwin)は、&color(red){サイズ2MB};まで。
--DrWebは、&color(red){パスワードが''"virus"''};でないと自動処理ができない。
--ESET(NOD32)は、&color(red){ファイルをZIPかRARで圧縮、パスワードは''"infected"''または''"virus"''推奨};。
---嫌疑ファイル提出時のメールの件名は、&color(red){''"suspected infection"'' か ''"threat"''};としたほうが良い。
---誤検出ファイル提出時のメールの件名は、&color(red){''"false positive"''};としたほうが良い。
--Fortinetは、&color(red){パスワードは''"infected"''推奨。サイズは4MBまで(Webフォームは1MBまで)};。
--Greatisは、&color(red){送信タイトル''"Sample_for_RegRun_testing"''固定};。
--Jiangminは、&color(red){送信タイトル''"Suspected Virus"固定、パスワードは''"virus"固定};。
--K7Computingは、他の宛先(to:)が多すぎると、エラーが発生して検体がK7まで届かない。
---K7のアドレスを他の宛先より前に記述しておくと大丈夫かも。
--Lavasoftは、&color(red){パスワードなし};で送信。
--McAfeeは、&color(red){パスワード''"infected"''固定,サイズ3MB,ファイル数30個まで};。
---McAfeeの誤検出ファイル提出先は、宛先が違うので注意。
--Microsoft(OneCareなど)は、&color(red){ファイルをZIPで圧縮、パスワードは''"infected"''固定};。
--NANO Security(NANO Antivirus)は、&color(red){送信タイトル''"virus"固定、パスワードは''"123"固定};。
--Panda Securityは、&color(red){パスワードが''"virus"''};の方がいいが、他のパスでも受理はしてくれる。
--Prevxは、&color(red){ファイルはZIP圧縮、パスワード''"infected"''固定。};
--Proland Softwareは、&color(red){送信タイトルを''"Virus Sample"''とすること};。
---タイトルが違うと解析チームまで検体が届かない可能性が高い。
--SecureBrain(gred AntiVirusアクセラレータ)は、&color(red){ファイルをZIPで圧縮、パスワードは''"infected"''固定};。
--Simplyは、&color(red){送信タイトル''"File For Analysis"''・パスワード''"infected"''固定};。
--Sophosは、&color(red){送信タイトル''"Sample submitted for analysis"''固定、ファイルはZIP圧縮。};
---パスワード保護されたZIPファイルをメールに添付し、パスワードをメールに記載すること。
---詳しくは[[このページ>http://www.sophos.co.jp/support/knowledgebase/article/11490.html]]を参照されたい。
--Symantec(Norton)は、&color(red){サイズ10MB,ファイル数9個まで};。
---送信タイトルを&color(red){''"Submission"''};とすること。
--Trendmicro(ウイルスバスター/PC-Cillin)は&color(red){パスワード''"virus"''固定};。
~
-【おまけ】
--ベンダーではないが、''VirusTotal''には、メールの添付ファイルを解析できる機能がある。
ただし、下記のフォーマットで提出すること。
---スキャンしたいファイルをメールに添付して下記の宛先に送ることで、そのファイルを解析できる。
---宛先:''Virustotal''<scan@virustotal.com>
---件名:SCAN
---ただし、添付できるファイルの容量は 20MB まで。
---なお、ファイルの解析結果は、メールで送られてくる。
*** 削除された投稿先 [#q97a2cff]
//-2008/3/14以降、アドレスなしでメールが戻ってくるので抹消
//--Prevx(Prevx1) <virus@prevxresearch.com>
//--問い合わせたところ、VirusTotalに投げてくれとの返答(2008/03/18)
//--[[VirusTotal>http://www.virustotal.com/jp/]]にファイルをアップロード
// Hi,
// Please upload it at www.virustotal.com.
// Regards,
// Prevx Support
//--再度問い合わせたところ、下記の指示が来たので、修正(2009/06/07)
//--Prevx(Prevx3) <mik@prevx.com>
// Hi,
// Please send to mik@prevx.com. 
// Please zip these and password protect. "infected"
// Regards. 
// Prevx Support
-エラーで届かない by 216@総合Lv.3
--Bit9(FileAdvisor) <fileadvisor@bit9.com>
--CA(eTrust Antivirus) <virus@ca.com>
-Webフォームの検体投稿窓口がなくなっていた(2008-12-27に確認)
--Cat Computer Services(QuickHeal)
--Ewido(AVG Anti-Spyware)
--上記2件とも、メールは届いているのでメールにて
-届かない(2009/01)
--MKS Sp(mks_vir) <wirus@mks.com.pl>
-Rising Antivirus
--2009/01/23よりメール受付終了
--[[サポートセンター>http://support.rising-global.com/]]を利用するよう自動返信がくる
--Webフォームからの送信はまだ生きている模様
---Webフォームへの直リンクが、ベンダーから削除されたこともあるので、今後はサポートセンター経由の方がいいかも
-Ewido
--情報が古かったので修正
--[[サポートFAQ>http://www.avg.com/faq.num-1067#faq_1067]]の771「What to do when I suspect any file it is infected?」
--Ewido(AVG Anti-Spyware) <submit@ewido.net> → AVG Technologies(AVG Anti-Spyware) <virus@avg.com>
-2009/03/05
--Ahnlabのフォームは投稿してもグローバルのトップページにリダイレクトされるだけなので抹消
--メールでは受け付けて貰えているはず
-2009/05/27
--BitDefenderは<support@bitdefender.com>と<virus_submission@bitdefender.com>の宛て先があったが、次からはvirus_submissionの方へお願いしますというメールが届いたので、修正。
-2009-06-07
--MicroWorld Technologies(eScan) <samples@mwti.net>
---返答をよこしていたアナライザ(Varghese Mathew)のアドレスに送っていたが検出結果の回答がこのアドレスから届いていた
---この窓口に投稿変更後も対応してるので、今後はこちらで。
-2011-01-25
--Ahnlab Support(AhnLab-V3) <e-support@ahnlab.com> または Ahnlab Customer(AhnLab-V3) <ahnlabcustomer@ahnlab.co.jp> は抹消
---検体提出の返事より、E-mail<v3sos@ahnlab.com>に修正
---[[Virus Report>http://global.ahnlab.com/en/site/support/virusreport/virusReport.do]]も案内されたが、IDとパスが必要なので記載せず


**Webからの提出 [#lf0078a0]
***Webフォームのみ [#lb95c917]
-[[ClamAV>http://cgi.clamav.net/sendvirus.cgi]] 
--zipの&color(red){パスワードは virus 固定};。
--&color(red){3,145,728 bytes(3MB)未満};でないとエラー
--それより大きなものを送る時は、事前にメールで問い合わせが必要
-[[Hauri(英文)>http://www.hauri.net/support/virus_report.html?menu=QTAy]] ([[ハングルフォーム>http://hauri.co.kr/support/service/virus_reg.html]])
-[[Kingsoft(日本語)>http://www.kingsoft.jp/is/kentai.html]] ([[中文フォーム>http://up.duba.net/]])
--ファイルサイズ10MBまで
-Malwarebytes
Webフォーム:http://uploads.malwarebytes.org/
--25MBまで。ZIP圧縮推奨。パスワードなし?
-[[Microsoft>https://www.microsoft.com/security/portal/submit.aspx]] (Forfront Client Security/Live OneCare/WindowsDefender)
--zipの&color(red){パスワードは infected};
-[[Norman>http://www.norman.com/security_center/security_tools/submit_file/en]]
--未圧縮の&color(red){ファイルを1づつ投稿};。
--投稿時には、必ず、Change Image!を1回クリックしてから入力しないと投稿に失敗する。
--[[誤検知提出先>http://www.norman.com/support/fp/en]]
---誤検知に関しては、アーカイブしたファイルの送信可能
---誤検知提出先アドレスに、検体を投稿しないように赤字で警告文がついている
-[[nProtect>http://www.gameguard.jp/user/user-0.asp]]
--ファイルの添付不可能
//−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
//-Rising Antivirus (http://up.rising.com.cn.REMOVE_THIS/)
//--Rising Antivirus <support@rising-global.com>
//--ファイルサイズ5MBまで
//--&color(red){パスワードなし};で圧縮しないと駄目
//−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
-Rising Antivirus
--消去したとのコメントがついていたので、フォームへの直リンクを中止
 英文フォーム:http://sample.rising-global.com/webmail/upload_en.htm
---ファイルサイズ5MBまでと書いてあるが、&color(red){実際は2MBまで};。
---圧縮ファイルの&color(red){パスワードなし};
--[[サポートセンター>http://support.rising-global.com/]]の[[Submit a Ticket>http://support.rising-global.com/index.php?_m=tickets&_a=submit]]からファイルが送れる
---2009/01/23より、メールを出すと、[[サポートセンター>http://support.rising-global.com/]]を通すように自動返信が来るようになった
-[[Sophos(英文フォーム)>http://www.sophos.com/support/samples/]] ([[日本語フォーム>http://www.sophos.co.jp/support/samples/]])
--ファイルサイズ50MBまで
--日本語のフォームから送ると、自動返信メールがUTF-8(charset=Cp1252)で送られる為、文字化けする。
--&color(red){英語サイトから英語圏の国(Ex."United Kingdom")を選択して送信する};と英語での自動返信となるので文字化けしない。
--ライセンスナンバーのない投稿については、解析結果の案内は行われない。
-[[Trendmicro(ウイルスバスター PC-cillin)>http://subwiz.trendmicro.com/]]の ''Suspicious file''
--Session IDが付くのでブックマークは上記で。
--このフォームはIEでしか動作しないらしい
--ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んでzipで固めてアップ
--厳密な容量は不明だが、大きいと送信に失敗する率が高いので、&color(red){投稿サイズは2MBを目処に。};
--現状、上記リンクからの提出が出来ず、[[Sumbmit a virus>http://uk.trendmicro.com/uk/threats/enterprise/security-library/submit-a-virus/]]に記載のtrendlabs@av-emea.comでパスワード付きzip(password:virus)で受け付けている模様。
//パスワード付き圧縮だとエラーにならないのでこの項目削除
//--既知のものはアップ後ASPがエラーになるのですぐわかる
-[[Zoner Antivirus>http://zonerantivirus.com/zaslani-vzorku-k-overeni]]
--未圧縮の&color(red){ファイルを1づつ投稿};。
//--圧縮済の検体を送るとエラーメールが帰ってくる。(最近[2009-01]はエラーメール来ない)
--ブラウザの表示サイズが小さいとフォーム内にカーソルが移動しないことがある。
-[[MooSoft(The Cleaner)>http://www.moosoft.com/TheCleaner/WebSubmit]]
--zipまたはrar形式のみ受付。実行ファイル形式は受付せず。
***Webフォーム または メール [#z94852f1]
-[[ArcaBit(ArcaVir)>http://www.arcabit.com/send.html]]
--ArcaBit(ArcaVir) <virus@arcabit.com>
-[[Avira(AntiVir)>http://analysis.avira.com/]]
--Avira(AntiVir) <virus@avira.com>
-Dr.WEB[[Webフォーム(英文)>http://vms.drweb.com/sendvirus/?lng=en]]([[Webフォーム(露文)>http://support.drweb.com/sendnew/]])
--Dr.WEB <vms@drweb.com>
--7MBまで(メールの場合、MIMEエンコード後のサイズなので、実質5MB程度)
-[[EMSI(A-Squared)>http://www.emsisoft.jp/jp/support/submit/]]
--EMSI(A-Squared) <submit@emsisoft.com>
--誤認情報はこちら False alerts : <fp@emsisoft.com>
--フォームへの投稿文に < > の文字列があると、htmlの構文と間違われ投稿に失敗する
-[[Fortinet>http://www.fortinet.co.jp/support/virus_scanner.html]] オンラインスキャナ 兼 検体提出
--zipで固めて、パスワードinfectedのファイルも自動処理OK
--&color(red){ファイルサイズ1MB};まで
--Fortinet <submitvirus@fortinet.com>
---メールでは4MBまで受付
//−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
//	2008-12-27フォームがなくなって、メール受付のみになっていた
//-[[Ewido(AVG Anti-Spyware)>http://www.ewido.net/en/malware/]]
//--Ewido(AVG Anti-Spyware)<submit@ewido.net>
//--ここは説明文が長過ぎるとエラーになるので注意
//-[[Cat Computer Services(QuickHeal)>http://www.quickheal.com/esupport/index.php?_m=tickets&_a=submit]]
//--Cat Computer Services(QuickHeal) <support@quickheal.com>
//−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
-[[F-Prot(FRISK Software)>http://www.f-prot.com/virusinfo/submission_form.html]]
--フォームが死んでいる時はメール(F-PROT Viruslab <viruslab@f-prot.com>)に送付
--フォームはほぼ確実に死んでるので、最初からメールで送ったほうが良さそうです
-[[Lavasoft(Ad-Aware)>http://upload.lavasoft.com/upload/submit_file.php]]
--Lavasoft(Ad-Aware) <research@lavasoft.com>
--フォームは20MBまで
--20MB以上はメールで
--パスワードをかけないZIPで送付
-[[McAfee>https://www.webimmune.net/]]
--アカウントを取得しておくこと。
--zipで固めてアップ。
--アップ後1分ほど待ってからMy Accountで結果が出る。
--McAfee <virus_research@avertlabs.com>
---誤検出送付先:McAfee False Positive <spyware_research@avertlabs.com>
---&color(red){誤検出はメールタイトルに"MAS Content"};と入れること
-NictaTech Software<newvirus@nictasoft.com>
--[[検体提出フォーム>http://www.nictasoft.com/new-virus/]]
--10MBまで。パスワード指定なし?
-Sunbelt Software <malware-cruncher@sunbelt-software.com>
--[[検体提出フォーム>http://research.sunbelt-software.com/software_submission.aspx]]
--[[サンドボックス>http://research.sunbelt-software.com/Submit.aspx]] 単品を投稿
--&color(red){12,288KB(12MB)未満};のファイルのみ
--フォームへの投稿文に < > の文字列があると、htmlの構文と間違われ投稿に失敗する
-[[Symantec(Norton)>https://submit.symantec.com/websubmit/retail.cgi]]
--Symantec(Norton) <AVSubmit@symantec.com>
--zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
--図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。
--サイズは10MBまで。
---転送に時間がかかると、Captcha が合っていてもエラーになるので、10MBの送信は難しいかも
--送信するファイル内に含めていいのは&color(red){9ファイルまで};。
---9ファイルで送信しても、ファイル数多すぎエラーで返ってくることがあるので、
内部のパス無しZIPの内部ファイルか、フォルダもカウントされてる可能性あり
---裏技として、7zのパスワードなしで固めたものを、パス付きのZIPで圧縮しなおして送れば詰め放題
---解凍できないとか言ってくる心配があるので、7zの圧縮は自己解凍のが無難?
---7zのソリッド圧縮を使うとかなり圧縮率が高くなる為、送信時間的にも有利
---二重圧縮にしない方が、対応速度は早いかもしれない
-[[Proland Software>http://www.pspl.com/support/samplesubmit.htm]]
--Proland Software(Protector Plus) <virsample@pspl.com>
---タイトルは「Virus Sample」固定。
-VirusDoctor [[Jiangmin>http://virusup.jiangmin.com/]]
--VirusDoctor <labo@virusdoctor.jp>
--Jiangmin <virus@jiangmin.com>
-[[VirusBuster>https://support.virusbuster.hu/index.php?_m=tickets&_a=submit&step=1&departmentid=4]]
--VirusBuster <virus@vbuster.hu>

***その他 [#mee3f8cf]
// 2009-06-07の問い合わせで、投稿先メールアドレスの指定があったのでこの項目抹消
//-Prevx
//--[[VirusTotal>http://www.virustotal.com/jp/]]にファイルをアップロード

-PC Tools/Spyware Doctor
--PC Tools Limited <support@pctools.com>に問い合わせたところ、登録ユーザ以外の受付窓口なしとの返答(2008/12/30)

-他の宛先に提出すれば対応してくれるベンダー
--ウイルスチェイサー
---''Dr.Web''の検索エンジンを使用しているので、''Dr.Web''<vms@drweb.com>宛に提出すればOK。
--ウイルスセキュリティZERO
---''K7Computing''<k7viruslab@k7computing.com>宛に送付
--ウイルスキラー
---''Rising Technology''宛に送付
--Webroot Software(Spy Sweeper)
---''Sophos''に提出するか、''VirusTotal''に提出して下さいとの返答(2009-01-02)
---''Webroot Software(Spy Sweeper) ''<japansupport@webroot.com>でも一応受付可
--GFI Software
---''Kaspersky'', ''McAfee'', ''NORMAN'', ''bitdefender'', ''AVG''(5種類)の検索エンジンを使用している。
---そのため、各ベンダーに提出すればOK。

トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS