■ウイルス検体についてのアレコレ
│ ・ここに書いてある内容は2PCや1CD Linuxなどの環境があることを前提としています。
│ それがなければやっちゃだめ。
│ ROがインストールされてる環境で試すことは言語道断。
│ ・“ウイルスを検知したファイル”のことを“検体”と呼びます。
│ ・VirusTotalに通してみたら全然検出できなかったぞ!
│ という未知の検体があったら、検体を各社様へ送信しましょう。
│ 「と言ってもどこに提出すればいいんだろう?」
│ 「英語で書かなきゃだろうな、どうやって書けばいいんだろう?」
│ という方のために、LiveROセキュリティ対策、質問・雑談スレの
│ 797さまがまとめてくれましたので、以下転載(一部改変)。
└
■検体の提出先
│ 海外の会社がほとんどなので英文で送信するのが基本です。
│ ・メールで提出可能
│ Avira GmbH (AntiVir)
│ Dr.WEB (日本語で送信可能)
│ ESET (NOD32)
│ F-Secure (日本語で送信可能)
│ Grisoft (AVG Anti-Virus)
│ Kaspersky Lab
│ SOFTWIN (BitDefender)
│ CA (eTrust Vet)
│ CA (eTrust Antivirus)
│ ALWIL Software (avast!)
│ ・Webからの提出のみ?
│ Norman
│ Sophos
│ F-Prot
│ EMSI (日本語可能?)
│ ・御三家:ノートン
│ 専用の提出プログラム sarcret.exe (自家製メーラ)を拾って
│ それで送れ、ということなんだけど
│ 最近はプロバイダの迷惑メール規制でほぼ使い物にならない。
│ sarcretが送信するメールと同様のメールを作成して送ることもできるけど
│ やたらとめんどくさい(サブジェクト、本文、ファイル名などが固定)。
│ ということで英文フォーム。
│ zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
│ 図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。
│ ・御三家:McAfee
│ メールで送ることもできるけどzipパスワードが「infected」限定
│ (自動処理されるため他のパスワードは自動返信で蹴っ飛ばされる)。
│ またメールは対応が遅い。
│ ということで英文フォーム。
│ zipで固めてアップ。アカウントを取得しておくこと。
│ アップ後1分ほど待ってからMy Accountで結果が出る。
│ ・御三家:PC-cillin (ウイルスバスター)
│ 日本のトレンドマイクロは提出にウイルスバスターのシリアルが必要なので無視。
│ ということで英文フォーム。
│ の Suspicious file 。Session IDが付くのでブックマークは上記で。
│ このフォームはIEでしか動作しない(えー)。
│ ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んで
│ zipで固めてアップ。未知のものはそのまま受け入れられるが
│ 既知のものはアップ後ASPがエラーになるのですぐわかる(えー)。
│
│ ・英文例 (2chセキュ板をベース)
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.
<Attached file info>
Decompression password : virus
File name : virus.zip
In file : virus.exe
<Where did I get this?>
http://exmaple.com/virus.exe
<Aditional Info>
<OS>
Windows 2000 SP4
<Country>
Japan
<Detection possible other software>
NOD32 Win32.NULPO
NORTON Win32.GATTSU