Ameaças não tratadas

Quando o ambiente é infectado por uma ameaça não tratada (detectada pelo VirusScan ou não), deve-se seguir os seguintes passos para colher a amostra da ameaça, gerar uma vacina especial para trata-la e distribuí-la no ambiente:

Passo 1: Identificar o executável da ameaça

  • Além de analisar as últimas alterações de arquivos, processos e registros na máquina infectada procurando pelo executável responsável, pode-se fazer uso das ferramentas listadas no KB70157 (https://kc.mcafee.com/corporate/index?page=content&id=KB70157), que podem auxiliar nessa tarefa.

Passo 2: Submeter a ameaça encontrada ao Mcafee Labs

  • Deve-se comprimir e nomear o arquivo de modo específico para a URL do Mcafee Labs, todos os detalhes estão reunidos no KB68030 (https://kc.mcafee.com/corporate/index?page=content&id=KB68030)

Passo 3: Como descrito no KB mencionado no Passo 2, para a ameaça postada será gerada uma Extra DAT, que ficará disponível para download. Após o download faça o check in da vacina e agende uma tarefa de atualização para as estações gerenciadas. 

  • Para fazer manualmente o check in da Extra DAT e distribuir via ePO:
    • Veja abaixo como proceder caso seja necessário combinar várias Extra DATs antes de fazer o check in
    •  Logue na console de gerenciamento ePO e clique MenuSoftwareMaster Repository.
      1. Clique Actions e selecione Check In Package.
      2. Selecione extra.DAT.
      3. Clique Browse e localize a extra.DAT, então clique Open.
      4. Clique Next. Clique Next e então Save
      5. Se você tem repositório distribuído rode uma tarefa de replicação: Repository Replication.
      6. Crie uma nova tarefa de atualização (ou reagende uma existente) ePolicy Orchestrator Agent Update, e marque a execução para  Run Immediately.
      7. Execute uma tarefa de Agent Wakeup para que as estações recebam a tarefa de atualização de extra.DAT.
  • Para aplicar Extra DAT localmente VirusScan Enterprise 8.x:
    • Clique IniciarProgramas, McAfeeVirusScan EnterpriseVirusScan Console. Botão direito em Access Protection e selecione Disable.
    • Clique IniciarExecutar, digite services.msc, e clique OK.
    • Botão direito em McAfee McShield e selecione Parar.
    • Copie o arquivo da Extra.DAT para a seguinte localização:
      • Instalação 32-bit
        • <Drive de instalação>\Arquivo de Programas\Common Files\McAfee\Engine
      • Instalação 64-bit
        • <Drive de instalação>\Arquivo de Programas (x86)\Common Files\McAfee\Engine
    • Na janela de serviços, botão direito em McAfee McShield e selecione Iniciar
    • As novas detecções da Extra.DAT surtirão efeito após o serviço McShield ser iniciado. 
  • Como combinar Extra DATs
    • Logue no portal  McAfee Service Portal (https://mysupport.mcafee.com
    • Em Self Service, clique Combine Extra.DAT Files.
    • Em Upload Files clique Browse e navegue até a localização da Extra.DAT.
    • Selecione o arquivo e clique Upload.
    • Repita o processo até ter selecionado todos os arquivos Extra DATs (o limite á cinco)
    • Clique Combine.
    • Clique Save e selecione o local em que a Extra.DAT será armazenada.

 

Tem mais dúvidas? Envie uma solicitação

Comentários