KB83401で、McAfee Web Gateway がウイルス検知したときに検体を隔離する方法をご案内しています。

[MWG] ウイルス検知時に検体を隔離する方法 

Write Virus Samples to Files ルールで /opt/mwg/logs/debug/BodyFilterDumps に隔離されたファイルは、ファイル名が「QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422」のようになり、このファイル名をそのままzip圧縮してMcAfee Labsに提出すると、検体調査が失敗する場合があります。

失敗するとサンプルの解析結果が得られないため、お手数ですが以下の手順にて隔離データのファイル名を短くしていただき、再度ご提出いただきたく存じます。

1. CLIで mv コマンドによるファイル名変更実施

　例： # mw QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422 QUARANTINE_2017XXXX

　 (隔離データ "QUARANTINE.172.16.247.41.eicar.zip_eicar.com._EICAR_test_file_.1415945422" のファイル名を
　　"QUARANTINE_2017XXXX" に変更する）

2. 変更後のファイル名でzip圧縮

　# zip -me QUARANTINE_2017XXXX.zip QUARANTINE_2017XXXX -P infected

3. 検体（例：QUARANTINE_2017XXXX.zip） を KB62662の手順で McAfee Labs に送信。