- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Адреса для сообщений о ложном срабатывании антивирусов
Представьте, что Вы написали программу, безобидную, безвредную и бесплатную.
Пользуетесь ею полгода и тут Ваш любимый антивирус решил ее удалить
Или: Вы скачали утилиту и по привычке проверяете на сервисе VirusTotal.com, Jotti или VirSCAN.
Результат: 3 из 41 ответов, что это вирус.
Имеем такие варианты:
- либо вирус новый и еще не попал в остальные базы;
- либо это ложное срабатывание.
Если Вы уверены, что это ложное срабатывание, отправляем образец в антивирусную лабораторию.
Будьте внимательны: часто бывает 2 разных адреса форм или E-mail:
- для сообщений о новые вирусах;
- для сообщений о ложном срабатывании (именно о них речь в этой теме).
Почему возникают ложные срабатывания?
Новое вредоносное ПО появляется столь быстро, что человек не способен самостоятельно анализировать каждый случай. Доверие падает на HIPS-подобные экспертные системы, которые анализируют файл по множеству критериев в автоматическом режиме.
Такие системы могут часто выдавать ложные срабатывания на особые упаковщики, последовательности API-функций и совокупности других факторов. Некоторые ругаются просто по причине редкого использования программы и отсутствия значимой статистики по ней.
В результате ПО попадает в базы зловредов/подозрительных файлов.
Как правильно отправить программу на повторную проверку в лабораторию?
У каждого производителя антивируса есть специальные адреса электронной почты (или формы на сайте), куда можно отправить образец.
Обратите внимание, в каждом случае очень важно прочитать правила сервиса:
- в какой тип архива упаковать образец
- какой задать пароль (обычно virus или infected)
- какую дополнительную информацию сообщить в письме. Это как правило:
- Слова: False Positive Submission
- The password for the attachment is пароль, которым зашифрован архив
- Exe-файл перед упаковкой желательно переименовать в расширение .bak чтобы его не блокировала почта GMail
Список лабораторий и адресов:
360 Internet Security (Total Security) (Qihoo-360)
Почта: support@360safe.com (заархивировать в ZIP. Название темы: "False Positive Submission")
Форма (рус.): Отправить файл на проверку - 360 Total Security
Форма (оф.сайт): 360杀毒_样本上报 (выбрать 误报文件)
Форма (для URL-ссылок): Отправить файл на проверку - 360 Total Security
Отправка через форму в архиве формата RAR, ZIP, 7Z без шифрования. Файл должен быть менее 20 Mb.
AegisLab (Lionic)
email: support@aegislab.com (заархивировать в ZIP с паролем. Пароль указать в письме, например: "Password is virus". Название темы: "false positive sample submission")
Форма: Reporting False Positive
Acronis
Email: virustotal-falsepositive@acronis.com (не проверено)
Ad-Aware
Форум: Guide for posting false positives - Report a False Positive
Форма: Report False Positives - Lavasoft
Email: malware.labs@adaware.com
Agnitum
Email: trojans@agnitum.com (не проверено)
AhnLab
Форма: AhnLab - Antivirus Software and Security Solutions Provider (только для зарегистрированных пользователей)
Email: v3sos@ahnlab.com , e-support@ahnlab.com , samples@ahnlab.com
Alibaba
Email: virustotal@list.alibaba-inc.com (не проверено)
ALYac
Программа: ALYac
(скачиваем через кнопку "download", после запуска выбираем пункт "ALYac detects normal files".)
Email: esrc@estsecurity.com (не проверено)
Antiy-AVL
Email: avlsdk_support_vt@antiy.cn , support@antiy.cn
ArcaVir
Email: virus@arcabit.com
avast!
Форма технической поддержки: Avast Свяжитесь с нами
В самом антивирусе: на вкладке карантин.
Email:
WhiteListing: Avast Threat Labs - File whitelisting | Official Avast Support
AVG
Форма: Report a false detection | AVG Worldwide
WhiteList: AVG Threat Labs - File whitelisting | AVG
Avira
Форма: Submit Suspicious Files
Форма (для URL-ссылок): Submit suspicious URL
Email: novirus@avira.com
(отправьте этот файл в запакованном виде 7-zip или WinRAR).
Защитите файл(ы) паролем infected.
Архив должен быть не более 5 MB с кол-вом файлов не более 20.
AVZ
Форма: Прислать файл с вирусом
Форма (для URL-ссылок): Прислать подозрительный URL
Пополнение базы (скан всей системы): Пополнение базы безопасных AVZ
Babable
Email: obu@babable.com (не проверен)
Baidu Antivirus
Через вкладку "Feedback" установленного антивируса.
Либо попытать счастья на китайском форуме: baidu.com
Email: bav@baidu.com, gaoyingchun@baidu.com (не проверены)
BitDefender
Форма: Sample or URL submit
Форма для бизнес пользователей: Contact Customer Care
Email: virus_submission@bitdefender.com , oemsamples@bitdefender.com
Чат: Chat Support
BitDefenderTheta
Форма: Business Portal Submit
BKav
Email: fpreport@bkav.com (отправлять с паролем infected и названием темы: "False Positive Submission")
Запасной: bkav@bkav.com.vn
ByteHero
Email: support@bytehero.com , bytehero@163.com
CAT-QuickHeal
Email: viruslab@quickheal.com, OEMENGINE@quickheal.com (не проверены)
Certego
Email: fp@certego.net (VirusTotal False Positives Reports)
COMODO
Форма: Comodo Antivirus Database | Submit Files for Malware Analysis
ClamAV
Форма: ClamavNet
Clean-MX
Email: abuse@clean-mx.de
CMC
Email: vulambang@cmcinfosec.com , support.is@cmclab.net
- в 7-zip архиве с паролем.
Comodo
Форма: Comodo Antivirus Database | Submit Files for Malware Analysis
Email: falsepositive@avlab.comodo.com , malwaresubmit@avlab.comodo.com
Commtouch
Email: virus@authentium.com
Упакуйте файл в архив ZIP с паролем virus
CRDF Labs
Форма: CRDF Threat Center: False positive procedure
CrowdStrike Falcon
Email: VTscanner@crowdstrike.com - файлы не присылать!
Вместо этого - загрузить файл на VirusTotal и на Hybrid-analysis и прислать по почте SHA256 хеш + ссылку на VirusTotal.
CyanSecurity
Email: virustotal@cyansecurity.com (не проверен)
Cybereason
Форма: Contact Us | Cybereason (не проверено)
Email: vt-feedback@cybereason.com (не проверен)
Cylance
Email: cylancefilesubmit@cylance.com
Обязательно указать: ссылку на VirusTotal, имя файла, назначение программы, являетесь ли вы разработчиком или пользователем.
Сам файл загружать не нужно.
Если нужно указать несколько ссылок, отправляйте отдельное письмо по каждой.
Cynet
Email: soc@cynet.com
CyRadar
Email: virustotal@cyradar.com (не проверен)
Cyren (Varist, Data443)
Email: support@varist.com
DeepInstinct
Email: info@deepinstinct.com
Digital Patrol
Форма: Suspicious Files - NictaTech Software
DNS8
Email: dns8@layer8.pt
Dr.Web
Форма: Отправить подозрительный файл
Email: vms@drweb.com
eGambit (TEHTRIS)
Форма: False positive/False negative - TEHTRIS
Email: web@tehtri-security.com (не проверен)
PS. Отвечают очень долго (в течении 1 месяца).
Elastic antivirus
Email: fp_reports@elastic.co
Шаблон: Submitting False Positives
Emsisoft (использует движок BitDefender)
Приложение: Вы можете использовать кнопку «Ложное обнаружение» под списком помещенных в карантин элементов, чтобы отправить нам ложноположительный отчет. Пожалуйста, укажите свой точный адрес электронной почты, чтобы мы могли ответить.
Email: fp@emsisoft.com (отправлять в запароленом zip или rar архиве, пароль infected, не более 5 Мб, если файл больше, то отправляйте ссылку на результат сканирования VirusTotal )
(Emsisoft использует антивирусный движок BitDefender)
EndGame
Статья: Add and manage exceptions
Email: vt_feedback@endgame.com , info@endgame.com (не проверен)
eSafe/Aladdin
Email: support@safenet-inc.com
eScan (Microworld) (использует движок BitDefender)
Форма: Select a department - Powered by Kayako Fusion Help Desk Software
Email: samples@mwti.net (предпочтительный), fp@escanav.com , samples@escanav.com
Eset Nod32
Форма: Что делать если вы обнаружили новый вирус или произошло ложное срабатывание?
Форум: Сайты, попавшие в список заблокированных - Форум технической поддержки ESET NOD32
Email: sdd@esetnod32.ru
Инструкция: [KB141] Submit a virus, website, or potential false positive sample to the ESET Research Lab
F-Secure (использует движок Avira)
Форма: Submit a sample | F-Secure
Email:
F-prot (Fprot) (cyren)
Инструкция: Cyren Support Portal - Security as a Service, 100% Cloud
Email: support@cyren.com , viruslab@f-prot.com
Упакуйте файлы в архив ZIP с паролем: infected
В письме укажите "False Positive detection" и пароль к архиву.
Filseclab
Email: fp@filseclab.com (не проверен)
FireEye (Trellix)
Форма: Contact Us | FireEye (не проверено)
Email: virustotal@fireeye.com
Forcepoint (websense)
Email: suggest@forcepoint.com (не проверен)
Fortinet/FortiGuard
Форма: Classification Dispute Form (рекомендуемый способ) | FortiGuard.com | Virus Activity Report
Упакуйте файлы в архив ZIP или RAR с паролем infected.
Email: submitvirus@fortinet.com
G Data (GData) (использует движок BitDefender)
Форма: Sample Upload
Для веб-ссылок: Sample Upload
Загрузить файл на Гугл Диск, получить метку "Файл с ограниченным доступом", одновременно получить письмо на почту gmail - "Ваш файл может нарушать Условия использования Google Диска", где будет кнопка "Обжаловать решение".
Gridinsoft Anti-Malware
Форма: How to Report a False Positive Detection? - Gridinsoft Blogs
Email: antimalware@gridinsoft.com (не проверен)
Hacksoft
Email: virus@hacksoft.com.pe (не проверен)
Hauri
Email: viruslab@hauri.co.kr (не проверен)
Huorong
Email: seclab@huorong.cn (не проверен)
IKARUS
В самой программе: на вкладке карантин.
Email: probe@ikarus.at
Упакуйте файлы в архив ZIP с паролем infected. В письме укажите "False-Positive detection" и пароль к архиву.
false-positive@ikarus.at
Immunet
Email: submit@samples.immunet.com
Invincea (sophos)
Форма: Intelix UI
Email: info@invincea.com (не проверен)
Jiangmin
Отправлять в запароленном (пароль: virus) или незапароленном .zip или .rar архиве; тема письма: Submit False Positive
support@jiangmin.com , shaojia@jiangmin.com
K7AntiVirus / K7GW
Email: reportfp@k7computing.com , k7viruslab@labs.k7computing.com , support@k7computing.com
Форма обратной связи: Submit a ticket - Help Desk Software by Vision Helpdesk
Kaspersky в zip/rar архиве с паролем "virus" либо "infected"
Форма: Kasperky Virus Desk (выберите пункт "Чист" (Clean)).
Email: newvirus@kaspersky.com в теме письма указать "Possible false positive"
При наличии лицензии - через запрос в тех. поддержку (из-под личного/корпоративного кабинета).
Анализ файла: Kaspersky Threat Intelligence Portal
WhiteListing: Kaspersky Allowlist Program | Kaspersky | Kaspersky
Kingsoft (Cheetah)
Email: operation@cmcm.com (не проверен)
MAX Secure Antivirus
Утилита для автоматического сбора подозрительных файлов (инструкция)
McAfee
Форма: Dispute Detection & Allowlisting
Файл упаковать в ZIP или RAR-архив с паролем infected (ограничение - не больше 10 Мб, не более 30 файлов).
Для извещений о ложном срабатывании на URL: здесь.
Email: virus_research@avertlabs.com
Инструкция: https://kc.mcafee.com/corporate/index?page=content&id=KB85567
WhiteListing: https://service.mcafee.com/?locale=...fromSearch=true&page=shell&shell=article-view
McAfee-GW-Edition
Email: datasubmission@mcafee.com (не проверен)
MBAM (Malwarebytes)
Форум: File Detections - Malwarebytes Forums (нужна регистрация), PUP.Optional listings and disputes
E-mail: pup@malwarebytes.com - по теме Потенциально Нежелательных Программ (PUP).
Форма: https://support.malwarebytes.com/hc/en-us/requests/new (Issue type > Product help > False-positive)
Malwares.com (Saint Security)
Email: kog@stsc.com (не проверен)
MAX (SaintSecurity)
Email: root@malwares.com (не проверен)
MaxSecure
Email: tech@maxpcsecure.com (не проверен)
Microsoft Defender, Microsoft Security Essentials (MSE) и SmartScreen
Форма: Submit a sample - Microsoft Malware Protection Center
(выбрать пункт "Incorrect detection")
При блокировке SmartScreen также можно использовать интерфейс браузера. Когда Ваша ссылка будет заблокирована, нажмите ПКМ -> "Я считаю, что эта программа безопасная")
Дополнительная информация:
https://docs.microsoft.com/uk-ua/windows/security/threat-protection/intelligence/submission-guide
https://docs.microsoft.com/uk-ua/windows/security/threat-protection/intelligence/criteria
NANO-Antivirus
Форма: NANO Antivirus : Feedback
Почта: false@nanoav.ru
Отправлять с паролем: 123
Netcraft
Форма: Report Phishing, Malware and Suspicious URLs
Norton
Форма: https://submit.norton.com
nProtect (Inca)
Email: support@nprotect.com , virus_info@inca.co.kr
Palo Alto Networks
Создать тему на форуме по этому шаблону.
Email: vt-pan-false-positive@paloaltonetworks.com
Panda
Форма: Contact Technical Support. Panda Security
Email: falsepositives@pandasecurity.com , virussamples@pandasecurity.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Qihoo Antivirus/360
Форма: False Positives/Suspicious | 360 Total Security
Email: support@360safe.com
kefu@360.cn
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Quickheal
Форма: Quick Heal Technologies Ltd
(department - выбрать Submit false positive)
Reason Core Security
e-mail: falsepositive@reasoncoresecurity.com - отправлять в запароленном архиве с измененным расширением, например *.exe сменить на *.ex - почта на основе Google иное не пропустит.
форма: Contact our support team
Rising
Email: shiyu@rising.com.cn
Упаковать в zip-архив с паролем clean
Или выложить файл, создав новую тему в этом разделе форума.
Воспользоваться данной формой
RocketCyber
Email: support@rocketcyber.com (не проверен)
Sangfor Engine Zero
Email: ?
Форма: 风险监测平台 (нужна регистрация) => User => Feedback (подробности)
Scrutiny
Email: training@cyberstanc.com
SecureAPlus APEX
Форма: Report False Positive Detections by SecureAPlus | SecureAPlus
( упаковать в zip и задать пароль: infected )
SentinelOne
Email: report@sentinelone.com
Sophos
Форма: Submit a Sample
Email: samples@sophos.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Spamhaus
Форма: Lookup - Reputation Checker - Spamhaus
Spybot Search & Destroy
Форма: Forensics Lab - Spybot Anti-malware and Antivirus
Email: detections@spybot.info
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Symantec (Broadcom)
Email: false.positives@broadcom.com
Форма: Sample Submission | SymSubmission
Инструкция: Submit false positives incorrectly detected by Endpoint Protection
Systweak
Форма: Contact Us - Systweak Site
SUPERAntiSpyware
Форма обратной связи: False Positives
(или используйте специальную форму внутри самой программы)
Tachyon
Email: isarc@inca.co.kr (отправлять в запароленном архиве zip, который включает в себя название детекта)
The Hacker (TheHacker)
Email: falsopositivo@hacksoft.com.pe , virus@hacksoft.com.pe , soporte@hacksoft.com.pe (не проверены)
Tencent
Email: TAVfp@tencent.com (не проверен)
Можно создать тему в этом разделе.
Для входа сперва нужно зарегистрироваться через сервис qq, выбрав Email Account.
В дальнейшем в качестве логина использовать адрес электронной почты.
Total Defense
Email: virus@ca.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Форма обратной связи: Submit a request – What can we help you with?
Trapmine
Форма: TRAPMINE Inc. - Contact
Email: fp@trapmine.com , celil.unuver@trapmine.com (непроверены)
Trend Micro
Email: virus_doctor@trendmicro.com (не проверен)
Файл отправлять в архиве ZIP либо RAR с паролем "virus". Размер файла не должен превышать 50 Mb.
Форма: Unblock Website - IP Address Re-Classification Support - Trend Micro USA
Внимание: по форме отправлять запакованным в RAR или ZIP с паролем. Пароль указывать в письме. Внутри архива файл должен иметь расширение EXE.
Форма: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (только для пользователей Trend Micro))
Имя продукта выбираем "Housecall Hosted Edition", остальные поля - произвольные данные.
TrojanHunter
Email: support@trojanhunter.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
Trojan Remover/Simply Super Software
Email: support@simplysup.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
TrustPort
Email: support@trustport.com
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
TrustLook
Email: bd@trustlook.com (не проверен)
Форма: Submit a request – Trustlook Help Center - Home Page
Trustwave
Email: ADavidi@trustwave.com (не проверен)
VBA32
Email: feedback@anti-virus.by
VirusBlokAda/VBA32
Через карантин антивируса.
Email: feedback@anti-virus.by
в zip архиве с паролем "infected" если на почту, то в теме письма указать "False Positive Submission".
В самом письме укажите: The password for the attachment is infected
VIPRE:
Форма: https://helpdesk.vipre.com/hc/en-us/requests/new
ViRobot / HAURI:
Форма: Anti-Virus Leader ViRobot
email: viruslab@hauri.co.kr
VirusBlokAda
Email: support-en@anti-virus.by (не проверен)
VirusDie
Email: partners@virusdie.com (не проверен)
VirIT
Форма: Sending Suspicious Files - TG Soft Cyber Security Specialist
Webroot
Форма: https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed (после ввода email адреса, выберите "False Positive")
Webroot File Submission
Contact Us: Vendor Dispute | Webroot
Webroot SMD
Форма: BrightCloud Change Request | Webroot BrightCloud
Windows Defender
Форма: Submit a file for malware analysis - Windows Defender Security Intelligence (вкладка Submission -> Software developer -> потребуется регистрация)
XVirus
Email: samples@xvirus.net (не проверен)
Форма: Xvirus Security Software
Yandex:
Чат: Яндекс Мессенджер (отвечают очень быстро).
email: browser@support.yandex.ru , yandex-antivir@support.yandex.ru
Форма: Обратная связь
Через браузер: значок меню (≡) → Дополнительно → Сообщить о проблеме. В некоторых версиях путь будет другим: (≡) → Обратная связь.
Yomi
Email: yomi-false-positives@yoroi.company (не проверен)
Zillya:
Email: virus@zillya.com , help@zillya.com (отправлять файл в архиве)
Форма: Zillya! Support | Contact Our Support Centre
ZoneAlarm
По фолсам обращаться в Kaspersky (не ошибка)
По другим вопросам на email: support.help@zonealarm.com либо в чат: ZoneAlarm Support Center
Email: zonealarm_VT_reports@checkpoint.com
Zoner
Email: false@zonerantivirus.com (не проверен)
Форма: Zoner AntiVirus
Если Вы:
- знаете адреса других антивирусов для оповещения о ложных срабатываниях;
- хотите дополнить/исправить наши ссылки;
После проверки мы обновим шапку темы.
Список дополнительных адресов:
Список антивирусных вендоров
GitHub - yaronelh/False-Positive-Center: Repository to help security vendors deal with false positives
База фишинговых сайтов: GitHub - mitchellkrogza/Phishing.Database: Phishing Domains, urls websites and threats database. We use the PyFunceble testing tool to validate the status of all known Phishing domains and provide stats to reveal how many unique domains used for Phishing are still active.
How to Report Malware or False Positives to Multiple Antivirus Vendors
При перепубликации рабочая ссылка на эту тему обязательна
.Перечень составлен и обновляется: regist & Dragokas.
Последнее редактирование модератором:
