Temas Relacionados
Solucionar Problemas del Gateway AntiVirus
Si un cliente en su red se infecta con un virus, es importante identificar el motivo por el que ocurrió:
- Gateway AntiVirus no tiene una firma para detectar este virus
- El archivo infectado no fue escaneado con Gateway AntiVirus
- El dispositivo Firebox no descargó el conjunto de firmas más reciente
Prueba de Gateway AntiVirus
Puede usar la herramienta de prueba EICAR para confirmar que Gateway AV está habilitado para la política correcta y que puede detectar virus. Para obtener esta herramienta, vaya a Eicar.org. Para obtener información sobre cómo usarla, consulte Usar el Archivo de Prueba EICAR para probar Gateway AV en la Base de Consulta de WatchGuard.
Firmas de Virus
Gateway AntiVirus usa un conjunto de firmas para detectar archivos infectados. Si no se detecta un virus, o si se detecta un virus en un archivo que usted cree que no tiene un virus, puede reportar los falsos negativos o falsos positivos y enviar el archivo para su análisis.
En algunos casos, un virus que existe en la base de datos podría no estar en el conjunto de firmas usado por su Firebox. Algunos modelos del Firebox utilizan un conjunto más pequeño que se centra en los virus más comunes y podrían no detectar todos los virus. Para obtener más información, consulte el artículo Tamaños de los conjuntos de firmas de Gateway AntiVirus en la Base de Consulta de WatchGuard.
Revisar los Mensajes de Registro de los Escaneos de Gateway AntiVirus
Si su dispositivo Firebox está configurado para enviar datos de registro a un sistema Dimension o a un WatchGuard Log Server, puede buscar en sus datos de registro el nombre de archivo para identificar si su Firebox escaneó el archivo, y ver los resultados del escaneo.
De forma predeterminada, sus políticas de proxy registran todos los eventos en donde se encuentre un virus o si ocurre un error en el escaneo. Para asegurar que una política de proxy registre todos los eventos de proxy, incluidos los archivos donde no se haya encontrado infección, marque la casilla de selección Habilitar generación de registros para los informes en la acción de proxy.
Para obtener más información acerca de cómo buscar mensajes de registro en Dimension, consulte Buscar Mensajes de Registro de Dispositivo.
Ejemplo de Mensaje de Registro
En este mensaje de registro, el Proxy HTTP escaneó un archivo de nombre eicar.com y detectó un virus.
Deny 2-Internal-traffic 4-External-traffic tcp 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP Virus found" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)
Allow 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV scanning error" proxy_act="HTTP-Client.3" error="avg scanner is not created" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)
Para obtener más detalles sobre los servicios de suscripción en Firebox System Manager, consulte Estadísticas de Servicios de Suscripción (Servicios de Suscripción).
Este mensaje de registro indica una falla en el escaneo. Esto puede ocurrir con archivos .zip u otros archivos comprimidos que tengan demasiados niveles de compresión, o con archivos cifrados, o que no pueden ser abiertos por cualquier otro motivo.
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP Cannot perform Gateway AV scan" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="scan request failed" filename="message.scr" (SMTP-proxy-00)
Si Gateway AntiVirus no puede escanear un archivo protegido por contraseña dentro de un archivo comprimido, el error de escaneo en el mensaje de registro incluye el nombre del archivo dentro del archivo. Por ejemplo, si Gateway AntiVirus no pudo analizar un archivo protegido por contraseña llamado protegido.xlsx en un archivo llamado archivo.zip, el error de escaneo en el mensaje de registro incluye los nombres de ambos archivos.
error="Object (protegido.xlsx) Encrypted" host="example.net: path-"/archivo.zip"
El mensaje de registro incluye el nombre del archivo dentro del archivo en Fireware v12.2 y posterior.
Revisión de Encabezados de Correo Electrónico con Gateway AntiVirus
Si un usuario recibió un virus por correo electrónico, puede confirmar si el archivo fue escaneado y cuál fue el resultado. Busque un encabezado similar a X-WatchGuard-AntiVirus: scanned 'file.pdf'. clean action=allow para ver si un virus fue detectado.
Para obtener instrucciones sobre cómo conservar los encabezados de mensaje, consulte ¿Cómo conservo el encabezado original del mensaje cuando envío mensajes a soporte técnico para su análisis? en la Base de Consulta de WatchGuard.