揭秘：追本溯源杀毒软件为何会出现误杀

揭秘：追本溯源杀毒软件为何会出现误杀

作者：金山　来源：赛迪网

5月18日，一场突如其来的诺顿误报事件波及了中国数百万电脑用户，一时间，各大媒体纷纷报道，网络上关于杀毒软件误报的讨伐声也不绝余耳。

5月19日，在事件发生的十几个小时后，诺顿发表公开声明，并公布了本次误报问题的解决方案，事件尘埃落地。

然而这场被反病毒专家称为“近5年来最大的误报”事件，是否就这样结束？误杀到底是如何产生的？能否避免？类似的误杀事件是否可能再次发生？一系列的问题都还没有答案。

误报是如何产生的？

误报是杀毒软件最忌讳的事情，也是难免的，但在有保证的情况下，是可以最大限度的去避免误报。

金山毒霸反病毒专家戴光剑表示，误报的产生主要有两种原因：一是鉴定错误，把正常文件误认为病毒。比如一个网管软件，有病毒分析员收集到这个文件后，分析认为其存在不安全行为，就极有可能并将判定为病毒；二是病毒特征提取错误引起的误报。如果工程师在提取病毒特征时，因疏忽而提取错误。比如病毒一般是用高级语言编写，如果疏忽提到了该编译器的部分特征，就可能出现将使用该语言编写的所有程序判断为病毒，此次诺顿误报事件就是将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll判定为病毒所致。

人非圣贤，孰能无过？但作为一个国际知名的杀毒软件出现将系统文件判定为病毒这种严重的误报问题，确实需要反思一下。

是突发事件，还是早有隐患？

其实，误报问题在杀毒软件中时有发生，尤其是一些国外的杀毒软件，由于一些操作机制的问题，发生误报的几率要高于国内的杀毒软件。

2001年诺顿“误报”瑞星2002版杀毒软件带“欢乐时光”病毒；2006年卡巴斯基误报金山词霸为病毒；同年，误报QQ2006正式版和QQ游戏2006为木马病毒；2007年卡巴斯基提示暴风的升级模块是木马，造成大部分用户无法正常使用暴风影音；2007年趋势误报联众客户端为病毒等等。

既然误报问题并非技术难题？为什么同样的错误一再发生？而且这些被误报的软件均是很受国内用户欢迎的应用软件。问题又出在哪里呢？

金山毒霸反病毒专家戴光剑给出了答案，“各大杀毒厂商通常会不断的从用户、互联网中收集大量的程序和软件，其中最重要的就是各种操作系统，形成一个巨大的误报库，通常这个库多达几百个G的容量。在十几台专用误报测试服务器的速度保证下，完成当次病毒库的测试工作。与国内杀毒软件相比，国外产品对中国软件的收集不足，误报库不全面。”

而此次诺顿误报简体中文版Winxp sp2系统文件为病毒的根本原因，正是因为没有将中文版的操作系统文件加入到误报库中。

如何避免误报？

诺顿误报事件已经告一段落，但没人会知道明天是否再会发生类似的事件，误报问题是否有根本的解决办法呢？

戴光剑指出，各大杀毒厂商在防止误报方面都在进行着积极的努力，以金山毒霸为例，采取了很多积极的措施来最大限度的减少误报的可能。

首先，金山毒霸的病毒库的制作升级过程需要有病毒库制作、病毒库测试、病毒库升级三个过程来进行，并使用专门的小组来负责；

其次，金山毒霸在对可疑样本文件进行鉴定时，是通过了有效的白名单过滤机制，再通过二次人工鉴定方法来确认病毒样本的可信性，这是为了有效的确认样本文件确为病毒，排除误鉴定的问题。提取病毒特征的方法上我们进行了多年的经验积累，已经可以有效的避免提到非病毒特征的位置。将病毒特征制作成最后的病毒库。

再次，在病毒库测试阶段又分为病毒查杀有效性测试和误报测试，有专人维护，不停的从互联网和用户手中收集各类程序来扩充。

最后，将测试完毕的病毒库放给用户升级。金山毒霸每周17次升级，每次升级前都会用最新制作的病毒库扫描这个庞大的误报库，如果在鉴定和提取特征时出现失误，也基本会在误报库测试中发现并即时修正。

互联网的迅猛发展，人们对网络的依赖程度越来越高，网络银行、网络炒股、网络查询等等，人们的生活开始日益网络化。然而面对蠕虫、木马、黑客的频繁入侵，人们对杀毒软件的需求也日益强烈。用户越多，杀毒厂商的责任就越大，任何无视用户利益的行为必将遭到用户的质疑。

我经历的Symantec病毒定义码事件及思考

作者：阿利　来源：赛迪网

9:00多

领导说他的机器出问题了，Symantec AntiVirus不停地报netapi32.dll和lsasrv.dll是病毒，但从网上搜索，都说这两个文件是正常的Windows系统文件。重启系统蓝屏，提示信息为：

STOP:C000021a hard error

Unknown hard error

根据一般系统系统维护经验，病毒是很有可能伪装成正常文件的，所以对领导说的那两个文件是系统文件我没当回事。蓝屏不能启动嘛，按照先软后硬的顺序，重装系统，还不行的话再分析硬件。好在以前系统用联想的一个类似一键还原的工具做过备份，所以恢复系统很容易。重装前好备份C盘有用的数据，好在领导有把数据放在除C以外的分区的习惯，所有只有桌面上的一些WORD文件需要备份。用“深山红叶”启动后，备份工作很快完成，随之的系统还原也几分钟就完成了。看来是软件问题，“hard error”不是“硬件故障”。

本以为这只是个案，没想到接下接到接二连三的电话，报告类似的问题，这下我有点蒙了。

10:00

收到了上级部门9：35用邮件发来的紧急通知：

现在网上正在爆发新病毒，病毒名字为：Backdoor.Haxdoor。

用symantec查杀病毒时出现Backdoor.Haxdoor病毒。Symantec操作删除失败，隔离失败。病毒关联文件

是C:\windows/system32目录下netapi32.dll文件。重启系统后出现蓝屏，错误提示为：

STOP:C000021a hard error

Unknown hard error

安全提示：如出现此类情况，

1、不要重启系统。

2、暂时不要升级symantec病毒定义码。

3、暂时不要使用symantec查杀系统。

网络安全组正在寻求查杀解决办法，请耐心等待最新通知后再进行查杀。

看来很严重啊，可为什么我们办公室的电脑都没事呢？与上级部门电话联系后得知，出现这一问题的原因与最新的病毒定义码有关，也就是“2007-5-17 rev18”这个病毒定义码。我一看我的病毒定义码是2007-5-16，哈，这就可以放心了。我赶紧把我能控制的服务器组的病毒定义码都改为“2007-5-16”，SAV这一点不错，可以保留最近三天的病毒定义码，并能选择。我所在的服务器组的病毒定义码为什么没有更新到“2007-5-17”呢？这是因为前一段时间我刚把病毒定义码的更新源改为上级部门的服务器，原来都是直接指向Symantec公司的服务器的。上级部门服务器的病毒定义总是慢一二天，我一直不知道他们是故意这么做的还是有什么原因，没想到这次这慢半拍的病毒定义倒是发挥作用了。

我在服务器上没有设置客户端的“调度更新”和“LiveUpdate”，这样如果有的人自己设置了，就会单独到Symantec公司服务器上更新病毒定义，就会中招。这就是我们这里同样是使用SAV，有的人出现问题，有的人就没事的原因。想到这里，我赶紧在SSC中把客户端的这两项功能都锁死。

12:40

收到了上级部门给出的解决方案，方案中的一些措施，比如在SSC中回复到以前的病毒定义码，这些我都做了。对报病毒的情况，要求不要重启，继续等待。对已重启蓝屏电脑提出了用Windows PE光盘启动，恢复netapi32.dll，lsasrv.dll两个文件，删除SAV2007-5-17病毒定义的办法。并给出了一个包含上述操作批处理文件的Windows PE光盘ISO文件。

我立即把这些内容放到我负责的一个防病毒专题网站上，并开始着手试着恢复机器。由于我有深山红叶光盘，所以我没刻盘，直接用深山红叶试着修复，并获得了成功。

13:30

收到了上级部门给出的更详细的解决方案。我也同样更新了专题网站里的内容。

下午按照这些方案不停地恢复机器。大部分都获得了成功。但有的机器并不是蓝屏，而是不停重启，恢复了那两个文件，删掉了2007-5-17的病毒定义码也没有效果。情急之下，我用Windows XP系统盘修复系统的模式安装了一遍，这下能启动了，但花费了不少时间。

16:40

上级部门告之：没重启的电脑把病毒定义升到“2007-5-17 rev 71”，然后把隔离区的那两个文件恢复即可。

2007年5月19日，20日(周六周日)

继续不停地有电话要求恢复系统，痛苦。

2007年5月21日

在网上看到了Symantec的官方解释。网上转载有这样的句子“对于由此给用户带来的不便，我们深表歉意。”但我看到的是：“对于由此给用户带来的不便。”删掉了“深表歉意”，而不管句子是否通顺。到了下午，内容又发生了变化，主要强调Symantec响应速度是如何之快，如何负责任，而不提用户会有怎样的感受。

引发思考

这次事件给企业信息安全人员提出了新的课题，如何保证在各种突发安全事件中保证企业的信息安全？我有几点体会，

一是备份的重要性

我们领导的机器由于做过系统备份，所以恢复很容易。这个是老生常谈了，这次又得到了验证。

二是病毒定义码的安全性问题

其实这不是一个新问题，杀毒软件会造成误杀和漏杀，这是人所共知的。漏杀造成的危害人们关注的多，但由于误杀造成危害的先例很少，所以一直没有引起足够重视。这次事件可以做为一个经典案例，给人们敲响警钟。越是重要的系统，部署病毒定义码前越是应该进行测试。SAV保留三个病毒定义码可以由管理员来选择，也是基于这个道理。

三是由病毒定义码扩展到操作系统等的补丁

由于“冲击波”和“震荡波”的“贡献”，现在及时打补丁已经成为一个常识了。但系统补丁和病毒定义码一样，有一个是否一定适合在你的系统的问题。只不过系统补丁在发布前，比病毒定义码有更多的时间进行测试，这样补丁能保证尽可能和操作系统不冲突，但却很难保证和系统里所有的软件都不冲突。所以，重要系统在部署补丁前也应该先进行兼容性和安全性的测试。

四是对安全厂商的看法

幻想用了某杀毒软件或应用某项安全保障体系就能“高枕无忧”的想法是不切实际的。要明白，安全厂商的目标是利润。与安全厂商的关系应该是合作，而不是依赖。

诺顿“误杀”关键系统文件的三维反思

作者：坊间佳平　来源：赛迪网

近日，赛门铁克公司诺顿杀毒软件升级病毒库后，把Windows XP系统的关键系统文件误当作病毒清除，造成使用该杀毒软件的国内数百万台个人和企业用户电脑系统崩溃，正常工作和商业活动受到严重影响。诺顿“误杀”事件，确实有点“倒洗澡水，把婴儿一并倒掉”的味道。透过这起事件，不仅当事公司——赛门铁克公司，而且我们的杀毒软件行业、用户都应无一例外地都要引起深刻反思，以免重蹈覆辙。

诺顿杀毒软件此次升级病毒库的主要目的是对付一种可怕的病毒——“哈克斯”。“哈克斯”一种目前流行于互联网的病毒，其变种数量和危害性极大。诺顿杀毒软件试图升级病毒库的良好初衷可以理解，但需要反思的是，当事公司在设计杀毒软件之时是否过于匆忙，把杀毒的时效性看得比实效性、严谨性更重，是否存在“宁可错杀一千，也不放过一个”病毒的看似完善的追求而忽视了细节的完善，是否把经济利益、市场份额等看得比用户的安全更重。如果赛门铁克公司没有这些认识的误区，相信不会发生“误杀”事件。事件发生后，赛门铁克公司的应急处理并不尽如人意，“误杀”事件发生后，赛门铁克公司没有在极短的时间内给用户一个正式说法和解决方案，而且有不少用户抱怨，致电该公司无人工接听，语音电话也一直是音乐声音，长时间内没有人接听，导致难以沟通。

诺顿“误杀”事件表面上看，是赛门铁克公司的个案，实际上这个事件处理不好，造成的是公众对整个杀毒软件行业的信任危机。本来公众对于杀毒软件行业就或多或少地存在着“杀毒者制毒”或者“病毒，杀毒者造”的不良看法，这次“误杀”事件正好提供一个很好的事实佐证。而且，事实上，这起事件的事故已经波及到国内外众多反病毒软件厂商，瑞星、江民科技、卡巴斯基都受到不同程度的牵连。因而，我们的整个杀毒软件行业都应理性对待，切不可有着事不关己、高高挂起的不良心态，否则伤及自身。有鉴于此，除当事公司之外的杀毒软件公司应该对照诺顿“误杀”事件反思自己公司的经营理念、安全理念和杀毒软件设计理念，同时，检视自己公司危机的处理能力，以防出现事故后能够及时处理。另外，从杀毒软件行业管理的角度看，如何加强管理是值得思考的问题。能否在国家或行业层面，建立一个杀毒软件准入机制呢？任何杀毒软件正式进入市场之前都必须经过特定机构的审查。诺顿“误杀”事件发生的原因，很大程度上就在于这种审查或准入机制的缺失。

最后，需要反思的是我们用户自己。在选用杀毒软件的过程中，国内用户普遍存在着国外的比国内的技术强、服务好这种认识误区。这当然需要国内杀毒软件提高竞争力和公信力，但也需要用户逐渐改变这种认识，建立起对国内杀毒软件的信任感。这起“误杀”事件的确认就是江民科技公司首先发现的，而且在处理事件之时，江民、瑞星、金山毒霸等国内杀毒软件公司及时提供了有效解决方案。与国外公司对国内用户的傲慢与偏见相比，国内杀毒软件公司的热情服务与技术优势无疑能够获得用户的好感与信任。期待国内用户，能够在诺顿“误杀”事件中摒弃种种认识误区，根据自己的需求理性地选择合适、安全的杀毒软件。

赛门铁克官方首次公开向用户正式道歉

出处：搜狐数码 |

　　赛门铁克于5月23日下午在北京召开新闻发布会，赛门铁克公司安全响应中心高级发展总监Vincent Weafer先生就诺顿误杀XP系统文件事件的最新进展与媒体进行沟通。

　　在新闻发布会上，赛门铁克官方首次公开向用户正式道歉，并表示对该事件的发生感到非常遗憾。

　　赛门铁克还表示，目前的工作重点还是帮助客户恢复他们的系统，恢复他们的业务。现在正在不断的研发，以后有一些更有效的工具帮助客户恢复系统，在技术方面也在调动全球的资源提供服务。如果有其他客户的要求和意见，将先记录下来以后会做出回应。

微软建议XP被误删用户参照诺顿官方解决方案

作者：马全智 | 出处：新浪科技 |

　　新浪科技讯 5月23日中午消息，“诺顿误杀致中文WinXP崩溃”风波进入第六天，新浪科技从微软方面获悉，微软的态度是“建议相关用户参照赛门铁克公司关于此事的建议与指导”。据悉，这是微软方面对此的首次表态。

　　5月18日下午，国内信息安全商瑞星发出红色警报，称诺顿杀毒软件升级最新的病毒库后，会把Windows XP的关键系统文件当作病毒清除，重启后系统将会瘫痪。该次误杀只发生在简体中文版的XP系统上，对国外用户几乎没有影响。

　　问题出现后，赛门铁克先后发布了三份公告。第一份公告是在19日下午，赛门铁克确认软件误删除XP系统文件；21日上午，该公司发布第二份公告称，调查发现此次错误是由“自动化系统”所引起的；21日下午，该公司的第三份公告解释，为何会出现此类事件以及今后如何避免等问题。

　　据悉，这三份公告均没有正面向用户道歉，也没有提出补偿的措施。对于企业和用户关心较多的，如果解决此问题，以及善后和赔偿问题，只字未提。据媒体报道称，已经有部分企业用户向赛门铁克提出了索赔的请求。

　　新浪科技设法从微软方面获悉，微软总部已关注到此事，不过目前对于此事的官方态度是如上文所述。至于外界所关心的“微软是否与赛门铁克有过沟通”、“微软是否会协助用户向赛门铁克索赔”等问题，暂没有回应。

　　最新消息显示，赛门铁克将于23日下午2点首次与中国媒体面对面，通报有关误杀事件的最新进展，并接受媒体采访。新浪科技将全程直播此次媒体沟通会。(马全智)

赛门铁克首度松口 将考虑赔偿问题

作者：李广盛 |

　　新浪科技讯 5月23日14:31消息，赛门铁克今日就诺顿误杀WinXP系统文件事件召开媒体答问会，在回答新浪科技关于如何赔偿用户损失的提问时，赛门铁克高层表示本周工作主要是帮助用户恢复电脑的正常使用，其他(赔偿)的问题随后再考虑。

　　上周五，由于诺顿杀毒软件误将WindowsXP两个系统文件当成病毒查杀，给部分企业及用户造成了极大损失，据悉，已有部分企业用户向赛门铁克软件(北京)索赔，索赔金额从十多万元到几百万元不等。

　　赛门铁克在事发后不久便公布了关于此次误杀事件的解决方案，并向用户表示致歉，但一直未就赔偿问题做出表态。(李广盛)

江民:国外杀毒软件身陷误杀门 国产杀毒软件免费救场

近日,关于国外杀毒软件误杀的报道频频见诸报端.首先是美国的杀毒品牌诺顿,将Windows XP的关键系统文件误当作病毒清除,给用户带来了严重的损失,系统崩溃、重要资料丢失、业务无法开展等等,严重干扰了企事业单位工作的正常开展,同时也使得这部分企业用户面临着更大的病毒威胁.

　　为了有效地帮助被误杀的企业及个人用户尽快恢复系统,防止病毒的大规模入侵,5月23日,江民科技宣布,即日起面向全国开展《江民安全中国行》大规模企业网络安全救援活动,实施两大举措保护我国企业级用户的网络和信息安全:

一、江民杀毒软件KV网络版免费使用一个月.从即日起到2007年12月31日,任何企业用户只需通过网上或电话提交申请,都可在江民公司总部及各办事处所在城市,享受到免费的上门杀毒服务,同时还可以免费使用江民KV网络版杀毒软件1个月.

　　二、为国外品牌杀毒软件企业用户特惠更换产品:活动期间,对所有国外产品老用户提供优惠升级服务,将《江民杀毒软件KV网络版》以现行市场价的 20%提供给企业用户,并提供2年免费升级服务(SOHO版按照市场价格的40%,提供1年免费升级服务);渠道代理商独立完成的项目,享受升级费的5折优惠.

　　按照江民提供的价格计算,企业用户如果需要安装一套100个客户端的网络版杀毒软件,原价需要28300元,在活动期间只需要5660元,价格优惠幅度达到80%!

　　江民科技总裁陶新宇介绍,随着近年来互联网安全环境的日益严峻,缺乏本土化服务的国外防

病毒产品也日渐暴露出其本土化服务的先天不足, 2006年年底的海底光缆断裂事件,使得国外杀毒软件不能正常升级,在面临同期发作的“

熊猫烧香”时,许多无法升级的国内用户顿时手足无措,造成了严重的经济损失.而以江民科技为代表的国产杀毒软件厂商,在经过10多年的沉淀和积累后,已经拥有了雄厚的技术和服务实力,特别是在本土化的应急响应上,更是国外杀毒厂商无法比拟的.目前国产杀毒软件已经拥有了满足高端行业用户到个人消费者全线产品和技术,完全可以担当捍卫我国重点行业和部门的网络和信息安全防护重任.

　　业内人士分析认为,长期以来,我国重点行业部门的信息安全防护重任一直由国外杀毒软件担当,此次诺顿严重误杀事件使得许多国家机关、金融、事业等重点行业、单位受到严重影响,这也将把如何更加有效保障国家重点部门信息安全的议题再一次提上相关部门的议事日程,而在这方面本土杀毒厂商应当责无傍贷地担当起重任,在技术、产品、服务各方面对自己提出更高的要求,从而避免此类误杀事件的再度重演.