杀毒软件竟是病毒本色——董师傅谈诺顿“走火”事件
董师傅茶坊
2007年5月17日,诺顿杀毒软件升级病毒库后,误把Windows XP系统的重要系统文件当作病毒清除,导致重启后系统瘫痪,数百万的诺顿用户全部遭殃。我们的读者热线,还有各个杀毒厂商的客户服务中心不停地接到众多个人用户和企业用户的求助电话。为什么一次简单的病毒库升级会造成如此严重的后果?大名鼎鼎的诺顿到底怎么了?今天董师傅就和大家一起讨论这个话题。
事件:系统“挂”在诺顿升级后
2007年5月17日,当诺顿用户升级病毒库后弹出一个通知窗口,这是一个典型的诺顿反病毒软件的自动防护通知框,提示发现了名为netapi32.dll和lsasrv.dll的Backdoor.Haxdoor的威胁,从病毒文件名来看是一个后门病毒,能够让黑客入侵或偷走用户资料的病毒程序。该文件所在路径在系统的C:\Windows\system32下面,奇怪的是这个DLL(动态链接库)文件被发现有威胁之后,诺顿既清除不了也隔离不了,这时候一些朋友就选择了重启,进入系统的安全模式杀毒,但当他们重启后就再也无法正常进入系统,安全模式也无法再进入从而造成系统蓝屏。
小知识:netapi32.dll是Windows网络应用程序接口,用于支持访问微软网络。而Backdoor.Haxdoor后门与灰鸽子非常类似,它的隐藏技术还要强过灰鸽子木马。由于目前网络炒股的朋友非常多,而Backdoor.Haxdoor后门极有可能在此期间发作,大家需要高度警惕。
急救:使用诺顿的朋友请注意
对于因此造成系统崩溃的用户,我们可以在电脑中放进Windows XP安装光盘,然后重新启动计算机并设置计算机第一启动为光驱。当Windows设置过程中驱动程序加载完毕后,选择“R”启动系统的恢复控制台。接着依次输入下列命令从安装光盘提取被隔离的文件即可:
cd c:\windows\system32
expand X:\i386\netapi32.dl_(X:为光驱的盘符)
expand x:\i386\lsasrv.dl_
cd dllcache
expand x:\i386\netapi32.dl_
expand x:\i386\lsasrv.dl_
最后输入“exit”,重新启动计算机即可进入系统。
还未升级诺顿的朋友开机后请关闭诺顿,等待官方给出正确方法后再使用。
声音:低级错误不可忍
中国用户在误杀事件中遭受了重大的损失,因此不管是安全人士还是普通网友,都通过不同的渠道发布了自己的声音。
金山毒霸反病毒专家李铁军声称:此次电脑病毒误报事件可以称为是近5年来国内最大的误报事件。
瑞星研发负责人刘刚分析:近年来部分反病毒企业为了追求病毒数量、查杀率、新病毒反应时间等单项技术指标,而降低了产品测试的标准。这样做会导致两个很严重的后果,一是误报率急速上升,二是容易出现重大的产品Bug导致严重的后果。
网友七嘴八舌:
“赛门铁克的病毒库是全球统一的,为什么这次只有微软中文操作系统出问题呢?简直太过分了!”
“不可饶恕这种低级错误。”
“不再信任诺顿了。我们寝室有两个同学用的正版诺顿,系统全挂了,目前正在用卡巴斯基。”
“一个在盛大信息部工作的朋友说他们公司有数千台客户机,公司购买了诺顿企业版,那天他快疯了。”
分析:病毒特征码是如何提取的?
造成这个事故的源头在于赛门铁克在SAV 2007-5-17 Rev 18版本的病毒特征码中,将Windows XP的两个系统文件判定为Backdoor.Haxdoor病毒。为什么会被判定错误呢?首先我们来看看杀毒软件的病毒特征码是如何提取的。
当安全厂商的工程师得到病毒样本以后,首先会通过PE文件察看器找到病毒文件的程序入口,接着用IDA先来看看入口处前面的100行代码,从而查看病毒是否是变形或EPO的,如果不是就开始找到这个入口所在的节的结尾处,把从入口到结尾处的代码提取出来即可。如果是分开放的代码(例如CIH),就要分析入口代码一段一段来提取。病毒特征码的提取除了使用人工进行提取以外,有的时候也可以通过程序进行自动提取,这样通过多段特征码的同时验证,可以有效的保证杀毒软件的误杀几率。提取完成后将其添加到本厂商的病毒库中,接着工程师会在本地进行反复测试验证,从而有效验证该病毒特征码是否能有效的进行病毒鉴别。如果杀毒软件验证无误的话,那么就进行公开的发布,这样用户就可以进行病毒库的更新了。
我们不想被误杀
诺顿这次犯的低级失误,瞬间就让百万系统集体崩溃,简直比爆发型病毒还厉害。目前此事件给社会造成的恶劣影响和损失也是难以计算的,追究原因,杀毒公司之间的激烈竞争才是导致这次惨剧的根本,在一味盲目追求发表病毒速度和病毒库数量的较量中,病毒工程师们居然忙到忘记了最基础的病毒安全测试。不过被杀毒软件误伤受损失的广大用户,在目前IT安全相关法律不健全的情况下,并不能像遇到交通事故样能得到金钱赔偿。因此,IT产品的用户一定要吃一堑长一智,特别是企业用户,应该在购买产品后了解如何最大限度地保护自己的权益,这样碰到类似的事件才能合法得到赔偿,不至于损失惨重。