自5月18日以来,继全球安全软件巨头赛门铁克—诺顿误杀简体中文版xp后,源自俄罗斯的卡巴斯基更是连爆四大误杀。上周五,诺顿用户刘先生率先向北京市海淀区法院提交了索赔5万元的起诉书。据了解,待法院审查后将决定是否立案。
记者登录多家搜索引擎发现,“误杀、索赔”已成为曝光度最高的两大搜索关键词。一些网友在给我报论坛的留言中指出,误杀究竟误起何因,索赔究竟索之何据,在诸多报道中均未能找到答案,今天我们就来细细为大家解读。
【关键词:误杀】
诺顿事件回放
5月18日,一些使用简体中文正版windows xp的诺顿用户,其杀毒软件升级病毒库后,出现了开机后自动重启、蓝屏,屏幕上显示unknown hard error的字样,安全模式下也无法正常进入系统等。症结是误将winxp sp2的 netapi32.dll 和 lsasrv.dll报为病毒,并进行清除而起。
专家解读:误杀起因有两种
昨天上午,记者收到了来自赛门铁克多位技术专家就误杀起因的详尽回复邮件。邮件中写道:误报检测的发生有各种各样的原因。主要有以下两种:
一种是,基于启发式的检测被用于检测那些可能利用已知漏洞进行攻击的文件。这种类型的检测就是看这些文件所表现的特定特征?熏 这些特征通常能与漏洞有关联。一些非恶意软件也可能表现出不寻常的和可疑的行为,与已知的漏洞类似?熏启发式检测就有可能误判了这些文件。
一种是,基于标准特征码的检测对特定威胁是精确的,有时,这种威胁会利用多个文件作为攻击的一部分,这些文件中有些文件本身并不是恶意软件。但是?熏它们也可以被用于有恶意目的的攻击。例如, 一个组件试图连接网络以获取远程文件。当我们与一个威胁一起收到这样的文件时,一个特征码会被加到这些附加文件上,来保护我们的客户。有时,如果这个文件也被用于合法的程序就会产生误报(就像本次误报)。
赛门铁克安全响应中心每天要分析几万份可疑样本,同时每天会增加100多种新的检测更新。基于标准特征码的检测技术是专门针对威胁中的病毒或者木马部分,如果我们的特征码发现与特定文件匹配,我们就会判定这些文件有问题。
最近,更多威胁被用于犯罪活动,例如在被病毒感染的机器上偷取机密信息。这样的威胁使用更为复杂的技术,例如,隐藏它的密码、反还原、反调试、反根技术包(antiantirootkittech)、打包机、多形态到名字使用一些技巧来避免反病毒产品的检测。我们也看到一些合法的程序也在使用类似的技术和技巧来保护其产品不被非法使用。当遭遇到这样的程序时,赛门铁克安全响应中心采取非常谨慎的态度对待它们,以避免出现误报。
典型案例
受访人:熊女士
事发当日,由于使用的ibm x系列nb(笔记本电脑)没有光驱,被误杀xp后无法通过光盘恢复的熊女士只能请公司技术员帮忙维修硬盘。看着买了不到半年的nb就这样被人拆卸,因忙于打电话委托券商补仓(炒股)的她无暇心疼。结果,因为nb故障耽误了半个小时,等她电话补仓时就多花了5角每股买入。可是,即便这样也没能修好,最后是次日,托朋友借了个外置光驱修好。
受访人:李女士
直到上周五,同样中招的李女士给本报打来电话称她的nb还没修好。于是记者找到了她的诺顿软件购买店——中关村科贸连邦店的电话,她拨打后回复的结果为,由于店内没有常设技术人员,销售员记录下了李女士的电话,并表示诺顿答应一定会派个技术员过来,因为他们是诺顿的旗舰店,只要技术员一来就马上通知她,但不能明确哪天能来。
卡巴斯基事件回放
5月18日,卡巴斯基误将xp繁体中文版的系统文件shdocvw.dll文件当做“trojan.win32.agent.alz”病毒清除。导致我国台湾地区不少中文用户死机,造成用户启动系统后桌面上所有图标都消失,并且无法看到任务栏。
5月19日,卡巴斯基把瑞星卡卡的升级组件识别为病毒,并将其彻底删除,导致瑞星卡卡无法升级。
5月19日,卡巴斯基将金山公司wps2005安装程序释放的startmenu.dll文件当做“trojandownload.agent.yoh”木马程序进行查杀,造成wps2005无法被正确安装使用。
5月21日,卡巴斯基将qq官方版本中的“qqexternal.exe”文件当做“trojan-dropper.win32.agent.ajw”木马进行查杀,造成该软件许多功能无法正常使用。
专家分析:不排除安装的主流中文软件太少的可能
一位国内资深防病毒专家史先生指出,对于所有的防病毒厂商而言,现在主流的特征码查杀病毒技术,确实没有办法完全避免误报。但是要做到不出现操作系统文件这类比较严重的误杀,还是较容易的。
史先生表示,“每小时升级”是卡巴斯基的一大特色,也正是因此,卡巴斯基在追求这种升级速度的时候,其稳定性、准确性就需要更高的软硬件性能及监控力度。像卡巴斯基这类国际巨头,对中文软件的误判率非常高,不排除是因为
