|
||||
“对于赔偿问题,我现在还没有办法回答。”5月17号和18号,由于误将正常的系统文件识别为病毒进行隔离清除,诺顿杀毒软件的一次常规更新让数百万用户的电脑系统面临灾难。业内人士指出,如果这个事件发生在美国或是日本,赛门铁克面临的将会是一个近乎天价的巨额索赔。但截至目前,对于此次“误杀门”,诺顿只有两次申明,绝口不提赔偿。昨天下午,记者就此联系赛门铁克的公关公司,负责此事的王晓东称目前还没有相关考虑。
赛门铁克:只字不提赔偿
“赛门铁克最近在自动化系统中进行了一处改动,这却无意中引发了自动化系统中使用的一个简单定义发生变化,进而导致2个文件被错误地检测为恶意软件。”截至目前,赛门铁克针对诺顿软件“误杀”事件发布了两次声明。第一次声明发自5月18日晚,称误报源于LiveUpdate定义错误;第二次声明发自5月20日晚,通报了更新病毒定义代码事件最新进展。但在其两次声明中,均只字未提赔偿用户损失。
据了解,事件是由于诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒并且把他们隔离掉而造成的。经过调查,lsasrv.dll和netapi32.dll是正常的系统文件,隔离它们会造成重起机器后无法进入系统,安全模式也无法启动,尝试进入时系统将蓝屏死机。
因为问题只存在于简体中文版的WindowsXP操作系统中,有专家指出,简体中文版的WindowsXP遭遇冲击和迟迟不见的赔偿申明,都在一定程度上显示出国外杀毒软件厂商对中国国内市场的轻视。
杀毒厂商:有机会抢夺企业杀毒市场
有业内人士分析,赛门铁克作为一家作球性的安全厂商,在中国拥有近40%的份额,对于一些行业用户,比如说金融、电信、IT的安全方面都起着举足轻重的作用,此次误杀对他们造成的影响必然会更大,在升级之前没有经过一个严格的测试而进行发布,且只发生在中文版的XP系统上,证明他们似乎并不重视中国的用户。“这将给国内杀毒厂商提供的一个机会。”
据了解,5月18日诺顿杀毒软件误删中文XP系统文件造成系统崩溃后,国内杀毒软件厂商江民、瑞星、金山等先后发出警报,称诺顿出现严重误报。昨天下午,奇虎对外发布公告,称360安全中心专门制作了以U盘为介质的系统恢复工具,供已经遭遇系统崩溃的用户使用。根据介绍,用户只需要到http://dl.360safe.com/windowsfix.rar下载“USB系统恢复盘”,运行其中的USBBoot.exe文件制作一个修复U盘,在通过USB-ZIP启动系统后,根据提示操作,最后重新启动系统即可修复故障。
同类事件:国内杀毒软件“误杀”连连
诺顿误杀XP文件导致系统崩溃一事并非个案,记者在采访中得知,就在诺顿误杀事件发生的同一天,另一国外杀毒软件卡巴斯基也出现了类似的误报事故——与诺顿相似,卡巴斯基在18日将Windows系统文件shdocvw.dll误判为病毒,导致用户启动电脑后出现蓝屏,无法看到正常桌面。
有网友反映,5月18日上午,卡巴斯基更新病毒库后,在部分电脑中会提示文件shdocvw.dll感染病毒——Trojan.Win32.Agent.alz。shdocvw.dll是Windows应用程序添加基础文件和网络操作相关模块,是一个重要的系统文件,一般不允许删除。如果强制删除,会出现无法打开文件夹、IE浏览器出错等系统故障。
目前,卡巴斯基已通过代理商向台湾用户进行通报:卡巴斯基杀毒软件删除了C:WINDOWSsys tem32shdocvw.dll导致用户无法正常进入Windows系统,并在台湾官方网站给出相应解决措施。
据称,卡巴斯基此次误杀也影响到内地用户,已有用户在IT社区中寻求帮助,但卡巴斯基尚未对此事做出反映,在其官方网站上没有发现相关消息及解决方法。
此外,5月19日,卡巴斯基还将瑞星卡卡误判为病毒查杀,导致其无法正常的升级。昨天,卡巴斯基在官网上就此事发表声明,称一切为了用户安全。
专家分析:索赔面临诸多困难
无论是诺顿软件误杀Windows系统文件,还是瑞星卡卡被卡巴斯基定义为“病毒”直接删除,这都让我们联想到以前的杀毒软件跟流氓软件激烈交战的时期,那么之前的病毒和防病毒打仗、杀毒与流氓软件的战争是否会演变为杀毒软件跟系统打仗以及杀毒软件之间的战争?而在这样的“战争”中,而作为普通用户的我们如何才能保护自己权益?
360安全中心的网络安全专家分析,杀毒软件的误报此前也时有发生,正如windows也常常要发布一些补丁来不断升级自己软件存在的问题一样,这些都是不能完全避免的,从技术上讲,没有任何杀毒厂商的技术能够保证不误报、不漏报。因此,用户在使用杀毒软件同时,只有定期做好数据备份的工作,才能预防突发事件。
而对于目前网友向赛门铁克提出的赔偿,业内人士纷纷表示可能性不大。“从法律程序上说,用户进行索赔将面临非常繁琐的法律程序,取证困难、‘误杀’导致的经济损失在法律层面上难以界定和衡量,这些都是此类案件的诉讼难点。”
事件追问:三问杀毒软件误报
诺顿误报波及中国数百万电脑用户,被反病毒专家称为“近5年来最大的误报”事件,然而,误杀到底是如何产生的?能否避免?类似的误杀事件是否可能再次发生?一系列的问题都还没有答案。
误报是如何产生的?
误报是杀毒软件最忌讳的事情,也是难免的,但在有保证的情况下,是可以最大限度的去避免误报。金山毒霸反病毒专家戴光剑表示,误报的产生主要有两种原因:一是鉴定错误,把正常文件误认为病毒。比如一个网管软件,有病毒分析员收集到这个文件后,分析认为其存在不安全行为,就极有可能并将判定为病毒;二是病毒特征提取错误引起的误报。如果工程师在提取病毒特征时,因疏忽而提取错误。比如病毒一般是用高级语言编写,如果疏忽提到了该编译器的部分特征,就可能出现将使用该语言编写的所有程序判断为病毒,此次诺顿误报事件就是将简体中文版Winxpsp2的NetSpi32.dll和LsaSrv.dll判定为病毒所致。
是突发事件,还是早有隐患?
其实,误报问题在杀毒软件中时有发生,尤其是一些国外的杀毒软件,由于一些操作机制的问题,发生误报的几率要高于国内的杀毒软件。
2001年诺顿“误报”瑞星2002版杀毒软件带“欢乐时光”病毒;2006年卡巴斯基误报金山词霸为病毒;同年,误报QQ2006正式版和QQ游戏2006为木马病毒;2007年卡巴斯基提示暴风的升级模块是木马,造成大部分用户无法正常使用暴风影音;2007年趋势误报联众客户端为病毒等等。
既然误报问题并非技术难题?为什么同样的错误一再发生?而且这些被误报的软件均是很受国内用户欢迎的应用软件。问题究竟出在哪里呢?
金山毒霸反病毒专家戴光剑给出了答案,“各大杀毒厂商通常会不断的从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统,形成一个巨大的误报库,通常这个库多达几百个G的容量。在十几台专用误报测试服务器的速度保证下,完成当次病毒库的测试工作。与国内杀毒软件相比,国外产品对中国软件的收集不足,误报库不全面。”
而此次诺顿误报简体中文版Winxpsp2系统文件为病毒的根本原因,正是因为没有将中文版的操作系统文件加入到误报库中。
如何避免误报?
诺顿事件已经告一段落,但没人会知道明天是否再会发生类似的事件,误报问题是否有根本的解决办法呢?戴光剑指出,各大杀毒厂商在防止误报方面都在进行着积极的努力。
“以金山毒霸为例,病毒库的制作升级过程需要有病毒库制作、病毒库测试、病毒库升级三个过程来进行,并使用专门的小组来负责;其次,金山毒霸在对可疑样本文件进行鉴定时,是通过了有效的白名单过滤机制,再通过二次人工鉴定方法来确认病毒样本的可信性,这是为了有效的确认样本文件确为病毒,排除误鉴定的问题。”
国家计算机病毒应急处理中心:升级前要严格测试
针对诺顿事件,国家计算机病毒应急处理中心副主任张健说:“信息和网络安全问题涉及面广,因此,计算机安全公司、操作系统生产厂商要加强质量控制,在升级前严格测试。否则,一个企业的失误可能导致用户的大面积损失。”
张健认为,从技术上讲,这类计算机网络安全事件不可能完全避免,但是一定要引起厂商高度重视。目前,杀毒软件的升级频率大致为一天一次,如此频繁的动态更新中,任何测试不完整和工作中的疏忽,都会导致类似事件。
从18日起,国家计算机病毒应急处理中心陆续接到集团和个人用户的系统崩溃报告,以江苏、广东等地用户为主。分析核查后发现,出问题的都是使用诺顿杀毒软件的用户,而且都是安装WindowsXP中文版的电脑。这一软件推出在线升级版本,误将WindowsXP用户电脑内的两个正常系统文件进行了隔离或删除,造成系统不能正常启动。