自5月18日以来，继全球安全软件巨头赛门铁克—诺顿误杀简体中文版XP后，源自俄罗斯的卡巴斯基更是连爆四大误杀。上周五，诺顿用户刘先生率先向北京市海淀区法院提交了索赔5万元的起诉书。据了解，待法院审查后将决定是否立案。

    记者登录多家搜索引擎发现，“误杀、索赔”已成为曝光度最高的两大搜索关键词。一些网友在给我报论坛的留言中指出，误杀究竟误起何因，索赔究竟索之何据，在诸多报道中均未能找到答案，今天我们就来细细为大家解读。

    【关键词：误杀】

    诺顿

    事件回放

    5月18日，一些使用简体中文正版Windows XP的诺顿用户，其杀毒软件升级病毒库后，出现了开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等。症结是误将Winxp sp2的 Netapi32.dll 和 LsaSrv.dll报为病毒，并进行清除而起。

误杀究竟误起何因，索赔究竟索之何据

    专家解读

    误杀起因有两种

    昨天上午，记者收到了来自赛门铁克多位技术专家就误杀起因的详尽回复邮件。邮件中写道：误报检测的发生有各种各样的原因。主要有以下两种：

    一种是，基于启发式的检测被用于检测那些可能利用已知漏洞进行攻击的文件。这种类型的检测就是看这些文件所表现的特定特征?熏 这些特征通常能与漏洞有关联。一些非恶意软件也可能表现出不寻常的和可疑的行为，与已知的漏洞类似?熏启发式检测就有可能误判了这些文件。

    一种是，基于标准特征码的检测对特定威胁是精确的，有时，这种威胁会利用多个文件作为攻击的一部分，这些文件中有些文件本身并不是恶意软件。但是?熏它们也可以被用于有恶意目的的攻击。例如， 一个组件试图连接网络以获取远程文件。当我们与一个威胁一起收到这样的文件时，一个特征码会被加到这些附加文件上，来保护我们的客户。有时，如果这个文件也被用于合法的程序就会产生误报(就像本次误报)。

    赛门铁克安全响应中心每天要分析几万份可疑样本，同时每天会增加100多种新的检测更新。基于标准特征码的检测技术是专门针对威胁中的病毒或者木马部分，如果我们的特征码发现与特定文件匹配，我们就会判定这些文件有问题。

    最近，更多威胁被用于犯罪活动，例如在被病毒感染的机器上偷取机密信息。这样的威胁使用更为复杂的技术，例如，隐藏它的密码、反还原、反调试、反根技术包(antiAntiRootkitTech)、打包机、多形态到名字使用一些技巧来避免反病毒产品的检测。我们也看到一些合法的程序也在使用类似的技术和技巧来保护其产品不被非法使用。当遭遇到这样的程序时，赛门铁克安全响应中心采取非常谨慎的态度对待它们，以避免出现误报。

[NextPage]

    典型案例

    受访人：熊女士

    事发当日，由于使用的IBM X系列NB(笔记本电脑)没有光驱，被误杀XP后无法通过光盘恢复的熊女士只能请公司技术员帮忙维修硬盘。看着买了不到半年的NB就这样被人拆卸，因忙于打电话委托券商补仓(炒股)的她无暇心疼。结果，因为NB故障耽误了半个小时，等她电话补仓时就多花了5角每股买入。可是，即便这样也没能修好，最后是次日，托朋友借了个外置光驱修好。

    受访人：李女士

    直到上周五，同样中招的李女士给本报打来电话称她的NB还没修好。于是记者找到了她的诺顿软件购买店——中关村科贸连邦店的电话，她拨打后回复的结果为，由于店内没有常设技术人员，销售员记录下了李女士的电话，并表示诺顿答应一定会派个技术员过来，因为他们是诺顿的旗舰店，只要技术员一来就马上通知她，但不能明确哪天能来。

    卡巴斯基

    事件回放

    5月18日，卡巴斯基误将XP繁体中文版的系统文件shdocvw.dll文件当做“Trojan.Win32.Agent.alz”病毒清除。导致我国台湾地区不少中文用户死机，造成用户启动系统后桌面上所有图标都消失，并且无法看到任务栏。
 
    5月19日，卡巴斯基把瑞星卡卡的升级组件识别为病毒，并将其彻底删除，导致瑞星卡卡无法升级。

    5月19日，卡巴斯基将金山公司WPS2005安装程序释放的startMenu.dll文件当做“TrojanDownload.Agent.yoh”木马程序进行查杀，造成WPS2005无法被正确安装使用。

    5月21日，卡巴斯基将QQ官方版本中的“QQExternal.exe”文件当做“Trojan-Dropper.Win32.Agent.ajw”木马进行查杀，造成该软件许多功能无法正常使用。

    专家分析

    不排除安装的主流中文软件太少的可能

    一位国内资深防病毒专家史先生指出，对于所有的防病毒厂商而言，现在主流的特征码查杀病毒技术，确实没有办法完全避免误报。但是要做到不出现操作系统文件这类比较严重的误杀，还是较容易的。

    史先生表示，“每小时升级”是卡巴斯基的一大特色，也正是因此，卡巴斯基在追求这种升级速度的时候，其稳定性、准确性就需要更高的软硬件性能及监控力度。像卡巴斯基这类国际巨头，对中文软件的误判率非常高，不排除是因为其数据库里安装的主流中文软件太少，要摘掉在中国所获的“误报王”称号，卡巴斯基还有很长的路要走。

    典型案例

    受访人：朱先生

    家在台北但常驻北京工作的朱先生在接受记者采访时表示，18日，正在与即将来京探望自己的儿子在网上谈及相关事情的他们，在看到升级提示点击确认后，即刻死机，重启后只有一片蓝屏以对。不知何因的他们，只好通过长途电话来完成谈话。

    【关键词：索赔】

    最新事件

    市民要求索赔5万元

    上周五，北京市民刘先生向海淀区法院递交了起诉书，率先向诺顿索赔5万元。

    据记者了解，18日的“误杀”事件发生时，他正在准备招投标工作的文件全部丢失，误杀导致电脑瘫痪后，不仅造成了文件全部丢失，也无法在网络上进行股票交易，损失至少10万元。其诉求，主要包括三部分内容，其一是因“误杀”造成的股票交易损失，其二是对正版操作系统造成的损害，其三是刘先生在修理电脑的过程中，产生的误工费等费用。刘先生在诉状中向诺顿杀毒软件所属的赛门铁克?穴北京?雪公司索赔交通费、误工费、财产损失费等共计5万元。截至记者发稿之时，法院仍未就是否立案给予明确答复。

    业界观点

    信息安全方面的法律责任

    有待完善

    前述业界专家在谈及误杀赔偿时说：“5起误杀事件已经给电脑用户造成了麻烦和损失，目前，诺顿已经公开表示道歉，并承诺适时考虑赔偿。相比之下，尽管被误杀的瑞星已经正式声明要求卡巴斯基向广大用户和自己认错、道歉，但卡巴斯基却坚称自己没错。由于国内在信息安全方面的法律责任还在研究制定当中，特别是在事故责任和损失认定等方面尚属空白，因此企业或个人一旦索赔，将要面临非常繁杂的法律程序和漫长的诉讼，电脑用户的根本利益谁来维护？此次误杀事件给有关部门提出了一个现实课题。”

    律师分析

    依法维护自己的合法权益

    在接受记者采访时国内互联网界知名律师于国富表示，如果自己遇到类似的误杀问题，将会依法维护自己的合法权益。但他也指出，此类索赔将面临有效举证难的问题。同时，他还为记者解答了用户应如何举证、哪些证据属有效证据这两大疑问。

    证据分为如下两类：

    1.主体方面。即证明本人或本企业是这款杀毒软件的合法用户的证据，例如购买软件的发票、正版用户许可协议、正版光盘等。

    2.事实方面。即证明自己的电脑因杀毒软件的误杀受到损失及其具体数额的证据，比如合理的修复费用票据、目击证人证明电脑因误杀出现故障的证据、公证处出具的电脑故障情况的保全证据等。

    当然，根据目前的法律规定，用户如果因此事要求精神损害赔偿等，可能无法得到法律的支持。

中国品牌总网