杀毒软件厂商如何走出误杀阴影

    5月18日，这个不寻常的“黑色星期五”或许会成为赛门铁克大中华区的一场噩梦。虽然熊猫烧香、灰鸽子两个热门话题已经逐渐降温，但国内杀毒软件领域的敏感神经，却再次被诺顿在18日上演的“误杀乌龙”挑起。

    由于误将中文Windows XP中的系统文件当作木马程序屏蔽掉，5月17日和18日，诺顿杀毒软件导致部分安装了该软件的计算机系统瘫痪。23日，诺顿产品的母公司赛门铁克公司发表声明，向用户致歉并发布了官方解决方案。

    被称为“史上第一乌龙”的诺顿误杀事件，由于当事人赛门铁克方面态度“低调”，一度在坊间引起极大争论——一方面，业内竞争对手虽然并未对此落井下石，但频频暗示对方要“端正态度”；另一方面，法律专家关于赔偿话题众口一词——赔偿无上限。

    赛门铁克此前对赔偿一事的闪烁其词，和其在多个场合发表的道歉言论，形成颇为有趣的对比。5月23日下午，重压之下的赛门铁克终于有了积极的态度——安全响应中心高级总监Vincent Weafer特意飞到北京，首次针对误杀事件表态。之后又匆匆赶往用户会议，为此次误杀事件救火。

    此次会上，用户并未对所有关心事件得到具体的回答，但其官方称，赛门铁克正在积极协同合作伙伴将此次误杀事件的损失降到最低。据Vincent透露，赛门铁克公司总部广泛调动了中国、日本、欧洲和美国的技术专家和工程师与中国合作伙伴一道帮助客户恢复系统正常运行。此外，为了表明赛门铁克对中国市场的重视和持续关注，重拾部分中国用户信心，Vincent Weafer特意宣布，将继爱尔兰、美国和日本之后在中国成立全球第四家安全响应中心。

    至此，以本土化质疑赛门铁克技术领先形象的说法也随即烟消云散。

    谁导致了误杀

    Vincent Weafer毫不隐晦地将此次误杀事件作为重要事故。但他同时表示，任何一家安全公司都会存在误报问题，而赛门铁克的误报率在安全行业中是最低的。那么究竟是什么因素造成了这次事故？

    随着事件进一步发展，此次误杀事件的“罪魁祸首”也水落石出——赛门铁克安全响应中心的自动化系统造成了错判误杀。全球病毒愈演愈烈，安全响应中心平均每个月就发现5万个病毒，与去年同期相比，赛门铁克的保护频率增加了500%。正是在这样一个大环境下，任何安全产品不可能针对所有病毒逐一分析解决，而针对病毒特征码和威胁特点进行批量分析判定的自动化系统也就不可或缺。令人惊奇的是，这个“肇事者”此前已经出色地运作了长达五年的时间。但由于赛门铁克近日在自动化系统中进行了一处改动，却无意引发了一个简单定义发生变化，进而导致2个Windows系统文件被错误地检测为恶意软件。误报事件后，赛门铁克不断加强对自动化系统的测试，在保证最快速度更新保护的同时也做到安全运营。　　

    怎样弥补损失

    要知道损失到底有多大，首先就要看到事件波及有多广。赛门铁克大中华区技术支持负责人黄家辉表示并未统计数量，并强调造成误杀需要具备多个条件共同作用的特定环境，因此并非所有的简体中文版Windows XP都会出现如此事故。据悉，只有当用户使用的是简体中文版Windows XP SP2，更新了诺顿定义，激活其中一个文件，并重新启动设备等条件都同时满足下才会出现误杀情况。他表示：“实际数量远小于网上流传的预估数字。”同时他也代表公司对用户表达了歉意。

    据赛门铁克负责人回忆，公司对整个事件处理过程是这样的：赛门铁克于北京时间5月18日上午9:30接到误报的提示并迅速展开调查，发现此次错误检测是由自动化系统引起的。该误报信息被立即从定义文件中删除，并在一小时内发布了修补定义。赛门铁克安全响应中心随后发布了包含最新定义的LiveUpdate更新，并于北京时间下午2:30生效，距离收到误报信息的时间约为4.5小时，在技术上以最快速度防范了此次事件的进一步蔓延。

    而对于用户普遍关心的赔偿要求，Vincent Weafer介绍，公司将协同合作伙伴集中精力帮助用户恢复系统，“其他的问题在用户系统恢复之后再考虑”。这是赛门铁克对此次问题的首次回答。

    渠道如何反映

    误杀事件发生后，记者随机电话采访了几家诺顿杀毒软件代理商。事处敏感期的众渠道商大都认为“需要看赛门铁克方面的官方表态”。

    由于诺顿的主要市场是在企业级用户一方，所以市场上个人用户对此事反响不大。记者致电杭州地区诺顿产品的某行业代理商周先生询问情况时，他告诉记者：“当天有用户反映被误杀后，我们就紧急与厂商取得了联系。除按照解决方案处理了问题之外，我们还主动与行业用户联系，提醒用户一些注意事项。”

    来自成都数码广场的诺顿产品经销商周晓光先生表示，误杀的事件并不鲜见。“到目前为止，销量并没有受到太大影响”。

    有业内人士分析，此次事件，将对诺顿产品的渠道商出货量造成短期影响。至于影响的程度，则要看事件的进展。“但由于诺顿给客户的感觉向来较为稳定成熟，一次偶然失误不足以引起其渠道方面的振荡”。

    而此前，诺顿的官方声明中都提到，将和代理商合作伙伴一起将问题解决好。

    怎样摆正位置

    对于事故的成因，瑞星市场总监马刚认为，对测试工作的放松是主要原因。他说：“厂商如果过度注重杀毒数量、升级频率等指标，对系统稳定性、测试严格度有所放松，就容易造成误杀或者误报。”

    马刚说：“本地化程度高，能将精力集中于研究国内病毒样本，这是国内杀毒软件的优势。杀毒软件市场需求日益扩大，而市场需求也在以每年30％的速度增长，对于厂商来讲，这是最大的利好消息。”

    他说：“我们应当着眼于客户的需求，求解这个行业共同面临的难题：病毒和杀毒软件之间的技术竞争越来越剧烈，包括病毒加壳、木马病毒的泛滥、网页木马的流行等，都对杀毒软件的技术进步提出更高的要求。”

    赛迪顾问软件产业研究中心分析师张曦认为，杀毒技术走到今天，要有哪怕是一点点创新都非常之困难，但稍微打个盹就有可能会出事。

    张曦介绍说，国外的杀毒软件厂商在国内发展，其优势和劣势都相对明显。优势是与微软系统对接、融合得非常好，而劣势是对国内的病毒样本收集、反应速度较慢。造成在市场上的外在表现也各有不同——国外的杀毒软件厂商较为低调，鲜见参加各种各样的促销活动；价格较为稳定，总体感觉成熟。而国内厂商却善于使用各种促销手段，博取更大的市场份额。

    张曦说：“目前市场格局较稳定。除非有革命性技术的问世，否则不会出现较大变化。各有各的一亩三分地，越界是很难的。”

    史上典型“误杀乌龙”

    诺顿

    2001年诺顿误报瑞星2002版杀毒软件带有“欢乐时光”病毒。

    2004年12月，诺顿检测出《天堂II》网络游戏中捆绑有“PWSteal.Trojan”型木马，《天堂II》主程序自身被删除或隔离。

    卡巴斯基

    今年3月份，卡巴斯基提示《魔界》、《挑战》等游戏更新包含有病毒，著名的系统清理软件——超级兔子魔法设置,也曾被卡巴斯基报警。

    卡巴斯基6.0误报金山词霸执行了可疑操作，使不少原来依赖于网上词典的用户放弃了初衷。

    值得一提的是，卡巴斯基仅仅是误报并未误杀，没有造成损失。
   
    瑞星

    今年4月，瑞星误报war3.exe为木马，导致《魔兽争霸3》无法正常运行，瑞星会自动删除war3.exe文件，并误报其为“Trojan.Mnless.jzi木马程序”，当运行《魔兽争霸3》时会提示“冰封王座无法找到war3.exe.请确认游戏已正确安装,以及冰封王座光盘已在光盘驱动器中”。

    金山

    金山毒霸误报联想应用程序文件为病毒并予删除，最后联想用户明白是误报时，纷纷要求金山拿出解决方案。　　

    金山毒霸查出《热血江湖》封测客户端中yb_mem.dll文件带毒，并删除该文件。后经确认是杀毒软件误报，使得《热血江湖》用户无法打开游戏。

    江民

    江民KV2005刚发布后，有用户反映其“预杀”行为过激——将某些硬件驱动程序的文件当作可疑文件误报。

中国品牌总网

1