自5月18日以来,继全球安全软件巨头赛门铁克—诺顿误杀简体中文版XP后,源自俄罗斯的卡巴斯基更是连爆四大误杀。上周五,诺顿用户刘先生率先向北京市海淀区法院提交了索赔5万元的起诉书。据了解,待法院审查后将决定是否立案。
记者登录多家搜索引擎发现,“误杀、索赔”已成为曝光度最高的两大搜索关键词。一些网友在给我报论坛的留言中指出,误杀究竟误起何因,索赔究竟索之何据,在诸多报道中均未能找到答案,今天我们就来细细为大家解读。
【关键词:误杀】
诺顿
事件回放
5月18日,一些使用简体中文正版Windows XP的诺顿用户,其杀毒软件升级病毒库后,出现了开机后自动重启、蓝屏,屏幕上显示unknown hard error的字样,安全模式下也无法正常进入系统等。症结是误将Winxp sp2的 Netapi32.dll 和 LsaSrv.dll报为病毒,并进行清除而起。
误杀究竟误起何因,索赔究竟索之何据
专家解读
误杀起因有两种
昨天上午,记者收到了来自赛门铁克多位技术专家就误杀起因的详尽回复邮件。邮件中写道:误报检测的发生有各种各样的原因。主要有以下两种:
一种是,基于启发式的检测被用于检测那些可能利用已知漏洞进行攻击的文件。这种类型的检测就是看这些文件所表现的特定特征?熏 这些特征通常能与漏洞有关联。一些非恶意软件也可能表现出不寻常的和可疑的行为,与已知的漏洞类似?熏启发式检测就有可能误判了这些文件。
一种是,基于标准特征码的检测对特定威胁是精确的,有时,这种威胁会利用多个文件作为攻击的一部分,这些文件中有些文件本身并不是恶意软件。但是?熏它们也可以被用于有恶意目的的攻击。例如, 一个组件试图连接网络以获取远程文件。当我们与一个威胁一起收到这样的文件时,一个特征码会被加到这些附加文件上,来保护我们的客户。有时,如果这个文件也被用于合法的程序就会产生误报(就像本次误报)。
赛门铁克安全响应中心每天要分析几万份可疑样本,同时每天会增加100多种新的检测更新。基于标准特征码的检测技术是专门针对威胁中的病毒或者木马部分,如果我们的特征码发现与特定文件匹配,我们就会判定这些文件有问题。
最近,更多威胁被用于犯罪活动,例如在被病毒感染的机器上偷取机密信息。这样的威胁使用更为复杂的技术,例如,隐藏它的密码、反还原、反调试、反根技术包(antiAntiRootkitTech)、打包机、多形态到名字使用一些技巧来避免反病毒产品的检测。我们也看到一些合法的程序也在使用类似的技术和技巧来保护其产品不被非法使用。当遭遇到这样的程序时,赛门铁克安全响应中心采取非常谨慎的态度对待它们,以避免出现误报。