“诺顿误杀”修复与预防_信息安全频道_eNet硅谷动力

安全频道

　　5月18日，国内大量用户的电脑集体出现问题：开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等等。用户的第一反应就是感染了病毒，而在经过反病毒专家的仔细分析后，发现了问题的症结所在：国外某知名杀毒软件的误报所致。该杀毒软件将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll误报为病毒，并进行了隔离，从而导致用户在重启后将无法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国内影响面最大的误报事件...>>详细

诺顿误报数百万台电脑面临崩溃

症状描述

·安装了MS06-070补丁的XP系统，如果将诺顿升级最新病毒库，诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。

影响版本

·诺顿企业版和标准版 Rev 18

影响系统

·Windows XP简体中文版

赛门铁克就此事说明

·赛门铁克发出的LiveUpdate更新定义错误的把微软简体中文Windows XP 中的2个系统文件当作Backdoor.Haxdoor进行了删除，从而造成Windows系统在根据错误检测重启后无法运行 ...>>详细

律师提醒遭到诺顿误杀损失用户可索赔

·由于我们国家没有明确的索赔标准，我们每个用户使用电脑的用途也不一样，比如说有的是打电子游戏，有的是炒股，有的是做其他更重要的工作，大家因为这个事件造成的损失也不同，损失不同，索赔额也就不同...>>详细

关注杀毒市场的安全性

诺顿误杀事件凸显杀毒市场安全性软肋

　　一天之内，趋势科技、江民、瑞星等公司收到的求助电话，可能比“熊猫烧香”“灰鸽子”等病毒爆发当天收到的求助电话还要多。此次事件使国内电脑用户损失惨重，同时也凸显出一个大多数人都没有重视的而又及其重要的问题，杀毒软件通过自有的病毒库帮助我们查杀病毒，谁来帮助我们制定软件产品的病毒库标准，监测其有效性、安全性。如果病毒库出现问题，那导致的后果将比中了病毒更严重。

我国法律不能保护用户的合法权益 “误杀”之过谁来承担

　　从“灰鸽子”到“光纤中断”国内杀毒软件市场一直是非不断，上周国际知名的杀毒软件诺顿又因为简体中文版Windows XP系统文件导致用户系统崩溃，而成为市场焦点。
　　业内人士表示：外资企业对中国消费者赔偿不积极或索性耍流氓是因为我国的法律不能保护用户的合法权益，一出事大家就骂这些外企瞧不起中国消费者，其实与中国在相关法律法规上的空白有很大关系，我们的法律目前还不能保护我们的消费者。

“误杀事件”频出一波未平一波又起

5月18日“诺顿误杀”事件则是杀毒软件厂商自己踢出的一个“乌龙球”，将电脑系统文件当成了病毒进行大规模的“屠杀”，致使国内万余使用诺顿杀毒软件的国内用户电脑瘫痪更值得注意的是，一波“误杀”未平，19日，瑞星便曝猛料：卡巴斯基无故扼杀瑞星卡卡；5月22日，又爆出卡巴斯基将腾讯的QQ“误杀”（有说法属于“误报”）。

国外杀毒软件身陷误杀门国内厂商免费救场

　　“误杀”给用户带来了严重的损失，系统崩溃、重要资料丢失、业务无法开展等等，严重干扰了企事业单位工作的正常开展，同时也使部分企业用户面临着更大的病毒威胁。为了有效地帮助被误杀的企业及个人用户尽快恢复系统，防止病毒的大规模入侵，5月23日，江民科技宣布即日起面向全国开展《江民安全中国行》大规模企业网络安全救援活动，实施两大举措保护我国企业级用户的网络和信息安全。

“诺顿门”的启示

国内杀毒软件厂商优势凸显

　　长期以来，不少网民和大单位都认为“洋”杀毒软件更可靠，这其实是个误区。从近些年的病毒疫情报告来看，病毒本土化趋势明显，国内的黑客、有毒网页增多，上网者面临的安全风险主要来自国内，像“熊猫烧香”等破坏力较大的病毒都是国产杀毒软件率先截获的。

律师点评：法律不健全诉讼程序繁琐

　　由于我们国家没有明确的索赔标准，我们每个用户使用电脑的用途也不一样。大家因为这个事件造成的损失也不同，损失不同，索赔额也就不同。但由于国内在信息安全方面的法律责任还在研究制定当中，特别是在事故责任和损失认定等方面还是空白，因此企业或个人一旦索赔，可能面临非常烦琐的法律程序和诉讼时间。

保障国家重点部门信息安全意识待提高

　　长期以来，我国重点行业部门的信息安全防护重任一直由国外杀毒软件担当，此次诺顿严重误杀事件使得许多国家机关、金融、事业等重点行业、单位受到严重影响，这也将把如何更加有效保障国家重点部门信息安全的议题再一次提上相关部门的议事日程。

防范措施

　360安全卫士提供诺顿误杀XP事件U盘解决方案

　　用户只需要到dl.360safe.com/windowsfix.rar下载“USB系统恢复盘”，运行其中的USBBoot.exe文件制作一个修复U盘，在通过USB-ZIP启动系统后，根据提示操作，最后重新启动系统即可修复故障。
　　安全专家表示，对于已经更新诺顿杀毒软件但尚未重启系统的用户，请再次将更新诺顿。而对于已经陷入瘫痪的系统，可以使用Windows系统安全光盘，配合恢复控制台来解决，不过操作比较烦琐，对普通电脑用户有一定难度。

　瑞星“诺顿误杀中文Winxp”事件解决方案

　　还没有受到误杀影响的用户
　　1、拔掉网线再开启计算机。
　　2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。
　　3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
　　4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。

　　对于系统已经瘫痪的用户：
　　1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。
　　2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码...

　江民“诺顿误杀中文Winxp”事件解决方案

　　1、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复两个文件。
　　2、已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘，并设置BIOS从光驱启动，选择从控制台恢复系统，拷贝上述两个文件到硬盘相应目录下。
netapi32.dll和lsasrv.dll 文件在光盘f:\I386目录下
把上述两个文件分别拷贝到以下两个路径：
c:\windows\system32\netapi32.dll
c:\windows\system32\lsasrv.dll
　　3、重启电脑，修改BIOS从硬盘启动电脑，系统即可进入。

　诺顿“误杀”造成安全事故金山解决方案

　　1、诺顿企业版用户，但未受影响者：
　　（1）如果企业刚好采用NORTON企业版杀毒软件，可以立即通知全网禁止NORTON的实时监控功能
　　（2）配置升级回滚，撤销本次引发误报的5.17-5.18版病毒库，恢复到5.16版病毒库。
　　（3）通知所有客户机不要重启电脑，然后从NORTON隔离区还原相应文件至系统目录，避免灾难性的后果。
　　2、诺顿企业版用户，已经遭遇本次误报影响：
　　对已经崩溃的系统，只能采取应急修复，除了前面提到的故障恢复控制台操作外，为简化修复步骤，可以使用winpe光盘引导系统，再COPY这两个系统文件到windows\system32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。

编辑策划：孙杰　　Email:jsun@mail.enet.com.cn　　联系电话：010-65245588

热门关键字：手机 | 笔记本电脑 | 数码 | 数码相机 | 服务器 | 笔记本 | 显示器 | 学院 | 软件下载 | 游戏 | IT女性 | 方案库