诺顿事件

May 20th 2007,10:48 AM 百态生活 , , 0 comments

      5月18日上午,赛门铁克旗下著名杀毒软件Norton Internet Security 2007提示Windows XP用户有后门病毒(一种名叫“哈克斯”的病毒,可盗取用户密码、记录键击、开启任意TCP端口的后门病毒,传播途径包括邮件、系统漏洞以及系统弱口令等。),并开始自动清除,清除完成后提示重新启动,而Windows则警告有文件被替换,需要插入原安装盘恢复文件。而电脑在重新启动后蓝屏,即使在安全模式下也无法正常进入系统。
据了解,没有升级到诺顿最新病毒库的电脑未发生问题。国内知名杀毒软件厂商瑞星公司向搜狐IT表示,此次事件并不是由于病毒引起,而是由于诺顿报错所致。瑞星公司表示,凡是安装了诺顿杀毒软件的Windows XP用户,都会出现故障。

      对此,瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除,从而造成系统崩溃。 

      由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上,因此对国外用户几乎没有影响。

      关于该事件的原因,瑞星研发负责人刘刚表示,近年来部分反病毒企业为了追求病毒数量、查杀率、新病毒反应时间等单项技术指标,而降低了产品测试的标准,这样做会导致两个很严重的后果,一是误报率急速上升,二是容易出现重大的产品BUG,甚至导致比普通的病毒攻击更严重的后果。

    -事发
大批电脑陷入瘫痪
用户王先生表示,早上9点,他装的诺顿杀毒软件升级最新病毒版本2007-5-17-rev.18,并升级文件20070517-018- x86.exe,但是电脑突然间蓝屏,并瘫痪。遭遇类似事件的并非王先生一人,据记者了解,北京一家报社与上海一家网络游戏公司遇到了同样的问题,超过 2000台电脑瘫痪,初步统计损失几百万元。
瑞星公司称,截至昨天下午5点,已有1.4万余名个人用户和上千家企业用户向瑞星客户服务中心求助。江民公司称有上百家用户向他们求助。

-究因
杀毒软件升级犯错
昨天,国家计算机病毒应急处理中心在官方网站发布公告称, 此事缘于赛门铁克Windows XP中文版杀毒软件出现升级错误,有可能造成系统不能正常启动。同时,该中心对受到影响的电脑用户提供了解决方案(见右表)。
昨晚,赛门铁克公关部门就此次事件向记者进行了解释。该公司称,赛门铁克发出的LiveUpdate更新定义错误地把简体中文WindowsXP 中的两个系统文件当作Backdoor.Haxdoor(病毒名称)进行了删除,从而造成Windows系统在根据错误检测重启后无法运行。
受到影响的是应用了微软KB924270安全更新的微软简体中文Windows XP Service Pack 2系统,被当作病毒的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)。其他语言版本Windows XP或者没有应用微软安全更新KB924270的Windows XP都没有受到影响。
对于此问题造成的损失,该公司称尚在统计中。

-解决
错误病毒更新定义已更正
赛门铁克在昨天下午2点30分发布了新的LiveUpdate更新定义来更正这一问题。
这些更新定义的版本号码为20070517.071。在错误检测后没有重新启动Windows系统的用户可以通过应用Live-Update的更新定义来解决这一问题。重新启动系统而遭受影响的用户可以通过使用微软恢复控制台来使其系统恢复到之前的状态。

      解决方法:

1) 如果没有重新启动过电脑:使用LiveUpdate更新到最新的病毒定义代码就可以解决
2) 如果已经重新启动电脑并发生蓝屏现象:
要将计算机逐步恢复到工作状态,用户需要先加载恢复控制台,然后恢复 %system%\netapi32.dll 和 %system%\lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。具体步骤如下:

1)     找到Windows安装 CD,将其插入驱动器,然后重新启动计算机
2)     在启动时,选择从从 CD 启动的选项。
3)     当 Windows 设置过程中驱动程序加载完毕后,选择“R”启动恢复控制台
4)     选择受影响的 Windows 安装程序,然后输入您的管理员密码
5)     依次输入下列命令(如果出现提示则选择覆盖):
a.     cd \windows\system32
b.     expand(cd 驱动器盘符):\i386\netapi32.dl_
c.     expand(cd 驱动器盘符):\i386\lsasrv.dl_
d.     cd dllcache
e.     expand(cd 驱动器盘符):\i386\netapi32.dl_
f.     expand(cd 驱动器盘符):\i386\lsasrv.dl_
6)     输入“exit”,重新启动计算机
7)     下载并更新到最新的病毒定义
8)     重新安装Windows补丁程序 - KB924270

     诺顿杀毒软件多为企事业单位所使用,造成使用该公司诺顿杀毒软件的国内数百万台个人和企业用户电脑系统崩溃,正常工作和商业活动受到严重影响。 但国内法律在这一领域尚属空白,受损企业若要维权困难重重,好在诺顿公司及时更新了版本并提出了一些处理方法

     病毒肆虐的年头……
     转载来自http://bbs.blueidea.com

Write a comment:



 



[b][/b] - [i][/i] - [u][/u]- [quote][/quote]

:-/ :d :o :p :( :han: :cry: :zzz: o_o