安全厂商赛门铁克的诺顿软件5月18日上演误杀“乌龙”,导致国内百万台电脑系统崩溃。据称,这是近5年来国内影响面最大的误报事件。对于这一事件,赛门铁克表示,“此问题现在已经解决,并可避免未来出现同一问题。
21日下午,赛门铁克在官方网站上再次发布“赛门铁克病毒定义代码事件”的公告,就该事件的起因及处理方法做了详尽描述,但对赔偿事宜仍只字未提。
以下为赛门铁克官方公告全文:
赛门铁克近期在病毒定义代码方面出现了问题, 对于由此给用户带来的不便,我们深表歉意。目前,赛门铁克希望向其合作伙伴及用户再次确认赛门铁克已在可能的最快时间内予以处理且此问题现已得到解决。
下文列出可能被经常问到的问题,希望能有助于为您提供更多相关信息。
赛门铁克病毒定义代码出现了什么问题?
北京时间2007年5月18日星期五,赛门铁克发出的病毒定义代码更新错误地把部分微软简体中文版Windows XP 中的2个系统文件检测为为Backdoor.Haxdoor。
哪些系统因此受到影响?
受到影响的是应用了微软KB924270安全更新的微软简体中文版Windows XP Service Pack 2系统。而受影响的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)。其它语言版本Windows XP或者没有应用微软安全更新KB924270的Windows XP都没有受到影响。
什么是微软KB924270?
微软KB924270是针对微软MS06-070的安全漏洞,欲了解更多信息,请参考微软官方网站:https://www.microsoft.com/technet/security/bulletin/ms06-070.mspx
如何判定我的系统是否受到此次病毒定义代码问题影响?
基于赛门铁克目前的测试,只有安装了Windows KB924270补丁的微软简体中文版Windows XP Service Pack 2系统,并在北京时间5月18日凌晨1点至下午2:30分之间,在该系统上执行了病毒定义更新的用户,受到此问题的影响。
如果我已经执行了上述有问题的病毒定义代码更新,将会如何?
下载了该病毒定义代码更新,但没有重启的用户,在北京时间5月18日下午2:30分之后重新运行病毒定义代码更新,则不受此问题影响。
如果用户下载了有问题的病毒定义代码,并重启设备,则会出现蓝屏,系统无法正常加载。
如果我已下载了有问题的病毒定义代码,重启后设备出现蓝屏,系统无法正常加载,该如何处理?
用户应加载恢复控制台,并恢复%system%\netapi32.dll和%system%\lsasrv.dll文件。重启设备,安装最新的病毒定义更新。
具体操作如下:
将微软简体中文版Windows XP Service Pack 2安装光盘装入驱动器,重新启动设备。
在开始阶段,选择通过光盘启动。
在驱动器加载Windows启动后,选择“R”即恢复控制台。
选择被影响的Windows安装,键入您的管理员密码。
按照如下顺序键入命令(若出现提示,则选择覆盖文件):
a. cd \windows\system32
b. expand (cd drive letter):\i386\netapi32.dl_
c. expand (cd drive letter):\i386\lsasrv.dl_
d. cd dllcache
e. expand (cd drive letter):\i386\netapi32.dl_
f. expand (cd drive letter):\i386\lsasrv.dl_
键入“exit”,重启设备。
下载并更新至最新的循环(RR)定义更新。
重新安装Windows XP KB924270补丁。
为什么会出现这种情况?
赛门铁克安全响应中心使用多种自动化系统来辅助完成手动分析,从而确保在面对新型威胁时能够快速响应。该自动化程序已成功使用多年,帮助赛门铁克安全响应中心大幅增加高水准的恶意软件检测数量,尤其可帮助用户应对持续增加的大量威胁。
为了应对加密技术在恶意软件中使用的与日俱增,赛门铁克最近在自动化系统中进行了一处改动,这却无意中引发了自动化系统中使用的一个定义的变化,进而导致2个Windows系统文件被错误地检测为恶意软件。
赛门铁克何时收到误报信息?
赛门铁克于北京时间5月18日上午9:30接到误报的提示并迅速展开调查。在很快确认此次错误检测是由自动化系统引起后,该误报信息被立即从定义文件中删除。 赛门铁克安全响应中心随后发布了最新的病毒定义代码更新。
该问题何时得到解决?
更新的病毒定义代码于北京时间下午2:30生效,距离赛门铁克收到误报信息的时间约为5小时。
赛门铁克采取了哪些措施以确保今后不再发生此类情况?
在确定自动化系统当中的一个改动是此次事件的根源后,赛门铁克安全响应中心立即撤回之前对自动化系统进行的改动,并在实施进一步改动之前对自动化系统进行了深度分析。此外,赛门铁克安全响应中心已经重新审核系统变更流程以确认今后对自动化系统做出的任何变更不会导致错误检测。另外,赛门铁克安全响应中心已经对认证程序进行了具体的修改及加入多个病毒定义代码更新发布前的核查。赛门铁克对任何误报事件都非常重视并建议受影响的客户采取必要措施以保护其系统。
赛门铁克致力于对客户问题的快速响应以确保所有用户问题能够在最短的时间得到解决。赛门铁克对此次事件的快速响应将企业级用户和消费者所受影响降至最低,并为受影响的用户提供快速的解决方案。
赛门铁克如何将此事告知用户及合作伙伴?
过去两天以来,赛门铁克为其用户与合作伙伴网络提供了最新的文件定义和必需的步骤,已经有效避免了进一步问题的产生。赛门铁克致力于对用户的问题作出快速响应,并集中力量确保以最快的速度解除用户后顾之忧。
赛门铁克对此次事件积极响应,并为受影响的用户提供快速的解决方案,确保了在最短的时间内解决所有用户问题,将此次事件对企业级用户和消费者的影响降至最低。赛门铁克致力于为用户提供业界最佳解决方案,并一如既往地承诺确保其技术、流程和方法是全球领先的。赛门铁克切实关注每一位用户,并一贯坚持着对市场的承诺。
我要如何获取更多帮助?
如您需要了解更多信息,或需要任何协助,请致电赛门铁克服务热线:
个人用户:800-830-1153
企业用户:800-810-3992
或访问赛门铁克官方网站:www.symantec.com.cn。赛门铁克愿随时为您提供协助。
|