任笑元 王婉婷
病毒数量疯狂增长 软件之间兼容性不强 商业软件存在漏洞 杀毒软件待完善———
上周末,因受“误杀”事件波及,导致电脑中大量数据丢失的诺顿用户刘先生正式向海淀法院递交了索赔诉状,提起首例赔偿案。
●事件
●误杀令用户蒙受损失
5月18日上午,在北京某知名企业的小赵被自己和同事突然崩溃的电脑吓了一跳,但当时他们却不知道,此时崩溃的电脑不仅仅只是单位内几十台机器,国内有上百万电脑用户都遭遇了和他们同样的经历,而引发这次事件的罪魁祸首既非流行病毒,也不是网络黑客,而是全球著名安全厂商赛门铁克出品的杀毒软件诺顿。
这无疑令人一时间难以接受。而同日有传闻说,卡巴斯基步诺顿的后尘,也将部分WindowsXP系统当成病毒错杀,并在台湾进行了公开道歉;紧接着19日,瑞星又自曝猛料:卡巴斯基无故扼杀瑞星卡卡。虽然与这些事件相关的企业纷纷就事件表示了自己不同看法,但这本不该出现的失误一而再,再而三地接连发生,也令我们不禁要问,杀毒软件怎么了?误杀,为什么?
追踪一:诺顿“误杀”———微软未做响应
对于诺顿的这个重大失误,据赛门铁克公司介绍,此次误杀事件发生在5月18日,是由于赛门铁克在使用多年的自动化系统中进行了一处改动,而无意中引发了自动化系统中使用的一个定义的变化,从而导致2个Windows系统文件被错误地检测为恶意软件而产生的。
尽管赛门铁克在事发之后自称,已经马上通过LiveUpdate发布了新的病毒定义代码更新,确保不会再次发生该问题,并在下午1:53,发布了包含修复的最新病毒定义代码包。而对于那些无法重启系统或无法获取计算机系统恢复光盘的用户,也于5月21日派发了修复光盘,并在随后的两天中,发布了基于Ghost技术的优化的恢复工具。
但是到目前为止,由于此次误杀而引起的赔偿问题,赛门铁克一直没有给出准确的答复。这引起了众多消费者的不满,而这也许正是刘先生将赔偿问题诉诸法律的重要原因。
与此同时,令人感到非常遗憾的是,所有用户,包括诺顿用户,关于杀毒软件“误杀”真相的第一个消息来源,似乎并非来自诺顿。
而被此次诺顿一记“致命的误杀”击中的微软,在记者进行采访时,一直没有给出明确的态度,只是表示,“建议用户参照赛门铁克的建议和指导。”其他问题概未响应。
也许就在赛门铁克刚刚发现他们的“误杀”错误的同时,国内第一大杀毒安全厂商瑞星,率先拉响了病毒警报———发布了其本年度第一次红色(最高级)安全警告。据瑞星的相关人员解释说,“由于他们在5月18日早上,接到大量诺顿用户反应计算机遭受病毒攻击,用杀毒软件清除后无法进入系统,系统崩溃的求助电话。并且在经瑞星研发部门分析后发现,该问题是由于诺顿杀毒软件误杀系统文件导致,在中国内地地区将有数百万台电脑容易遭到此次‘误杀’攻击,因此瑞星才及时发布了此次安全警报。”
追踪二:卡巴斯基误杀———瑞星发抗议声明
就在诺顿意外引爆“误杀”,一度影响数以百万计用户,引发业界一片哗然之际,更令人吃惊的是,杀毒软件市场另一大国外品牌,近来势头渐旺的卡巴斯基竟然同时跌入“误杀”漩涡。
瑞星与卡巴斯基的纷争源于国外知名杀毒软件厂商卡巴斯基将瑞星公司的卡卡上网安全助手软件当作病毒查杀。而对于事实的真实情况,当事双方各执一词,展开激辩。
据了解,在瑞星公司提出要卡巴斯基道歉的要求没有得到卡巴斯基的正面回应之后,瑞星公开对外列举了卡巴斯基近年来众多“误杀”事件,直指卡巴斯基是“误杀王”。而对于这次事件瑞星方面认为,“此次误杀卡卡升级程序,不好评论是其商业竞争行为还是其频繁误杀中的一次”。
卡巴斯基对此则大呼自己冤枉,一副被拖入水的无奈姿态。卡巴斯基实验室大中国区总裁、董事长张立申在接受采访时表示,“瑞星卡卡被误杀事件,根本是完全没有问题、没有事情,整件事很像当年的珍珠港事件。事发当时瑞星公司高层打电话给我,说两者之间存在问题,但是放下电话之后,我们就发现了大量关于卡巴斯基误杀瑞星卡卡的文章,这给我的感觉就是,我是被糊弄的一方。”
虽然两家当事企业之间对问题争论不休,但是用户也有他们不同的看法,网友徽剑曾在其博客上指出,瑞星的市场策略是拉虎皮、扯大旗;给竞争对手下绊子,使坏。虽然他的意见我们不能完全赞同,但是这也代表了一部分网友对此事件的态度。
●解读
●四大因素导致误杀频繁
“误杀”,究竟为什么?实际上,“误报”或“误杀”都不是一个准确、专业的词汇,因此不能简单地说“误报”、“误杀”的发生是对,还是不对,要看具体情况去分析。而且从技术角度讲,任何一个杀毒软件都不能完全避免“误报”、“误杀”。
但是对于杀毒软件近来频繁发生“误报”“误杀”的原因,不同的杀毒软件企业有着不同的看法。记者认为有以下几种原因。
病毒数量疯狂增长
瑞星公司认为近几年来病毒数量疯狂增长,是大量“误杀”、“误报”事件产生的重要原因。“根据《瑞星安全报告》统计,2006年新出现病毒23万个,比以前所有病毒的总和还要多。而一些企业片面追求自身产品的响应速度而加强自动化分析,而降低了人工分析比例,这是导致杀毒软件的误报率升高的重要原因。”
软件之间的兼容性不强
“商业软件与杀毒软件的兼容性,是‘误杀’、‘误报’难以避免,但也很容易解决,而对于某些出发点是炒作,甚至毁谤的情形就应另当别论了。还有一些做好事的特殊程序,像一些网游的反外挂程序,由于它们采用了一些病毒常用技术,所以难免会造成‘误杀’、‘误报’。”卡巴斯基在接受采访时表示,商业软件通常是重视应用功能,而杀毒软件首要考虑的是用户安全,对任何可能有威胁的进程或程序都要干预,都要提示用户。所以双方的兼容性问题长期存在。
杀毒软件待完善
另外,国家计算机反病毒应急处理中心副主任张健在接受媒体采访时曾表示,“国家计算机反病毒应急处理中心曾在去年11月,用我国2000年5月份颁布执行的评测标准,对所有的杀毒软件产品进行评测,评测结果显示现有杀毒软件中最高的仅达到二级,还没有达到一级的杀毒软件产品。所以说,无论是国内的还是国外的产品,还都存在一定的差距,都需要这些公司进一步努力。”
商业软件存在漏洞
诺顿的相关技术人员在解释误杀误报的起因时,列举了几个可能的因素。其中之一是,“可能是出于某些文件的个别特征与漏洞有关联,导致一些非恶意的软件也表现出不寻常和可疑的行为,与已知的漏洞类似。”因此,当利用启发式检测技术,检测那些基于漏洞的文件攻击时,有可能引起误判。
另外,当利用标准特征码技术检测特定威胁时也有可能产生误报。“例如,一个组件试图连接网络以获取远程文件,当杀毒厂商与病毒威胁一起收到这样的文件时,就会将一个特征码加到这些附加文件上,以作为病毒特征的确定。有时,如果这个文件也被用于合法的程序就会产生误报。”诺顿说。
●对策
●共享资源与改进病毒区分方式
怎样做才可以尽量减少误报的发生,杀毒软件行业里的看法似乎大致相同。大家都觉得应该在追求软件稳定性和软件对新病毒的反应速度的同时要通过建立一些论坛、共同分享资源、分享信息等合作方式,加强跟所有的合作伙伴的密切合作。
而杀毒软件公司对于病毒和正常程序的区分方式却是大致相仿的,一般来说,主要有以下几种。
一种是通过搜集大量的病毒样本、恶意程序,分析出其中相应的特征代码,就像给这些恶意程序打上了标记,无论他们隐藏得再深,也可以很容易地分辨出来,这也是大部分杀毒软件厂商所采用的主要方法。
还有一种方法是主动防御,这是当前杀毒软件厂商对付未知威胁的主要手段。这种方式主要是在模拟缓存区中使用特别的技巧模拟检测可疑的动作,当检测到可疑程序则被归类为危险程序,并立即拦截。但是如果启发杀毒技术控制的不好,会产生不少误报。
另外还有一种叫行为杀毒技术,行为杀毒不同于主动防御,它是在实际系统的环境中运作,在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。这种方式最大的优点则在于可以在出现问题时,迅速还原系统至感染前的状态。
但是这种使用了很久的病毒区分方式,在当前来说已经无法更便捷地达到查杀病毒的目的,所以这还需要杀毒厂商对当前采用的病毒区分方式进行适当的改进。
而引发此次“误杀”事件的主角———赛门铁克则表示,未来将采取和遵循一系列步骤避免误报的发生。“我们定期针对一套已知没有安全威胁的文档进行特征码测试。如果在测试过程中某文档被检测到存在风险,则会立即针对该文档进行评估。一旦文档被检测为安全,我们就尝试修改针对该文档的某个特殊特征码,避免误报。
|