杀毒软件频繁误杀 诺顿搞瘫系统用户有权索赔

引子

　　本是电脑卫士的杀毒软件这回却扮演了电脑“杀手”的角色。谁也没想到，上周末，诺顿杀毒软件的一次正常升级会带来灾难性的后果：诺顿升级到最新的病毒库后，Windows　XP的关键系统文件被当作病毒予以清除，重启电脑后系统将会瘫痪。

　　据保守估计，这次“误杀”至少使国内数十万台电脑受到了影响，得以幸免的电脑也“险过剃头”。但该次误杀只发生在简体中文版的Windows　XP系统上，对国外用户则几乎没有影响。

　　正常系统文件被冤杀

　　据了解，诺顿升级到最新病毒库后，会把电脑操作系统的正常文件netapi32.dll、lsasrv.dll隔离、清除，从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows　XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击。

　　瑞星杀毒软件公司反病毒工程师分析称，诺顿的生产厂商赛门铁克在企业级市场上占有相当大的份额，特别在金融、电信等行业拥有一定的优势，因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测，此次诺顿误杀将是近年来最严重的一次安全事故，给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。

　　5月19日下午，赛门铁克针对“误杀”事件发表官方声明，确认软件误删除Windows　XP系统文件。同时，该公司表示，其已在北京时间5月18日下午2：30发布了LiveUpdate更新定义来更正这一事件。“在错误检测后没有重新启动Windows系统的用户可以通过应用LiveUpdate的更新定义来解决这一问题。重新启动系统而遭受影响的用户可以通过使用微软恢复控制台来使其系统恢复到之前的状态。”

　　不过，令人遗憾的是，赛门铁克在声明中并未对用户表示丝毫歉意。

　　反病毒厂商频繁“误杀”

　　杀毒软件的误报，看上去似乎是个“小”问题，但是往往会给用户使用带来重大影响，比如误删正常文件导致软件不能使用，甚至会引起一些法律纠纷。

　　事实上，类似的“误杀”事件在平时的生活中并不少见，甚至在最近几年随着杀毒软件的逐渐普及后更是频繁发生。据专家介绍，发生误报的主要原因是对文件的特征进行了错误提取和病毒定义策略。如果是文件特征码存在了错误提取，厂家一般会很快修正。但是对于病毒定义策略的问题，目前各界还存在着一定的争议。

　　正是因为这种误差，一些用户从官方网站下载的常见软件，也可能被杀毒软件判别为病毒。比如著名的系统清理软件《超级兔子魔法设置》，也曾被诺顿和卡巴斯基报警，双方多次沟通后才解决了这个问题。

　　此次的肇事者诺顿，在最近几年中也屡次惹上麻烦。比如诺顿曾经就给网络游戏《天堂II》造成了灭顶之灾。因为被检测出“PWSteal.Trojan”型木马，不但《天堂II》主程序自身被删除或隔离，一些玩家的机器还会黑屏乃至系统崩溃，而这一事件最终被确认为“误报”。此前的2001年，诺顿曾经“误报”瑞星2002版杀毒软件带“欢乐时光”病毒，不过结果却是不了了之。更早之前的2000年，诺顿曾“误报”金山毒霸正式版附送的升级软盘带病毒，最终结果也是不清不楚。

　　而其他杀毒软件厂商也曾经上演类似的错误，比如记者曾经使用的一款国内某著名厂商出品的杀毒软件，就反复将电脑内的显卡和声卡驱动程序删除，让用户不得不反复重装这两个程序。

　　片面追求更新速度导致恶果

　　对于这次的事件，瑞星研发负责人刘刚表示，现在有些杀毒软件普遍提高了特征码升级的频率和速度，有时过度片面追求升级速度也是导致误报现象增加的重要原因。按道理，新增特征码后一般都要做一定时间的测试才能发布，如果仓促上马肯定会导致测试时间的减少，从而引发误报。

　　刘刚解释，本着对用户负责的态度，不管多先进的技术，都要建立在稳定可靠的基础之上，否则一个重大的低级错误，将导致灾难性的后果。

　　实际上，这次的“误报”事件也已经给诺顿在中国的使用带来了灾难性的影响。据新浪网的调查，在受访的近20000名网民中，有超过70%的网民认为该事件已经影响了他们对诺顿产品的信任。

　　不过，反病毒产品能不能做到不“误报”？答案当然是“不能”。因为电脑病毒的不可判定性早在上世纪80年代就已被电脑安全专家证明，从某种意义上说，电脑病毒与普通电脑程序从技术上并没有严格的区分。从实际应用角度来看，我们可能都遇到过反病毒产品发生误报的现象。

　　事实上，只要有反病毒产品，就会存在“误报”，绝对没有误报的反病毒产品现在不存在，今后也不会存在。但是，我们仍旧希望杀毒软件厂商尽可能地减少“误报”事件的发生，尽可能地减轻“误报”所带来的严重后果。毕竟，在面对形形色色的电脑病毒时，杀毒软件是我们唯一的盔甲。

　　如何减少“冤假错案”

　　尽管很多“误报”事件的责任在于杀毒软件厂商，但是作为用户来说，也有方法避免“误报”所带来的严重后果。

　　比如，对于有误报嫌疑的文件，可以先观察它的所在路径以及文件名，这些信息可以用来判断它是否是正常文件，也可以用其他杀毒软件再次检查或者直接提交给相关的杀毒软件公司。在知名的杀毒软件公司主页的醒目位置，你都能找到可疑文件的提交办法。你也可以直接将文件名在搜索引擎上搜索，看看其他用户对该文件的评价，从而确定一个文件是正常文件还是病毒。

　　不过，有的病毒覆盖文件后可以做到保持文件的大小不变，因此，这样的受感染文件无法用经验来判断。比如许多exe类型文件突然都被报告为病毒，文件名和大小都与正常文件一致。这个时候，可靠的办法是查看程序的MD校验值，有经验的用户可以用相关工具进行测算。

　　此外，还有一些“误报”可能是用户自己引起的。有的杀毒软件支持标准病毒库和扩展病毒库，用户选择后者虽然扩大了病毒检杀范围，但是就有可能会造成一些“误报”与错杀。因此，对于绝大多数用户，建议只选用标准病毒库类型。

　　用户有权向诺顿索赔

　　对于杀毒软件厂商的“误报”事件，有律师表示，受损失的用户可以通过法律途径向杀毒软件厂商寻求索赔。不过，索赔的标准的衡量将成为索赔的最大障碍。

　　互联网业内律师于国富说：“由于我们国家没有明确的索赔标准，我们每个用户使用电脑的用途也不一样，比如说有的是打电子游戏，有的是炒股，有的是做其他更重要的工作，大家因为这个事件造成的损失不同，索赔金额也就不同。”

　　他同时也表示，由于国内在信息安全方面的法律责任还在研究制定当中，特别是在事故责任和损失认定等方面还是空白，因此企业或个人一旦索赔，可能面临非常繁琐的法律程序和诉讼时间。

　　专题撰文：本报记者　陈亮