計算機安全預警:警惕諾頓殺毒軟體「錯殺」系統文件

2007-05-19 來源：新華網


　　新華網上海5月19日電?近幾天，著名殺毒軟體諾頓誤把中文版視窗ＸＰ中的幾個關鍵系統文件當作病毒刪除，致使國內眾多企業及個人用戶電腦癱瘓。有關專家為此發出提醒，這一「錯殺」事件是近幾年來最嚴重的殺毒軟體誤報事件之一，計算機用戶應予以警惕。

　　18日以來，不少使用諾頓殺毒軟體的計算機用戶，接到「電腦有嚴重安全風險，建議立即重啟」的提示，重啟之後就無法正常運行。

　　諾頓是賽門鐵克公司旗下的著名殺毒軟體，國內的用戶覆蓋了眾多企業和個人。業界有預測認為，此次誤報誤殺有可能危及數百萬台個人電腦，並可能導致金融、電信等行業企業嚴重經濟損失。

　　國家計算機病毒應急處理中心發布報告稱，自5月17日以來，使用諾頓殺毒軟體的用戶在升級病毒庫后，由於rev.18升級版本誤將%System%目錄下的lsasrv.dll和netapi32.dll文件進行了隔離操作，造成系統不能正常啟動。

　　專家提醒說，國內計算機用戶如遇到上述狀況，應用以下方法進行解決：對於系統未重啟，並且lsasrv.dll和netapi32.dll文件已被隔離的用戶，應立刻升級殺毒軟體到rev.71以上版本，殺毒軟體可自動恢復被隔離的文件；對於系統未重啟，並且這兩個文件未被隔離的用戶，應從沒有問題的電腦拷貝這兩個文件到%System%目錄下覆蓋，並升級殺毒軟體到最新版本；對於系統已經重啟、不能正常進入系統的用戶，建議用安裝盤進入系統恢復控制台，由專業人士予以恢復。

2007-05-19 來源：新華網

　　新華網北京5月18日專電（記者顧洪洪） 諾頓誤殺導致操作系統崩潰，數以百萬計的電腦面臨滅頂之災。5月18日，瑞星發布紅色安全警報稱：賽門鐵克公司提供的諾頓殺毒軟體在升級病毒庫后，會把Windows　XP系統的關鍵系統文件當作病毒清除，重啟后系統將會癱瘓。

　　瑞星公司表示，截至18日中午12點已有超過7000名個人用戶和近百家企業用戶向瑞星客戶服務中心求助，更多用戶由於系統繁忙無法打入電話。

　　瑞星安全專家表示，安裝了MS06－070補丁的XP系統，如果將諾頓殺毒軟體升級最新病毒庫，則諾頓殺毒軟體會把系統文件netapi32.dll、lsasrv.dll隔離清除，從而造成系統崩潰。由於國外品牌的筆記本和台式機多數預裝了WindowsXP系統和諾頓殺毒軟體，這些用戶極其容易遭到此次「誤殺」攻擊，因此我國大陸地區將有數百萬台電腦面臨崩潰的危險。由於該次誤殺只發生在簡體中文版的XP系統上，因此對國外用戶幾乎沒有影響。

　　據瑞星客戶服務中心的疫情監控工程師分析，賽門鐵克在企業級市場上佔有相當大的份額，特別在金融、電信等行業擁有一定的優勢，因此此次誤殺會導致許多企業網路完全癱瘓。根據初步預測，此次諾頓誤殺將是近年來最嚴重的一次安全事故，給國內用戶造成的整體經濟損失甚至可能超過「熊貓燒香」病毒。

　　關於該事件的原因，瑞星研發負責人劉剛表示，近年來部分反病毒企業為了追求殺毒數量、查殺率、新病毒反應時間等單項技術指標，而降低了產品測試的標準，這樣做會導致兩個嚴重後果，一是誤報率急速上升，二是容易出現重大的產品失誤，甚至導致比普通的病毒攻擊更嚴重的後果。

　　關於這次安全事故的預防和解決方法，劉剛建議：

　　一、還沒有受到誤殺影響的用戶：啟動計算機后，關閉諾頓殺毒軟體的實時監控程序再插入網線上網；待賽門鐵克公司解決該問題后，才可以繼續啟用諾頓實時監控程序。

　　二、系統已經癱瘓的用戶：

　　1、使用windows　安裝光碟啟動系統，在提示菜單處按R進入恢復控制台。

　　2、在提示中按「1」然後回車，選擇需要修復的系統，並輸入管理員密碼。

　　3、執行如下命令進行修復（X表示光碟盤符）：

　　Expand　x：／I386／netapi32.dl　c：／windows／system32／〔回車〕

　　Expand　x：／I386／netapi32.dl　c：／windows／system32／dllcache／〔回車〕

　　Expand　x：／I386／lsasrv.dl　c：／windows／system32／〔回車〕

　　Expand　x：／I386／lsasrv.dl　c：／windows／system32／dllcache／〔回車〕

　　4、重新啟動計算機，關閉諾頓的實時監控程序。

　　5、啟動諾頓的隔離區，恢復netapi32.dll和lsasrv.dll。

　　6、等待賽門鐵克公司解決該問題后，才可以繼續啟用諾頓實時監控程序。

　　7、關閉殺毒軟體實時監控程序可能導致計算機感染其他的病毒、木馬及惡意程序，用戶可以暫時選用其他的殺毒軟體。

　　（來源：新華網）