如何避免瑞星誤攔微軟補丁的提示

　　北京時間4月15日凌晨，微軟全球發布了8款最新安全補丁，共修復了23個系統漏洞。360安全中心第一時間為全體360用戶提供了這8款漏洞補丁的下載，但是隨之卻陸續收到大量用戶的投訴和反饋，稱剛下載的微軟漏洞補丁KB956572被瑞星攔截，不少用戶因此誤以為360提供的該補丁是病毒，甚至有部分用戶在攔截之後出現系統崩潰。

　　經360安全中心驗證，無論用戶是通過Windows自動更新安裝，還是通過360安全衛士和其它第三方工具下載KB956572補丁，瑞星都會彈出攔截提示，導致大量用戶難以安裝該補丁。考慮到瑞星用戶數量高達幾千萬，與360用戶的重合度也很高，而攔截微軟補丁的後果又很嚴重，360安全中心有必要提示廣大用戶針對這一問題的解決辦法。

　　一、瑞星攔截微軟補丁的具體表現和原因：

　　1、瑞星未能準確識別微軟系統文件

　　在微軟補丁程序KB956572運行后，瑞星殺毒軟體、瑞星全功能安全軟體的「智能主動防禦」模塊會彈出攔截提示稱：「被攔截的操作經常被病毒利用，此威脅等級為中」，「主動防禦截獲到一個程序正在訪問被瑞星保護的文件或文件夾，請選擇操作方式」，「瑞星所保護的文件和文件夾對您的系統十分重要，建議您選擇拒絕」。如圖所示：



　　2、瑞星默認阻止安裝微軟系統文件

　　以上「經常被病毒利用，此威脅等級為中」和「建議您選擇拒絕」等提示顯然讓多數用戶產生了很大的困惑。更大的問題在於，在瑞星提供的「阻止」、「結束程序」和「允許」這三個選項中，默認勾選的是「阻止該程序訪問」，而且瑞星採用了倒計時機制：「15秒后將採取當前選擇的處理」。如果用戶不主動並及時地改選其它選項，15秒后瑞星會自動阻止該補丁的安裝。

　　3、用戶選擇「允許」后，瑞星仍會攔截

　　即便用戶點了「允許」，仍然很難一次完成安裝。因為瑞星的主動防禦仍然會不斷彈出攔截提示，用戶不停地點「允許「，瑞星就不停地攔。其中只要有一次點了默認的「阻止該程序訪問」，前面的安裝努力就會前功盡棄。

　　需要澄清的是：360提供的是微軟官方發布的正式補丁，絕不可能「帶毒」，目前也未發現有瑞星之外的其它殺毒軟體攔截該補丁，因此瑞星用戶遇到的問題可以確定與360無關，請廣大用戶明鑒。

　　二、補丁被攔截的後果，以及補救辦法

　　根據微軟官方公告，KB956572安全補丁的級別為「重要」，主要用於修復已存在的一個安全漏洞（MS09012）。攻擊者可能會利用該漏洞進行危及系統安全的操作並獲取對該系統的控制權。用戶若不能及時安裝這一補丁，其電腦將有可能成為任由不法分子擺布的「肉雞」。因此360安全中心提醒廣大用戶：一定要安裝這個補丁。

　　對於打不上該補丁的用戶，可以先臨時關閉瑞星殺毒的監控與防火牆功能，以便能儘快安裝該補丁；等該補丁安裝上后，可以再打開瑞星殺毒繼續使用。

　　360安全中心在發現問題后，已與瑞星公司緊急聯繫，提醒對方儘快修正這一問題。瑞星公司在隨後的聲明中稱「該攔截信息並非瑞星產品的誤報或者BUG，而是正常『智能主動防禦』功能的一部分」。

瑞星攔截KB956572補丁程序的說明

來源：瑞星公司 時間：2009-04-15 17:04:04

    　　4月15日，部分瑞星用戶在更新微軟公司提供的09年4月份的補丁程序時，遇到如下情況：在微軟補丁程序KB956572運行后，瑞星殺毒軟體、瑞星全功能安全軟體的「智能主動防禦」模塊會提示攔截信息。

請廣大用戶選擇「允許」，即可順利安裝該補丁程序。



    該攔截信息並非瑞星產品的誤報或者BUG，而是正常「智能主動防禦」功能的一部分，瑞星「智能主動防禦」模塊（其中的「系統加固」-「系統文件保護」規則）會對重要的系統文件加以保護，以阻止大量的盜號木馬和其它病毒修改系統文件，攻擊用戶電腦、竊取隱私信息。該補丁程序正是因為修改重要的系統文件services.exe才被瑞星軟體攔截的。為了防止木馬病毒對系統的安全性和系統關鍵文件進行破壞，瑞星2009「智能主動防禦」對於類似軟體行為採取非常嚴格的監控，必須由用戶進行確認許可，才能夠允許程序繼續運行。