返回列表 发帖

赛门铁克失足落水 国内三厂商献策引发思考

2007年5月18日,在赛门铁克SAV 2007-5-17 Rev 18版本的病毒定义码中,会将WindowsXP操作系统的netapi32.dll文件和lsasrc.dll文件判定为Backdoor.Haxdoor病毒,并且把他们隔离,造成重启机器后无法进入系统,安全模式也无法进入,并且出现蓝屏现象。赛门铁克最新病毒库误删系统文件 导致电脑蓝屏

赛门铁克内部人员证实病毒库问题

18日中午12点至下午13点,51CTO安全频道记者先后接到很多用户的电话,反映他们的计算机全部因为赛门铁克升级原因,造成系统无法使用。随即记者联系赛门铁克,遗憾的是赛门铁克官方并没有发表任何说法,但记者通过赛门铁克内部人员了解到,赛门铁克最新版本的病毒库确实有问题,相关技术人员正在积极处理。并建议记者关注官方主页的最新消息。赛门铁克误删微软系统文件 51CTO安全频道提供系统崩溃解决方案

国内三大厂商纷纷献“计”献“策”

18日14点半,经51CTO记者了解,国内反病毒厂商瑞星已把此次事件列为“红色安全警报(一级)”,并向记者介绍了瑞星建议的解决方法:

瑞星反病毒专家建议:还没有受到误杀影响的用户
1、拔掉网线再开启计算机。
2、启动计算机后,关闭诺顿杀毒软件的实时监控程序再插入网线上网。
3、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,

用户可以暂时选用其它的杀毒软件。
对于系统已经瘫痪的用户:
1、使用windows 安装光盘启动系统,在提示菜单处按R进入恢复控制台。
2、在提示中按“1”然后回车,选择需要修复的系统,并输入管理员密码。
3、执行如下命令进行修复(X表示光盘盘符):
Expand x:\I386\netapi32.dl_ c:\windows\system32\  [回车]
Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]
Expand x:\I386\lsasrv.dl_ c:\windows\system32\  [回车]
Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\  [回车]
4、重新启动计算机,关闭诺顿的实时监控程序。
5、启动诺顿的隔离区,恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,

用户可以暂时选用其它的杀毒软件。
而另外两家国内反病毒厂商江民和金山,几乎是同时发表了自己的解决方法:

金山毒霸反病毒工程师建议广大用户:
1、使用windows安装光盘启动系统至故障恢复控制台,尝试从正常的系统恢复这两个文件。

或者把出问题的主机硬盘拆下挂从盘,恢复这两个文件到windows\system32目录下。

注意恢复文件后,下次重启仍然要进安全模式,需将

国外某杀毒软件暂时禁用。
2、对企业网管,建议网管员使用winpe光盘引导系统,首先恢复这两个系统文件

到windows\system32目录,然后暂时

禁用国外某杀毒软件的实时监控功能
,重启才可以恢复系统。


江民反病毒专家建议,遇到此类情况的用户可以采用以下几种方法处理:
1、已经出现情况但未重启电脑的用户,可以从杀毒软件病毒隔离区恢复上述两个文件。
2、已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘,

并设置BIOS从光驱启动,选

择从控制台恢复系统,拷贝上述两个文件到硬盘相应目录下。
netapi32.dll和lsasrv.dll 文件在光盘f:\I386目录下
把上述两个文件分别拷贝到以下两个路径:
c:\windows\system32\netapi32.dll
c:\windows\system32\lsasrv.dll
3、重启电脑,修改BIOS从硬盘启动电脑,系统即可进入。
赛门铁克落水,有人欢喜有人忧

由上述三个应对方案来看,处理方式都差不多,不过金山的建议比较烂,而且明显带有贬低竞争对手的感觉(由加蓝色字体可以看出)。瑞星的解决方案比较详细,顺带着也宣传了自己。江民的解决方案还是中规中距的,是从用户角度出发,显得比较中性。Symantec这次的失误在于,发布新定义之前没有详细测试。出事之后没有及时提供官方的反馈,以及处理办法。

从国内3个厂商的处理方法来看,江民的做的不错,在灾难性事件中,首先要考虑的是如何恢复用户的系统,而不是提供恢复的同时宣传自己或者贬低竞争对手,后两者的做法显得有点幼稚。

针对各厂家的解决方案,记者同时采访了业内相关的安全人士,他表示“在爆发大规模的灾难事故时,安全厂商应该及时向用户(不单包括自己的现有客户)提供力所能及的帮助,而不是针对这个事件进行大肆宣传。这种对用户负责任的行为,本来就是对厂商形象很好的宣传。”他还说:这样和用户建立起的信任关系,在未来会给厂商带来远超过现在就进行大肆宣传的好处。安全厂商对对市场份额的追求可以理解,但安全服务/产品做的出发点是要对用户负责。

51CTO网友田逸冒险亲验证误杀事件 证明赛门铁克已更新病毒库,解决此问题。

18日16点30,51CTO网友田逸得到消息:“sysmantec的antivirus和norton病毒库升级到2007-5-17 Rev18版本后,防病毒程序会把windowsxp中文版的两个系统文件(netapi32.dll和lsasrc.dl)当成病毒文件隔离起来,一旦重新启动计算机就会出现可怕的蓝屏,连安全模式都进不去”。出于好奇,他先到各IT网站瞧瞧。当看到51cto安全频道首页时,发现这则消息已经成了头条,看来是真的。他还记得前不久一个学生买了一套symantec antivirus 10,并且部署到网络环境中了,于是他打过电话过去问问,证实了情况,还真出问题了。

刚好他的计算机系统是xp,防病毒软件是symantec antivirus 10客户端,据他说,早上刚手动升级病毒库到2007-5-17Rev.17,于是就冒了个险,体验一下。升级…重启,顺利启动系统成功,并没有出现蓝屏!看一下病毒库版本,是2007-5-17 rev.73……。51CTO网友田逸冒险亲验赛门铁克升级误杀事件

以上是18日整个事件的始末,留给我们的思考是无尽的:

升级杀毒软件也会使系统崩溃,用户网络安全何在?

赛门铁克落水,有人欢喜有人忧,这是什么世道,难道真的是痛打落水狗?

什么才是真正的应急恢复?和平时代尚且如此,当面临战争时,我们又能求助谁?

时间还在流动,事件也没有结束,很多用户的系统等着恢复,未来的安全真的很可怕!

【相关文章】
工程家园需要各位朋友的关心和支持
你们的支持就是我们前进的动力


http://www.heubbs.cn

这个理由好~
ps:你用这玩意儿吗?
永远的321!

TOP

symantec 实在是不应该, 没有仔细的测试就放出来~~
还好这几天偶的电脑不能上网~~
爱情来得快去得也快,只有猪肉卷是永恒的~~~

TOP

吓人哦,其他的软件还有用这个病毒库的吗?
永远的321!

TOP

返回列表