防病毒厂商爆连环错 律师:消费者应维权索赔
2007-5-30 11:12:53  北京娱乐信报

　　自5月18日以来，继全球安全软件巨头赛门铁克—诺顿误杀简体中文版XP后，源自俄罗斯的卡巴斯基更是连爆四大误杀。上周五，诺顿用户刘先生率先向北京市海淀区法院提交了索赔5万元的起诉书。据了解，待法院审查后将决定是否立案。
　　记者登录多家搜索引擎发现，“误杀、索赔”已成为曝光度最高的两大搜索关键词。一些网友在给我报论坛的留言中指出，误杀究竟误起何因，索赔究竟索之何据，在诸多报道中均未能找到答案，今天我们就来细细为大家解读。
　 【关键词：误杀】
　　诺顿事件回放
　　5月18日，一些使用简体中文正版Windows XP的诺顿用户，其杀毒软件升级病毒库后，出现了开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等。症结是误将Winxp sp2的 Netapi32.dll 和 LsaSrv.dll报为病毒，并进行清除而起。
　　专家解读:误杀起因有两种
　　昨天上午，记者收到了来自赛门铁克多位技术专家就误杀起因的详尽回复邮件。邮件中写道：误报检测的发生有各种各样的原因。主要有以下两种：
　　一种是，基于启发式的检测被用于检测那些可能利用已知漏洞进行攻击的文件。这种类型的检测就是看这些文件所表现的特定特征?熏 这些特征通常能与漏洞有关联。一些非恶意软件也可能表现出不寻常的和可疑的行为，与已知的漏洞类似?熏启发式检测就有可能误判了这些文件。
　　一种是，基于标准特征码的检测对特定威胁是精确的，有时，这种威胁会利用多个文件作为攻击的一部分，这些文件中有些文件本身并不是恶意软件。但是?熏它们也可以被用于有恶意目的的攻击。例如， 一个组件试图连接网络以获取远程文件。当我们与一个威胁一起收到这样的文件时，一个特征码会被加到这些附加文件上，来保护我们的客户。有时，如果这个文件也被用于合法的程序就会产生误报(就像本次误报)。
　　赛门铁克安全响应中心每天要分析几万份可疑样本，同时每天会增加100多种新的检测更新。基于标准特征码的检测技术是专门针对威胁中的病毒或者木马部分，如果我们的特征码发现与特定文件匹配，我们就会判定这些文件有问题。
　　最近，更多威胁被用于犯罪活动，例如在被病毒感染的机器上偷取机密信息。这样的威胁使用更为复杂的技术，例如，隐藏它的密码、反还原、反调试、反根技术包(antiAntiRootkitTech)、打包机、多形态到名字使用一些技巧来避免反病毒产品的检测。我们也看到一些合法的程序也在使用类似的技术和技巧来保护其产品不被非法使用。当遭遇到这样的程序时，赛门铁克安全响应中心采取非常谨慎的态度对待它们，以避免出现误报。 
　  典型案例
    受访人：熊女士
　　事发当日，由于使用的IBM X系列NB(笔记本电脑)没有光驱，被误杀XP后无法通过光盘恢复的熊女士只能请公司技术员帮忙维修硬盘。看着买了不到半年的NB就这样被人拆卸，因忙于打电话委托券商补仓(炒股)的她无暇心疼。结果，因为NB故障耽误了半个小时，等她电话补仓时就多花了5角每股买入。可是，即便这样也没能修好，最后是次日，托朋友借了个外置光驱修好。
　　受访人：李女士
　　直到上周五，同样中招的李女士给本报打来电话称她的NB还没修好。于是记者找到了她的诺顿软件购买店——中关村科贸连邦店的电话，她拨打后回复的结果为，由于店内没有常设技术人员，销售员记录下了李女士的电话，并表示诺顿答应一定会派个技术员过来，因为他们是诺顿的旗舰店，只要技术员一来就马上通知她，但不能明确哪天能来。
　　卡巴斯基事件回放
　　5月18日，卡巴斯基误将XP繁体中文版的系统文件shdocvw.dll文件当做“Trojan.Win32.Agent.alz”病毒清除。导致我国台湾地区不少中文用户死机，造成用户启动系统后桌面上所有图标都消失，并且无法看到任务栏。