賽門鐵克深陷“誤刪門”

賽門鐵克誤殺系統文件，引發了對殺毒軟件頻頻發生的誤報、誤刪事件的大規模關注。殺毒軟件為何變得比病毒更可怕？安全軟件為何成為“不安全”的制造者？

據5月22日消息，針對近日大面積出現的“諾頓升級病毒庫后把Windows XP關鍵系統文件清除，致中文WinXP崩潰”事件，已有部分企業用戶的賽門鐵克軟件（北京）索賠。

5月21日早上一到辦公室，就看到幾個同事圍在一起，訴說著電腦突然癱瘓的痛苦。

“周末本來打算在家寫稿子，誰知道星期六中午拿出電腦，就發現開不了機?！蓖绿飰粲魫灥卣f，“打電話給技術支持人員，說是因為賽門鐵克星期五升級的時候，把系統文件刪掉了。最后只能把硬盤拆出來，再連到另外一臺機器上，才重新恢復。等我把電腦弄好都晚上12點了，什么也沒干成。”

據記者了解，僅我們報社，就有7臺電腦“中招”。而據新浪的調查顯示，截至5月23日上午11點40分，參與調查的48658人中有37.61%（18299人）“中招”。也就是說，在賽門鐵克的用戶中，有一半以上都受到了“誤殺”的影響。更有70%以上的受調查者表示，這次的誤殺事件會影響其對賽門鐵克產品的選擇。

那么，誤殺事件為什么會發生？曾經讓人們深信的安全產品怎么就變成了“不安全”的制造者？

殺毒軟件比病毒更可怕？

讓人感到頗為不可思議的是，造成這次大面積電腦癱瘓的“真兇”，竟然是最常用的殺毒軟件——賽門鐵克公司旗下的諾頓。5月18日，賽門鐵克發布了新的病毒定義補丁，誤把簡體中文版Windows XP sp2的兩個系統文件NetSpi32.dll和LsaSrv.dll判定為病毒并刪除。

就在賽門鐵克遭遇“誤刪門”的同時，其競爭對手、號稱誤報率最低的卡巴斯基，也被爆誤刪Windows XP中文版的系統文件。盡管卡巴斯基很快發出聲明，稱卡巴斯基殺毒軟件只是“短暫懷疑Windows XP系統中的shdocvw.dll.doc文件為木馬，而且這一現象只在臺灣地區發生，并在事發30分鐘內即已修正，涉及到的用戶極少”。但有數據顯示，自去年12月至今年5月，卡巴斯基的重大誤殺就有22次之多，卡巴斯基甚至被網友戲稱為“誤報王”。

有網友表示，自己炒股使用的大智慧、同花順等交易軟件都曾被誤殺，不僅數據丟失，還造成了經濟上的損失。“殺毒軟件的破壞力好像比病毒還要大，現在已經不知道是該怕病毒還是怕殺毒軟件了”。

重視不足 本地化成短板

“與國內殺毒軟件相比，國外產品對中國軟件的收集不足，誤報庫不全面，這是導致多次誤刪事件的主要原因”。金山毒霸反病毒專家戴光劍解釋說，各大殺毒廠商通常會不斷地從用戶、互聯網中收集大量的程序和軟件，其中最重要的就是各種操作系統，最終形成一個巨大的誤報庫，通常這個庫多達幾百G的容量，在十幾臺專用誤報測試服務器的速度保證下，完成當次病毒庫的測試工作。

在對誤報事件的統計中，記者發現，國外安全廠商的誤報事件明顯多于國內廠商，而大多數的誤報又都主要集中在國內流行的中文軟件、國外軟件的中文版和操作系統的中文版。有不少安全專家認為，多次誤殺事件表明，國外安全軟件廠商對中國市場，特別是中國大陸市場重視不夠，才導致其在中國的本地化工作不足。

“（國外安全廠商）至少在行動上表現出對中國用戶的重視不夠。如果說從思想到行動上都對中國用戶有足夠重視的話，本次事件應該是可以避免的，因為這對于安全廠商來說，并不是多大的技術挑戰。” 國家計算機網絡應急技術處理協調中心副總工程師杜躍進表示。計算機世界評測實驗室的工程師李韜也認為，“盡管不少大型廠商在中國都有分支機構，但本地機構所做的工作大都是翻譯，并不細致，所以誤報率也相對要高些?！?/p>

業內人士認為，由于中國擁有龐大的用戶群體和網絡規模，要想在行動上落實對中國市場的重視，就必須加強對本地惡意代碼樣本的采集和分析能力、加大對本地用戶所使用的系統的了解和測試。不僅如此，國外廠商還應加大本地研發，提高服務能力。

針對此問題，賽門鐵克于5月23日舉辦了新聞發布會，宣布將成立在中國的第一家安全響應中心，并在年底投入使用。賽門鐵克安全響應中心高級發展總監Vincent Weafer在會上表示，安全響應中心將監測特別存在于中國市場的威脅和安全事件，打擊在中國的惡意軟件活動。

Vincent Weafer說，“任何一次誤報都是大事，安全響應中心就是為了在中國了解中國軟件的特點，今后要把這次的教訓用到工作中去，把誤報率降到最低?！?/p>

為求響應速度 測試環節縮水

北京東方微點信息技術有限責任公司副總經理田亞葵在分析誤報事件原因時說，目前許多殺毒軟件廠商都存在內部流程管理問題。以特征碼技術為主的殺毒軟件就是要以最快的速度推出殺毒補丁搶占市場，這樣激烈的競爭就造成殺毒軟件公司對病毒特征碼的提取、分析、測試等周期逐漸縮短。在這個過程中就有可能出現由于內部流程管理的疏忽，從而導致補丁的安全性、可靠性降低，潛在風險增加。

“每個產品都會經過多重測試，保證產品功能不存在問題。但對于內容，也就是病毒定義就不同了。因為病毒定義每小時都要更新，而要對所有測試都過一遍的話，這個數量級是萬億次的，因此在一小時內，只能對某些重要的文件優先測試?！睆腤eafer的一番解釋，可以看出殺毒軟件廠商內部生產流程中可能出現的一些問題?！拔覀冊谶@個事件中得到的教訓就是，首先要對自動化的系統進行不斷地測試?！?/p>

相比國外殺毒軟件，國內廠商的心態多是求穩，做法相對保守一些。一般都會花較多的時間完成測試，盡管在時間上有所落后，但對穩定性和兼容性更有保障，因此誤報也就相應減少。

雖說誤報、誤殺從技術上來講是不可避免的，但是殺毒軟件廠商還是應該盡量減少這類事件的發生?！靶畔⒑途W絡安全問題涉及面廣，因此計算機安全公司、操作系統生產廠商要加強質量控制，在升級前嚴格測試。否則，一個企業的失誤可能導致用戶的大面積損失?！?國家計算機病毒應急處理中心副主任張健說。