揭祕：追本溯源殺毒軟件爲何會出現誤殺

 5月18日，一場突如其來的諾頓誤報事件波及了中國數百萬電腦用戶，一時間，各大媒體紛紛報道，網絡上關於殺毒軟件誤報的討伐聲也不絕餘耳。 5月19日，在事件發生的十幾個小時後，諾頓發表公開聲明，並公佈了本次誤報問題的解決方案，事件塵埃落地。 然而這場被反病毒專家稱爲“近5年來最大的誤報”事件，是否就這樣結束？誤殺到底是如何產生的？能否避免？類似的誤殺事件是否可能再次發生？一系列的問題都還沒有答案。 誤報是如何產生的？ 誤報是殺毒軟件最忌諱的事情，也是難免的，但在有保證的情況下，是可以最大限度的去避免誤報。 金山毒霸反病毒專家戴光劍表示，誤報的產生主要有兩種原因：一是鑑定錯誤，把正常文件誤認爲病毒。比如一個網管軟件，有病毒分析員收集到這個文件後，分析認爲其存在不安全行爲，就極有可能並將判定爲病毒；二是病毒特徵提取錯誤引起的誤報。如果工程師在提取病毒特徵時，因疏忽而提取錯誤。比如病毒一般是用高級語言編寫，如果疏忽提到了該編譯器的部分特徵，就可能出現將使用該語言編寫的所有程序判斷爲病毒，此次諾頓誤報事件就是將簡體中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll判定爲病毒所致。 人非聖賢，孰能無過？但作爲一個國際知名的殺毒軟件出現將系統文件判定爲病毒這種嚴重的誤報問題，確實需要反思一下。 是突發事件，還是早有隱患？ 其實，誤報問題在殺毒軟件中時有發生，尤其是一些國外的殺毒軟件，由於一些操作機制的問題，發生誤報的機率要高於國內的殺毒軟件。 2001年諾頓“誤報”瑞星2002版殺毒軟件帶“歡樂時光”病毒；2006年卡巴斯基誤報金山詞霸爲病毒；同年，誤報QQ2006正式版和QQ遊戲2006爲木馬病毒；2007年卡巴斯基提示暴風的升級模塊是木馬，造成大部分用戶無法正常使用暴風影音；2007年趨勢誤報聯衆客戶端爲病毒等等。 既然誤報問題並非技術難題？爲什麼同樣的錯誤一再發生？而且這些被誤報的軟件均是很受國內用戶歡迎的應用軟件。問題又出在哪裏呢？ 金山毒霸反病毒專家戴光劍給出了答案，“各大殺毒廠商通常會不斷的從用戶、互聯網中收集大量的程序和軟件，其中最重要的就是各種操作系統，形成一個巨大的誤報庫，通常這個庫多達幾百個G的容量。在十幾臺專用誤報測試服務器的速度保證下，完成當次病毒庫的測試工作。與國內殺毒軟件相比，國外產品對中國軟件的收集不足，誤報庫不全面。” 而此次諾頓誤報簡體中文版Winxp sp2系統文件爲病毒的根本原因，正是因爲沒有將中文版的操作系統文件加入到誤報庫中。 如何避免誤報？ 諾頓誤報事件已經告一段落，但沒人會知道明天是否再會發生類似的事件，誤報問題是否有根本的解決辦法呢？ 戴光劍指出，各大殺毒廠商在防止誤報方面都在進行着積極的努力，以金山毒霸爲例，採取了很多積極的措施來最大限度的減少誤報的可能。 首先，金山毒霸的病毒庫的製作升級過程需要有病毒庫製作、病毒庫測試、病毒庫升級三個過程來進行，並使用專門的小組來負責； 其次，金山毒霸在對可疑樣本文件進行鑑定時，是通過了有效的白名單過濾機制，再通過二次人工鑑定方法來確認病毒樣本的可信性，這是爲了有效的確認樣本文件確爲病毒，排除誤鑑定的問題。提取病毒特徵的方法上我們進行了多年的經驗積累，已經可以有效的避免提到非病毒特徵的位置。將病毒特徵製作成最後的病毒庫。 再次，在病毒庫測試階段又分爲病毒查殺有效性測試和誤報測試，有專人維護，不停的從互聯網和用戶手中收集各類程序來擴充。 最後，將測試完畢的病毒庫放給用戶升級。金山毒霸每週17次升級，每次升級前都會用最新制作的病毒庫掃描這個龐大的誤報庫，如果在鑑定和提取特徵時出現失誤，也基本會在誤報庫測試中發現並即時修正。 互聯網的迅猛發展，人們對網絡的依賴程度越來越高，網絡銀行、網絡炒股、網絡查詢等等，人們的生活開始日益網絡化。然而面對蠕蟲、木馬、黑客的頻繁入侵，人們對殺毒軟件的需求也日益強烈。用戶越多，殺毒廠商的責任就越大，任何無視用戶利益的行爲必將遭到用戶的質疑。