廉颇老矣,尚能饭否 年度迈赛门铁克误报的技术层深度分析.pdf

ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 廉颇老矣，尚能饭否？年迈赛门铁克误报的 技术层深度分析 5 月18 日下午，赛门铁克的客服电话肯定被打爆了！用户 以为是爆发了新病毒，于是很多安全软件厂商比如说金山 的客服中心都接到了用户的求助：开机重启后蓝屏，屏幕 上显示unknownharderror，安全模式下也无法进入，此类 情况在多个论坛也有类似描述。事件的起因是norton 杀毒 ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 软件曾经报告发现Backdoor.Haxdoor 病毒。 金山客服中心再联系多个用户后，证实是NORTON 的严重误 报导致系统不能启动。NORTON 误报的系统文件lsasrv.dll 和netapi32.dll 为Backdoor.Haxdoor 病毒，norton 杀毒 软件会自动将这两个dll 文件隔离。这两个系统文件被删 除后，会导致重启后蓝屏，屏幕上显示unknownharderror， 安全模式下也无法进入。 杀毒软件误报事件不可避免，但此番Symantec 的Norton ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 杀毒软件误报系统文件为病毒，给用户造成损失之大，实 属罕见。 修复方法： 系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统 文件，操作步骤如下： 1、使用windows 安装光盘启动系统，在提示安装时，按R 选择修复，再选择启动到故障恢复控制台。 2、在提示中选择当前运行的操作系统，多数情况下是按 ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 “1”，然后回车，需要输入管理员口令。 3、执行如下命令进行修复： Expandx: ＼I386＼netapi32.dl_c: ＼windows ＼system32 ＼ Expandx: ＼I386＼netapi32.dl_c: ＼windows ＼system32 ＼dllcache Expandx: ＼I386＼lsasrv.dl_c:＼windows ＼system32＼ Expandx: ＼I386＼lsasrv.dl_c:＼windows ＼system32＼ ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 dllcache＼ 4、在故障恢复控制台，运行listsvc，查看当前计算机服 务属性，找到NORTON 杀毒软件相关的服务名，NORTON360 的服务名包括cltnetcnservice、eectrl、ccevtmgr”、 ccsetmgr，其它版本的NORTON 杀毒软件，服务名有所不同， 可用listsvc 命令详细查看。 运行disable 服务名，禁用NORTON 杀毒软件相关服务。键 入exit 重新启动计算机。 ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 5、联系symantec 公司获得补丁，索取解决方案。 对企业网管来讲，这次误报是个噩梦，网管员首先应该立 即禁止全网更新，如果使用NORTON 企业版更新过，需要配 置升级回滚，撤销本次引发误报的病毒库升级。立即通知 所有客户机不要重启电脑，从NORTON 隔离区还原相应文件 至系统目录。 为简化修复步骤，可以使用winpe 光盘引导系统，再恢复 这两个系统文件到windows ＼system32 目录，然后禁用 ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 NORTON 杀毒软件的实时监控功能，重启恢复系统。 PS：在vi.duba.net 查到24 条有关Backdoor.Haxdoor 后 门程序的资料，该后门程序和灰鸽子类似，最早收集到的 版本是在2005 年。只是该后门程序的隐藏技术强过灰鸽子 木马，只是利益链不如灰鸽子广。换句话说，这个后门的 作者比灰鸽子作者缺乏商业头脑。 5 月18 日下午，賽門鐵克的客服電話肯定被打爆瞭！用戶 以為是爆發瞭新病毒，於是很多安全軟件廠商比如說金山 ＷＷＷ．ＨＵＡＹＵＳＵＯＹＥ．ＣＯＭ DD 锁具批发 的客服中心都接到瞭用戶的求助：開機重啟後藍屏，屏幕 上顯示unknownharderror，安全模式下也無法進入，此類 情況在多個論壇也有類似描述。事件的起因是norton 殺毒 軟件曾經報告發現Backdoor.Haxdoor 病毒。 金山客服中心再聯系多個用戶後，證實是NORTON 的嚴重誤 報導致系統不能啟動。NORTON 誤報的系統文件lsasrv.dll 和netapi32.dll 為Backdoor.Haxdoor 病毒，norton 殺毒