Symantec病毒定义码事件及思考

9:00多   ( l2 Q4 f; Y2 M+ Y! g

6 z9 d# I: C1 H$ g$ z9 q领导说他的机器出问题了，Symantec AntiVirus不停地报netapi32.dll和lsasrv.dll是病毒，但从网上搜索，都说这两个文件是正常的Windows系统文件。重启系统蓝屏，提示信息为：   ; C3 x+ g- z' E8 e( Y! h- T1 K

4 n  k8 k7 q2 w/ f+ a3 M8 n, S/ a: }1 A
        9 ^5 o/ o' |3 a7 @9 V
        5 E! f9 s# H, X( g5 B; ~2 b. O

/ S% J8 f5 q* Y& y5 m* g- U               
. ~. f: l3 S9 i, U* _4 ?. ?0 r6 b
, G! o$ u2 }$ [( c$ z5 r                        " Y6 P7 ?  ?# n8 t7 E7 R
9 @; y- U; _& Z. }
                               
  i# j: o3 l( s7 Q% P1 p. e& d3 q" D$ a' N
                                        STOP:C000021a hard error4 t/ H5 n* e) z9 m  W6 A5 E' D# ^$ {8 ?
Unknown hard error2 G& J' _3 }$ B! c# g. d3 u" Z
                       
9 V9 C* {2 s/ }: N+ o               
8 n$ O  M( q& \       
3 f( n  t. o" T- y% J
+ O+ A& D; i3 l根据一般系统系统维护经验，病毒是很有可能伪装成正常文件的，所以对领导说的那两个文件是系统文件我没当回事。蓝屏不能启动嘛，按照先软后硬的顺序，重装系统，还不行的话再分析硬件。好在以前系统用联想的一个类似一键还原的工具做过备份，所以恢复系统很容易。重装前好备份C盘有用的数据，好在领导有把数据放在除C以外的分区的习惯，所有只有桌面上的一些WORD文件需要备份。用“深山红叶”启动后，备份工作很快完成，随之的系统还原也几分钟就完成了。看来是软件问题，“hard error”不是“硬件故障”。   
3 X. ~( ^- [: L# N6 u1 D1 ?% }9 L- v8 }1 {+ i& N' }3 Q
本以为这只是个案，没想到接下接到接二连三的电话，报告类似的问题，这下我有点蒙了。   
- j/ V7 T2 j; ^9 H
8 @( H( V8 j( P" r8 a. U( D10:00   
: k' C1 o0 G" h  V) K- K* J5 @
$ u; c% H( g) F收到了上级部门9：35用邮件发来的紧急通知：   
. ^6 W( t: b1 n  I. m& g$ N8 O# A; c1 ?! {3 w$ O  i
/ c& v* w5 m4 Q
        8 h' w- Q% `! R: L" Y. O) B
       
2 y3 N8 ?$ m; Q6 l4 N" h/ @% E- X+ O
               
# D, a: X' v* t- O. ?( C; R9 v7 c. R4 |7 m1 |. X& E
                        1 L) A( R& S! y& V

1 {2 w7 l- W" L: V2 r7 h6 M                                0 ?& a2 _2 }- d" f) i# g3 R* i0 p5 H
" G( |4 Y. F5 L1 }! U1 O/ T4 i; C
                                        现在网上正在爆发新病毒，病毒名字为：Backdoor.Haxdoor。- f. h* V4 p+ [  B& ~* t; o
用symantec查杀病毒时出现Backdoor.Haxdoor病毒。Symantec操作删除失败，隔离失败。病毒关联文件
  |& e) D6 [6 l  \  ]. s: l是C:\windows/system32目录下netapi32.dll文件。重启系统后出现蓝屏，错误提示为：# E! q1 U* Z1 t
STOP:C000021a hard error& w( t. y% V5 k8 d
Unknown hard error
# C: [4 m( M7 g8 }# U9 y安全提示：如出现此类情况，
1 L" m- H& p9 [1、不要重启系统。
8 }3 k- {; R9 C' ^6 s# @2、暂时不要升级symantec病毒定义码。8 A4 j! m7 |* J6 Z
3、暂时不要使用symantec查杀系统。
7 p( }% B. k9 B8 R3 w2 l网络安全组正在寻求查杀解决办法，请耐心等待最新通知后再进行查杀。
( g2 `$ y4 \+ y/ O* G6 O                        / _, W' X7 m4 L1 \2 i
               
1 g$ i7 M( Z4 r, g! |        : j2 h7 N$ r- q0 I1 u

  ?8 ^5 @: V. ?$ k) h看来很严重啊，可为什么我们办公室的电脑都没事呢？与上级部门电话联系后得知，出现这一问题的原因与最新的病毒定义码有关，也就是“2007-5-17 rev18”这个病毒定义码。我一看我的病毒定义码是2007-5-16，哈，这就可以放心了。我赶紧把我能控制的服务器组的病毒定义码都改为“2007-5-16”，SAV这一点不错，可以保留最近三天的病毒定义码，并能选择。我所在的服务器组的病毒定义码为什么没有更新到“2007-5-17”呢？这是因为前一段时间我刚把病毒定义码的更新源改为上级部门的服务器，原来都是直接指向Symantec公司的服务器的。上级部门服务器的病毒定义总是慢一二天，我一直不知道他们是故意这么做的还是:</BR>有什么原因，没想到这次这慢半拍的病毒定义倒是发挥作用了。   
. ~. U8 F$ b- Y- s3 k" D+ l  z/ m  Q2 R3 N
我在服务器上没有设置客户端的“调度更新”和“LiveUpdate”，这样如果有的人自己设置了，就会单独到Symantec公司服务器上更新病毒定义，就会中招。这就是我们这里同样是使用SAV，有的人出现问题，有的人就没事的原因。想到这里，我赶紧在SSC中把客户端的这两项功能都锁死。   5 W* e. S; h, Q( m& V3 i* S$ z0 f

& ~4 ]) O" I& `) \: B3 O; K4 j4 S12:40   - v+ P/ P) v) {+ [. r5 ]
4 k) `2 p9 p! \7 t( g# U# V
收到了上级部门给出的解决方案，方案中的一些措施，比如在SSC中回复到以前的病毒定义码，这些我都做了。对报病毒的情况，要求不要重启，继续等待。对已重启蓝屏电脑提出了用Windows PE光盘启动，恢复netapi32.dll，lsasrv.dll两个文件，删除SAV2007-5-17病毒定义的办法。并给出了一个包含上述操作批处理文件的Windows PE光盘ISO文件。     i5 R( j9 V; @- q9 Q* }, T
/ X8 i9 r8 F: J1 s$ C
我立即把这些内容放到我负责的一个防病毒专题网站上，并开始着手试着恢复机器。由于我有深山红叶光盘，所以我没刻盘，直接用深山红叶试着修复，并获得了成功。   , v. U/ j. {' r8 g$ n$ t
+ l& u( s1 i  v. e' Z
13:30   
2 S' }+ @- e  [
% y* P% W& X. A8 j, |, l# ?收到了上级部门给出的更详细的解决方案。我也同样更新了专题网站里的内容。   
1 G/ V5 N. m) E" O8 o6 |
. F* H0 {3 e. w1 x& l" ~( f下午按照这些方案不停地恢复机器。大部分都获得了成功。但有的机器并不是蓝屏，而是不停重启，恢复了那两个文件，删掉了2007-5-17的病毒定义码也没有效果。情急之下，我用Windows XP系统盘修复系统的模式安装了一遍，这下能启动了，但花费了不少时间。   
. O8 U2 U0 O! E; ]) Z! y# N- A+ O- h# f* `2 J
16:40   9 C. n. `4 @% S( X  u  q, y0 L
( g& A, z* o* l- N
上级部门告之：没重启的电脑把病毒定义升到“2007-5-17 rev 71”，然后把隔离区的那两个文件恢复即可。   ! }' O, Q9 d: K5 J/ r

" S$ K9 C# G% C7 a2007年5月19日，20日(周六周日)   8 V& n  J5 X! w: J8 ?* o9 _4 Z

4 N. [2 r# o# K3 n9 q继续不停地有电话要求恢复系统，痛苦。   
1 j1 W) Z, [% y" E8 ?" Z
: F1 h2 g# J) L- }2007年5月21日   
, H9 a" l4 @* p, N5 S
8 }8 X# c+ T6 o% V9 a在网上看到了Symantec的官方解释。网上转载有这样的句子“对于由此给用户带来的不便，我们深表歉意。”但我看到的是：“对于由此给用户带来的不便。”删掉了“深表歉意”，而不管句子是否通顺。到了下午，内容又发生了变化，主要强调Symantec响应速度是如何之快，如何负责任，而不提用户会有怎样的感受。   
( b& t) Z) t9 M4 ]9 Y. |  m+ q+ g
1 f& }+ L: t1 V2 s' y+ k! O9 ]* I引发思考   
7 `7 K6 [, U6 f5 n2 z" n" M6 E) p* R1 ]$ c3 h% \9 {; ]+ H
这次事件给企业信息安全人员提出了新的课题，如何保证在各种突发安全事件中保证企业的信息安全？我有几点体会，   
0 F$ }# L* x' o6 H( a; t" w' D3 ~2 Q6 K- R( I9 Q: H2 n. t
一是备份的重要性   $ j% i3 l% v6 m- Y' B
- p9 I( M. M5 C! ]+ y, v, D' z" F+ \
我们领导的机器由于做过系统备份，所以恢复很容易。这个是老生常谈了，这次又得到了验证。   9 o9 O/ g% b! h4 F3 P( l7 y1 m

' N# K, g6 V# N3 |: F# L二是病毒定义码的安全性问题   
: u- v6 j: K$ [- z1 i! w$ k) i' E4 ^5 D# g7 J
其实这不是一个新问题，杀毒软件会造成误杀和漏杀，这是人所共知的。漏杀造成的危害人们关注的多，但由于误杀造成危害的先例很少，所以:</BR>一直没有引起足够重视。这次事件可以做为一个经典案例，给人们敲响警钟。越是重要的系统，部署病毒定义码前越是应该进行测试。SAV保留三个病毒定义码可以由管理员来选择，也是基于这个道理。   
% T6 z* M5 O1 W6 T9 H( M; E
  o6 p8 N6 I+ K% q' f三是由病毒定义码扩展到操作系统等的补丁   
/ L# p3 U. S  O( Y6 Z( i
& c* D8 z9 L+ [* K$ i* u1 G由于“冲击波”和“震荡波”的“贡献”，现在及时打补丁已经成为一个常识了。但系统补丁和病毒定义码一样，有一个是否一定适合在你的系统的问题。只不过系统补丁在发布前，比病毒定义码有更多的时间进行测试，这样补丁能保证尽可能和操作系统不冲突，但却很难保证和系统里所有的软件都不冲突。所以，重要系统在部署补丁前也应该先进行兼容性和安全性的测试。   1 [1 ?( K/ z# R& f1 l1 K

0 W! M- |6 _) H! |0 V" c四是对安全厂商的看法   
( T) z0 m) ~* @! I. [* T
; p  a0 ]; e3 {" N$ V( `0 b8 g5 @5 F幻想用了某杀毒软件或应用某项安全保障体系就能“高枕无忧”的想法是不切实际的。要明白，安全厂商的目标是利润。与安全厂商的关系应该是合作，而不是依赖。  :