赛门铁克就诺顿误杀事件完整更新版说明

出处：CNET科技资讯网作者：CNET科技资讯网时间：2007-5-29 1:03:01

赛门铁克病毒定义代码事件

赛门铁克近期在病毒定义代码方面出现了问题, 对于由此给用户带来的不便，我们深表歉意。目前，赛门铁克希望向其合作伙伴及用户再次确认赛门铁克已在可能的最快时间内予以处理且此问题现已得到解决。

下文列出可能被经常问到的问题，希望能有助于为您提供更多相关信息。

赛门铁克病毒定义代码出现了什么问题？

下述两个特定Windows 版本系统中的文档被误报为恶意代码：
-- netapi32.dll (版本5.1.2600.2976)
-- lsasrv.dll (版本5.1.2600.2976)

受到影响的只是应用了微软KB924270安全更新的微软简体中文版Windows XP Service Pack 2 系统，并安装了包含误报内容的病毒定义更新的用户。

只有运行了错误的病毒定义更新并重启电脑的用户受到了此次事件的影响。没有重启电脑的用户可以通过安装随后的病毒定义代码更新来解决这一问题。新的病毒定义代码更新中已经删除了误报的定义。

这次事件造成哪些影响？

如果以上特定操作系统用户下载了有问题的病毒定义代码，并重启设备，Windows系统可能无法正常加载。

什么是微软KB924270？

微软KB924270是针对微软MS06-070的安全漏洞，欲了解更多信息，请参考微软官方网站：http://www.microsoft.com/technet/security/bulletin/ms06-070.mspx

如何判定我的系统是否受到此次病毒定义代码问题影响？

基于赛门铁克目前的测试，只有安装了Windows KB924270补丁的微软简体中文版Windows XP Service Pack 2系统，并在北京时间5月18日凌晨1点至下午2:30分之间，在该系统上执行了病毒定义更新的用户，受到此问题的影响。

为什么此事件仅影响简体中文版本？这是否属于产品本地化问题？

这并不是产品本地化问题。出于对安全风险的担心，我们的中国用户向我们提交了这些文件，而这些提交的文件符合利用某种技术加密的文件特征。随着新兴威胁数量以非常高的速度持续快速增长，我们利用此类过滤工具作为重要手段，抵制恶意代码的攻击。仅在今年，我们就已增加了超过170,000个新威胁检测签名，从而产生大约312个新的病毒定义代码。

如果我已经执行了上述有问题的病毒定义代码更新，将会如何？

A. 如果您的计算机没有重新启动
如果 Norton AntiVirus 或者 Symantec AntiVirus Corporate Edition 已经将 NETAPI32.DLL and LSASRV.DLL 判断为 Backdoor.Haxdoor 并将其隔离，如果您的电脑没有重新启动过，请使用下面的方法：

通过 LiveUpdate 进行病毒定义更新或者从以下网站下载智能病毒定义： http://www.symantec.com/avcenter/defs.download.html

运行手动扫描。

从隔离区恢复 NETAPI.DLL 和 LSASRV.DLL。

B. 如果您的计算机已经重新启动
如果 Norton AntiVirus 或 Symantec AntiVirus Corporate Edition 已经将NETAPI32.DLL 和 LSASRV.DLL 定义为 Backdoor.Haxdoor 并且将其删除，请按照下面步骤进行修复：

1. 下载修复工具

请单击此处下载修复工具(FIX_FP.iso)。

注意:此修复工具使用FreeDos内核, FreeDos 基于 GNU GPL 协议。您可以从以下网站下载该内核的源码 http://www.freedos.org。

2. 将 ISO 文件刻录为 CD 启动盘。

3. 从光盘引导。

从 BIOS 里设置从光盘引导计算机

将赛门铁克修复 CD 放入光驱

启动电脑

注意:有些电脑会提示您选择引导设备，这时您选择含有赛门铁克修复 CD 的设备。

4. 运行修复工具。
将出现以下提示信息：
Running Fixtool. Please wait as this will take a few minutes. Symantec Backdoor.Haxdoor FP fixtool (dos version) v1.0

5. 确认。
运行完第4步之后，这个工具可能会提示一些的信息，请根据提示信息的内容作相应的操作：
a) 运行结束。
请退出光盘，并重新启动您的电脑。
b) 错误：找不到NETAPI32.DLL。
提示该信息时，请单击此处下载使用 Symantec Recovery CD。

6. 重新启动电脑。
Windows 加载结束后，您可能看到一些信息框，您可以略过这些信息。

7. 更新程序。
先运行 LiveUpdate 更新到最新的病毒定义，然后我们建议您运行 Windows Update 确保所有 Windows 关键补丁已经更新，包括 KB924270。

8. 重新启动电脑。

如果修复工具无法成功修复 NETAPI32.DLL 和 LSASRV.DLL，请按以下步骤操作：

手动修复

1. 找到Windows安装 CD，将其插入驱动器，然后重新启动计算机。
2. 在启动时，选择从从 CD 启动的选项。
3. 当 Windows 设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。
4. 选择受影响的 Windows 安装程序，然后输入您的管理员密码。
5. 依次输入下列命令（如果出现提示则选择覆盖）：
a. cd windowssystem32
b. expand（cd 驱动器盘符）:i386netapi32.dl_
c. expand（cd 驱动器盘符）:i386lsasrv.dl_
d. cd dllcache
e. expand（cd 驱动器盘符）:i386netapi32.dl_
f. expand（cd 驱动器盘符）:i386lsasrv.dl_
6 输入“exit”，重新启动计算机
7 下载并更新到最新的病毒定义
8 重新安装Windows补丁程序 - KB924270。

为什么会出现这种情况？

赛门铁克安全响应中心使用多种自动化系统来辅助完成手动分析，从而确保在面对新型威胁时能够快速响应。该自动化程序已成功使用多年，帮助赛门铁克安全响应中心大幅增加高水准的恶意软件检测数量，尤其可帮助用户应对持续增加的大量威胁。

为了应对加密技术在恶意软件中使用的与日俱增，赛门铁克最近在自动化系统中进行了一处改动，这却无意中引发了自动化系统中使用的一个定义的变化，进而导致2个Windows系统文件被错误地检测为恶意软件。

赛门铁克采取哪些措施解决这一事件？

在事件出现之后，赛门铁克马上通过LiveUpdate发布了新的病毒定义代码更新。安装这些新的病毒定义代码将确保不会再次发生该问题。

北京时间2007年5月18日下午1:50分，赛门铁克发布病毒定义代码更新用以修正此问题。这些病毒定义代码的版本号是20070517.073。

赛门铁克调动所有可用资源，尽可能多地与用户取得联系。自此事件发生起，我们将接听电话的能力提升了3倍。

个人用户热线电话启动了回拨系统，我们将记录下用户的具体要求，并制定回拨安排。用户也可发送电子邮件给我们，写清回电的具体要求。电子邮箱地址为：symantec_escalation_cn@clts.com；用户也可以访问赛门铁克官方网站获取该信息： www.symantec.com/cn。

赛门铁克如何确信此类事件不再发生？

赛门铁克安全响应中心已经对认证程序进行了具体的修改及加入多个病毒定义代码更新发布前的核查，以避免此类误报事件的发生。

新的安全响应中心的成立，是否会缩短此类事件出现时赛门铁克的响应时间？

赛门铁克在接到误报提示的1小时之内就做出了响应，并发了布快速病毒定义代码更新；在事件发生的4小时之内，发布了面向所有产品和操作系统的完全确证的病毒定义代码更新。尽管事件发生过程中没有造成直接的数据损失，对于那些无法重启系统或无法获取计算机系统恢复光盘的用户，赛门铁克于5月21日周一派发了修复光盘。在随后的两天中，赛门铁克发布了基于Ghost技术的优化的恢复工具，缩小了下载文件的大小。

赛门铁克中国安全响应中心在成立之初，将致力于研究恶意软件和安全入侵，并提供防护方案。我们的响应时间已经世界领先。作为赛门铁克安全响应全球营运团队中的组成部分，赛门铁克中国安全响应中心还将致力于检测、分类并防护出现在中国的安全威胁，以及进行针对本地应用的测试以提高我们防护方案的质量。

赛门铁克如何将此事告知用户及合作伙伴？

赛门铁克为其用户与合作伙伴网络提供了最新的文件定义和必需的步骤，已经有效避免了进一步问题的产生。赛门铁克致力于对用户的问题作出快速响应，并集中力量确保以最快的速度解除用户后顾之忧。

赛门铁克对此次事件积极响应，并为受影响的用户提供快速的解决方案，确保了在最短的时间内解决所有用户问题，将此次事件对企业级用户和消费者的影响降至最低。赛门铁克致力于为用户提供业界最佳解决方案，并一如既往地承诺确保其技术、流程和方法是全球领先的。赛门铁克切实关注每一位用户，并一贯坚持着对市场的承诺。

我要如何获取更多帮助？

如您需要了解更多信息，或需要任何协助，请致电赛门铁克服务热线：

个人用户：800-830-1153

企业用户：800-810-3992

或访问赛门铁克官方网站：www.symantec.com.cn。赛门铁克愿随时为您提供协助。

企业用户也可以同以下的赛门铁克合作伙伴取得联系，就近得到技术支持。

个人用户也可以同以下的赛门铁克合作伙伴取得联系，就近得到技术支持。

邮件网络安全

赛门铁克就诺顿误杀事件完整更新版说明