杀毒软件的“误杀”能否避免

本报记者 焦集瑩

一年前的这一周，也就是2007年5月17日，赛门铁克公司诺顿杀毒软件“误杀”用户操作系统文件，导致大量用户计算机系统崩溃的事件引发了业界轩然大波。全国上百万台计算机受到影响，很多用户第一次知道了“误杀”的概念，也开始了解到杀毒软件并非十全十美，在于病毒做斗争之时其自身也存在着“双刃剑”的特点。

杀毒厂商频曝“误杀”事件

最近一段时间，卡巴斯基、金山、瑞星又先后被媒体曝出存在“误杀”现象，尽管造成的影响没有赛门铁克公司的诺顿产品那样严重，但足以引起用户重视。一些用户给本报发来咨询，想要了解杀毒软件的“误杀”从技术上到底是怎么回事，是否真的无法避免。

记者从反病毒行业了解到，所谓的杀毒软件“误杀”，主要是指杀毒软件把一些正常的系统文件或者是其它的正常程序，误判为病毒而进行清除或删除的行为。从技术层面上来讲，任何一款杀毒软件都不可能做到百分之百杜绝“误杀”，只不过一些厂商会谨慎对比反复检验病毒程序的真伪，宁可错漏也尽量不去“误杀”。而一些公司则为了最大程度上拦截病毒，把一些疑似病毒的文件用“宁可错杀，不能漏网”的原则对待，这样产生“误杀”的机率就会大得多。

据反病毒工程师何公道介绍，“误杀”在技术上主要来自两个方面：一、杀毒程序提取的特征码与正常的程序巧合，特征码提取的技巧不够，导致将正常程序误认为是病毒；二、利用病毒行为特征判断病毒的杀毒软件，把一些正常的软件的特殊或者报错行为当成是病毒的行为进行处理，导致杀毒软件误杀。

2007年5月17日，病毒库升级到当日版本的诺顿杀毒软件强行删除了系统lsasrv.dll和netapi32.dll两个文件，导致大量用户系统崩溃。2008年4月28日，瑞星把系统文件EXPLORER.EXE当成病毒杀掉。虽然相隔一年之久，但这两起误杀事件无论在时间上还是起因上都十分相似。

自动分析系统“摆乌龙”

此前业界已经发生的几起“误杀”事件大多是源于病毒自动分析系统出了问题。该系统很多杀毒厂商都在使用，因为目前每天都有成千上万种病毒出现，仅靠杀毒厂商工程师手工分析的速度已经远远落后病毒的更新速度了。所以为了分析更多的病毒，病毒自动分析系统被杀毒厂商提上了日程。但这种自动分析系统也是没有自动测试机制，或是自动测试机制不完善，从而导致了把系统文件误作为病毒文件杀掉的重大错误。

此外，反病毒工程师透露，近期的一些“误杀”事件频频上演，还与病毒表现出来的新特征关系紧密。“现在很多病毒都学会了偷梁换柱的技术，把自身伪装成系统文件，但并不破坏正常的系统文件。这样，病毒文件与系统的正常文件共存，杀毒软件一不小心就会敌友不分，导致误杀。如最近出现的‘桌面幽灵’病毒就具有这种特征，病毒会利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，借助该程序去实现开机自启动，下载包括“系统杀手”“ARP杀手”“代理木马”“机器狗”等大量木马病毒到用户计算机中安装运行，给中毒电脑用户带来巨大危害。

据悉，“桌面幽灵”病毒正是伪装成类似于微软的IE浏览器文件“explorer.exe”，导致个别杀毒软件“误杀”了系统桌面文件。一般来说，杀毒软件产生“误杀”跟杀毒引擎的质量关系不太大，反而跟病毒特征码提取技巧以及是否有完善的测试系统有关。

避免“误杀”的办法一是对加强病毒分析师对病毒特征的提取的技巧，强化病毒分析师的责任心，在提取特征后要进行全面而完善的测试。二是利用自动病毒分析系统的厂商，必须有一套完善的自动测试系统，而不能完全依赖机器对病毒进行特征提取。

而对于用户来说，如果发现在升级某一天的病毒库之后系统出现缓慢、死机或者其他不正常现象后，应该积极向使用的杀毒软件公司报告，并且申请技术援助，尽量不要再自行操作其他程序。一般情况下，杀毒软件公司都会在第一时间内修改病毒库，用户可以通过升级到下一版本或者下一天来跳过“报错”的这一天病毒库。