安全杂谈：瑞星惊魂11小时　平淡面对误杀

• 面对
• 杂谈
• 瑞星
• 安全
• 文件
• 系统
• 样本
• 浏览器
• 特征
• 匹配

       时间：2008年4月28日晚11点；地点：家；人物：我的电脑；事件：浏览器文件的误报。

       第一幕：惊魂

       今天如同往常一样，回家、开机器、上网，但是与往日不同的是，系统在启动后总是先弹出VC2005的DEBUG调试框，我开始没有在意，只是直接关闭了事，然而电脑长时间只显示桌面壁纸，无法看到桌面图标和开始菜单，我开始以为是我把笔记本电脑合上之后系统休眠导致此情况，但重启之后现象依然如故。（见图1）

我用的系统是WINDOWS XP SP2，这时我一方面怀疑是浏览器自身出现了问题，另一方面怀疑是病毒将浏览器干掉了。但是无法浏览，我的硬盘里的一些系统工具无法使用。

我报着试试看的态度按下了任务管理器组合健（CTRL+SHIFT+ESC），还好任务管理器还能用，于是点击“文件\新建任务”，在创建新任务框里敲入EXPLORER.EXE点击确定，这时瑞星监控报警，报出系统里的浏览器文件EXPLORER.EXE为下载木马Trojan.DL.Win32.Mnless.zib。（见图2）

点击清除后，提示Windows无法访问指定设备、路径或文件。（见图3）

原因找到了，原来是瑞星监控阻止了浏览器文件的运行，导致上述现象的出现。再次运行浏览器文件，依然如此提示，这证明瑞星并未将浏览器文件删除，倒底是不是误报，到现在为止还无法判断。

第二幕：寻根

接下来，我需要找到被瑞星报出病毒的文件，看看是浏览器文件被真的木马置换还是瑞星的误报，因为我的瑞星杀毒软件设置了启动前监控功能，只要监控开着，系统就无法正常进入。我本来想用WindowsPE来启动系统来提取样本文件，因为想到在安全模式下，监控模块并不会起作用，因此报着试试看的心态先进入了安全模式。在安全模式下提取了Explorer.exe的样本文件，然后在另一台电脑提取了一个正常系统的样本文件，版本是6.0.2900.3156，通过计算MD5值，发现同为0b55963e2c8129d9d2504a3c291447e0，由此排除了被木马置换的可能，确定是瑞星的误报。

在安全模式下，我将瑞星文件监控功能关闭，然后重启系统，结果一切正常，至此问题解决，虚惊一场，看了看瑞星杀毒软件的版本，20.42.01。

由于时间很晚，解决完后就睡了，结果今天上网搜了一下，已经有关于瑞星误报的帖子，也有了一个官方声明，大致意思是道歉，其它情况未提及。

第三幕：正源

这次误报事件虽然误报的也是重要的系统文件，但是并没有象诺顿误报反应那样强烈，我觉得这是正确的态度，对于杀毒软件来说，误报从理论上无法避免，宽容是应有的态度。不过，在宽容之后，我们应该了解一下误报的原因，这是负责的态度。

面对误报，我想先说一下反病毒厂商是如何处理海量样本的。由于样本集越来越大，各家的样本数量都已经达到了百万量级，为了能够将这些样本的特征都及时加入到病毒库中，一般有两种方法，一是开发一套特征码自动提取系统，通过神经网络等智能算法进行机器提取，在提取后做海量正常文件的误报测试。二是进行多特征匹配，即一条特征尽可能多地匹配到更多的样本，这种方法对木马、对病毒家族是很有效的。不过，这两种方法不管是哪一种，都有误报的可能，一种是自动机的BUG，一种是多特征匹配时的特征碰撞。

因此，为了弥补特征提取的误报问题，大家在进行海量正常样本的误报测试外，现在越来越多的厂商开始加入一个白名单机制，即对市面上所有正常的软件里的可执行程序做一个散列数据库，扫描引擎在做特征匹配之前先做一个白名单的排除匹配扫描。

瑞星这次误报，有两种可能，一种是有可能程序中并没有提供这样一个白名单机制，因为散列匹配的速度要比特征码匹配速度慢，它要对所有文件做动态散列的计算。另一种可能是做了白名单，但是由于操作系统的版本众多，没有收集到更全的的操作系统版本和文件。不过这一种可能有个说不通的地方就是，误报的系统文件是WINDOWSXP SP2中文版，误报的浏览器文件版本是6.0，这是国内目前最流行的操作系统版本，不太可能收集不到，那么经过分析，第一种可能性相对大些。

反病毒软件经过二十年的发展，技术体系已经非常成熟，不过，在今后的日子里，如何解决海量样本的及时入库和误报问题将成为摆在反病毒厂商面前的首要问题。