首页 > > 服务器技术 > 安全防护 >

我经历的Symantec病毒定义码事件及思考

2008-02-23 07:20:29来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

9:00多

领导说他的机器出问题了,Symantec AntiVirus不停地报netapi32.dll和lsasrv.dll是病毒,但从网上搜索,都说这两个文件是正常的Windows系统文件。重启系统蓝屏,提示信息为: 

STOP:C000021a hard error 

Unknown hard error

根据一般系统系统维护经验,病毒是很有可能伪装成正常文件的,所以对领导说的那两个文件是系统文件我没当回事。蓝屏不能启动嘛,按照先软后硬的顺序,重装系统,还不行的话再分析硬件。好在以前系统用联想的一个类似一键还原的工具做过备份,所以恢复系统很容易。重装前好备份C盘有用的数据,好在领导有把数据放在除C以外的分区的习惯,所有只有桌面上的一些WORD文件需要备份。用“深山红叶”启动后,备份工作很快完成,随之的系统还原也几分钟就完成了。看来是软件问题,“hard error”不是“硬件故障”。

本以为这只是个案,没想到接下接到接二连三的电话,报告类似的问题,这下我有点蒙了。

10:00

收到了上级部门9:35用邮件发来的紧急通知: 

现在网上正在爆发新病毒,病毒名字为:Backdoor.Haxdoor。

用symantec查杀病毒时出现Backdoor.Haxdoor病毒。Symantec操作删除失败,隔离失败。病毒关联文件

是C:\windows/system32目录下netapi32.dll文件。重启系统后出现蓝屏,错误提示为:

STOP:C000021a hard error 

Unknown hard error

安全提示:如出现此类情况,

1、不要重启系统。

2、暂时不要升级symantec病毒定义码。

3、暂时不要使用symantec查杀系统。

网络安全组正在寻求查杀解决办法,请耐心等待最新通知后再进行查杀。

看来很严重啊,可为什么我们办公室的电脑都没事呢?与上级部门电话联系后得知,出现这一问题的原因与最新的病毒定义码有关,也就是“2007-5-17 rev18”这个病毒定义码。我一看我的病毒定义码是2007-5-16,哈,这就可以放心了。我赶紧把我能控制的服务器组的病毒定义码都改为“2007-5-16”,SAV这一点不错,可以保留最近三天的病毒定义码,并能选择。我所在的服务器组的病毒定义码为什么没有更新到“2007-5-17”呢?这是因为前一段时间我刚把病毒定义码的更新源改为上级部门的服务器,原来都是直接指向Symantec公司的服务器的。上级部门服务器的病毒定义总是慢一二天,我一直不知道他们是故意这么做的还是有什么原因,没想到这次这慢半拍的病毒定义倒是发挥作用了。

我在服务器上没有设置客户端的“调度更新”和“LiveUpdate”,这样如果有的人自己设置了,就会单独到Symantec公司服务器上更新病毒定义,就会中招。这就是我们这里同样是使用SAV,有的人出现问题,有的人就没事的原因。想到这里,我赶紧在SSC中把客户端的这两项功能都锁死。

12:40

收到了上级部门给出的解决方案,方案中的一些措施,比如在SSC中回复到以前的病毒定义码,这些我都做了。对报病毒的情况,要求不要重启,继续等待。对已重启蓝屏电脑提出了用Windows PE光盘启动,恢复netapi32.dll,lsasrv.dll两个文件,删除SAV2007-5-17病毒定义的办法。并给出了一个包含上述操作批处理文件的Windows PE光盘ISO文件。

我立即把这些内容放到我负责的一个防病毒专题网站上,并开始着手试着恢复机器。由于我有深山红叶光盘,所以我没刻盘,直接用深山红叶试着修复,并获得了成功。

13:30

收到了上级部门给出的更详细的解决方案。我也同样更新了专题网站里的内容。

下午按照这些方案不停地恢复机器。大部分都获得了成功。但有的机器并不是蓝屏,而是不停重启,恢复了那两个文件,删掉了2007-5-17的病毒定义码也没有效果。情急之下,我用Windows XP系统盘修复系统的模式安装了一遍,这下能启动了,但花费了不少时间。

16:40

上级部门告之:没重启的电脑把病毒定义升到“2007-5-17 rev 71”,然后把隔离区的那两个文件恢复即可。

2007年5月19日,20日(周六周日)

继续不停地有电话要求恢复系统,痛苦。

2007年5月21日

在网上看到了Symantec的官方解释。网上转载有这样的句子“对于由此给用户带来的不便,我们深表歉意。”但我看到的是:“对于由此给用户带来的不便。”删掉了“深表歉意”,而不管句子是否通顺。到了下午,内容又发生了变化,主要强调Symantec响应速度是如何之快,如何负责任,而不提用户会有怎样的感受。

引发思考

这次事件给企业信息安全人员提出了新的课题,如何保证在各种突发安全事件中保证企业的信息安全?我有几点体会,

一是备份的重要性

我们领导的机器由于做过系统备份,所以恢复很容易。这个是老生常谈了,这次又得到了验证。

二是病毒定义码的安全性问题

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:卡巴斯基杀完卡卡杀QQ 网友爆笑解读灭口门

下一篇:揭秘:追本溯源杀毒软件为何会出现误杀

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签