一、 问题的起因
2007 年 5 月 28 日前后,安天售后支持部门接到多个用户投诉,反映在安装木马防线过程中,趋势 NVW 防毒墙配套的客户端软件会有病毒警报,安装过程会随即中断。安天售后支持部门向用户询问了详细情况,获得了用户提供的部分界面抓图,并对每个用户获取木马防线的方式或下载地址做了准确记录。
用户按照安天相关技术流程提交给安天安全分析与应急处理中心(安天 CERT )进行分析处理,相关工程师和产品相关开发人员进行了共同确认,经过严格的分析验证,排除了安天自身产品问题以及木马防线在各大下载站的下载地址遭受入侵挂马等异常问题的可能性。
至此,初步判定趋势产品存在对木马防线的误报。
二、问题的浮现与分析
安天 CERT 分别验证了趋势公司的两款产品,先后在安装有木马防线的系统上安装了趋势的企业级产品防毒墙网络版客户机,和单机版产品趋势科技 PC-Cillin2007 网络版,并升级到当日最新病毒库,对木马防线全部安装文件进行了扫描,并对相关程序和库信息做了记录。其中防毒墙网络版客户机显示的版本信息如下:
图一:误报的趋势网络版杀毒软体版本
经扫描,两者会产生一致的结果,即对木马防线的一个用于网络免疫的驱动程序 AntiyNF.sys 报警,显示病毒名称为 TROJ.Generic.ADV ,如下图所示。
由于该病毒命名中使用了 Generic 一词,而不是一个具有特定含义的病毒名,安天 CERT 初步认为,该结果产生自趋势未知木马检测机制报警。一般来说,标志采集点机理粗糙和加权体制设置不当,是未知病毒检测机制出现误报的常见原因。
由于趋势各款产品,采用一致的反病毒引擎和病毒库,预计该机制存在于趋势全线产品中,除上述两款产品外,该误报还可能存在于趋势的 NVW 防毒墙和在线杀毒环节。为了证实安天的判定,安天 CERT 向趋势的在线杀毒系统提交了被误报的程序,则产生了同样的告警信息,证实了上述判断。
图二:防毒墙网络版客户机误报现象截图
图三: PC-cillin 2007 网络安全版误报现象截图
图四:趋势在线杀毒程序误报现象截图
三、 关于被误报的文件
被趋势误报的文件名为 AntiyNF.sys ,该文件信息如下:
Name: antiynf.sys
Path:%windir\system32\driver
Size: 3460 bytes
Modified: 2007 年 2 月 25 日 , 17:05:06
MD5: 9983666E049399E858FBB3BC6F984328
SHA1: BB2E9FB0F27FAB3685892F91157F85E10AC5369D
CRC32: 05F6EA42
该文件是安天网络安全免疫所使用的一个网络免疫驱动,主要用于切断类似“熊猫烧香”这类病毒通过局网口令破解和共享机制传播的通道,该安全免疫为安天产品的公共组件,其界面在安天全线产品安装过程中都会看到。如图五
图五:安天网络安全免疫向导
除上文所述的内容,该驱动无其他任何功能。
四、该误报的后果
该误报在不同的情况下,会导致不同后果。
如果木马防线安装在先,在安装趋势相关软件并升级后产生如图三、图四的误报现象,造成文件被删除,但对木马防线的正常产品功能无影响。
如果趋势软件安装在先,在安装木马防线过程中,会将安装程序展开用于安装 AntiyNF.sys 对应的临时文件(该文件由安装程序展开,与 AntiyNF.sys 是完全一致的文件)报警并隔离(如图六),最终导致安装异常(如图七)。本次所有用户反馈均系本情况。
图六:被误报为木马
图七:趋势误报造成木马防线安装过程异常
同时,如果趋势NVW防毒墙开启了包裹过滤机制,则有可能造成木马防线下载失败。
五、安天的技术建议
除希望趋势迅速升级病毒库,并做出相应说明,以降低该事件对安天商誉带来不良影响外,安天建议趋势增加在建立本地化资源方面的投入,针对中国大陆境内主流软件,建设更为完备的白名单,并进行有效的维护。
安天也建议趋势在未知病毒检测机制方面进行进一步的探索、测试和模型优化,以充分降低误报率。安天同时认为,鉴于软件规模以及病毒数量都在持续膨胀,误报发生的概率有增加的态势,无论趋势、安天,还是各兄弟反病毒企业在加强测试之外,同样应该完善应急处理机制,建立更为快捷的快速处置通道。特别是建立彼此的常态沟通、互信和快速处置机制,以避免相关事件给用户造成困扰和对彼此商誉带来不利影响。
| 
