本周CA公司的防毒软件错误地将部分Windows操作系统标记为恶意软件，此事令该公司头疼不已。

SANS 网络风暴中心周五的相关报道称，前天晚上更新CA的eTrust防毒软件的数字签名后，该软件就将Windows的一个安全相关的进程标记为恶意的了。SANS称，这个错误的更新致使一些Windows2003服务器崩溃或者无法使用。

Bob Gordon是CA的发言人，他表示，问题在于，eTrust防毒软件把windows的Lsass.exe进程错误标记了。他在一封电子邮件中说到，“CA公司很快发现并修正了这个问题，它只是短暂地让一些用户检测到他们的Lsass.exe文件出了问题。”

根据Gordon所说，CA花了不到7小时的时间就把混乱问题解决了。错误程序是从30.3.3054项更新导入的，该更新是在东部时间凌晨2：53发布的。修正程序则是在30.3.3056项更新中，于东部时间早上9：34发布的。

Lsass.exe进程是Windows安全机制中的一部分。因此那些将他们的eTrust防毒软件设为自动删除恶意软件的用户，就会发现自己的系统崩溃了。一旦删除了Lsass.exe之后，用户就无法进入windows系统了。

CA提供给那些系统崩溃的用户的说明中解释说，问题是由CA网站上的有Bug的更新引起的。

CA的防病毒软件使用数字水印技术，称做数字签名，用来识别恶意软件。在这次事件中，eTrust防毒软件很明显地将win32/Lassrv.B 病毒与Lsass.exe混淆了。

SANS的研究主管Johannes Ullrich表示，已经不是第一次出现数字签名文件错误地把合法软件识别称恶意软件了，但是CA的软件竟然错误识别了众所周知的windows组件，这就值得注意了。他说，CA本来应该可以在质量保证测试中就发现这个错误的。

Ullrich说，这次的混乱显然没有妨碍到大量用户，但是它反映了CA这样的卖主的不足。“再一次地，防病毒业使人们失去了对它的信任。该事件说明防病毒软件的卖主不做测试。”

================================================

原文链接：http://www.computerworld.com/action/article.do?

command=viewArticleBasic&taxonomyName=infrastructure&articleId

=9002974&taxonomyId=145

t(116)