蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历史和警惕钓鱼网站
话说 strike 这个单词也有“罢工”的意思,所以这 Crowd Strike 刚好就是“集体罢工”,巧了是不是,哈哈哈。
据彭博社报道[1],在CrowdStrike 导致 Windows 大规模蓝屏的同时,大量趁乱“博懵”的钓鱼网站火速上线打算趁火打劫。
其实每次有大规模的互联网事件时,黑灰产都少不了加以利用进行钓鱼。所以:切勿病急乱投医。
笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士
写稿的时候回想起十几年前,笔者也在单位内的终端上中控化全面部署自己开发的对操作系统进行加固的软件。
懂的人都知道,加固过头就是终端电脑变砖,所以笔者每次发布前都小心测试:1)测试加固操作会否导致终端变砖;2)测试部署到终端的代理程序能否运行和更新自己。
不过,再小心也依然在第2项测试上栽了两次跟头,每次都要过百台 PC 人工处理一遍,跑上跑下差点腿都跑断。
所以,这次 CrowdStrike 例行更新意外干倒 Windows 操作系统的事情其实并不新鲜,只是和历史上的别的厂商数次类似情况相比,区别是影响范围更广、程度更深:
这也是因为和以前相比,IT 技术已经更深入地渗透到社会运行的每一个角落。
所以顺便就来盘点一下曾经发生过的杀毒软件反杀操作系统的事件。
2007年5月18日前后,诺顿企业版和标准版在升级病毒库后,会把安装了 MS06-070 补丁的中文版 Windows XP 的系统关键文件:netapi32.dll、lsasrv.dll 删除,重启后系统将瘫痪。
此次事件的特殊性在于只影响简体中文版的 Windows XP 系统,赛门铁克称此事件是由自动化系统进程无意引起,业内人士普遍猜测是其测试环境没有及时更新。
2008年11月9日前后,AVG 杀毒软件在一次特征库更新后,把 Windows XP 的核心组件 user32.dll 错误地标记为木马并建议用户删除。按建议执行的用户会导致 Windows XP 系统无法启动或循环重启。
庆幸的是,该事件发生在 AVG 在周日推送的特征库更新,影响范围因此而缩窄了。
2010年4月21日前后,McAfee 发布的病毒库文件 SuperDAT 5958,错误地将 Windows XP SP3 的系统文件 svchost.exe 列入删除列表,导致用户电脑出现了无法控制的反复重启,并丢失全部网络功能。部分 Windows XP SP2 也受到影响。
注:对于操作系统原生文件的可靠性在业界有争议。有主张一律不认的,也有主张一律认的,不过笔者认为是无论如何一律,关键还是不能干掉操作系统本身,否则系统都起不来这杀毒之后变砖又有何意义。
2016年9月5日前后,Sophos 杀毒软件由于错误的恶意软件特征码而把属于32位的 Windows 7 SP1 重要的系统文件 winlogon.exe 删除掉,导致用户无法登录到系统,屏幕上只剩下漆黑一片。
该错杀对 Windows XP, Vista, 8, 10 没有影响。另由于发生在周日,且影响的只是未登录进入操作系统的用户,所以影响范围相对较小。
业界评论主要在于,Sophos 在别的厂商已经有多次先例的情况下,仍未把操作系统文件用校验值白名单的方式排除在扫描范围外,比较难以理解。
2017年4月24日前后,Webroot 发布错误的病毒库更新,把 Windows 系统文件标记为恶意软件并将其隔离,导致计算机不稳定。
Webroot 的行动相当迅速 -- 据说该错误在13分钟后就得到了更正,但也是干倒了一大片。
比较特殊的是,该错误更新不仅对 Windows 系统文件错误地标记为恶意软件,还把大量商业软件也标记为恶意软件。而且还把正常网站比如 Facebook 标记为钓鱼网站并拦截计算机用户访问这些网站。
国内也有类似的情况,而且比较离奇。2024年1月12日前后,火绒把 Windows 10 20H2 版本的 Explorer 给杀掉了。导致用户桌面消失变成黑屏。
原因是出乎所有人意料之外的:
微软在 Windows 10 20H2 更新中对 Windows 10 的 Explorer 增加了进程检测行为,如果检测到 360 的产品正在运行,就会主动关闭 Windows Explorer 任务栏资讯功能,避免和 360 的某些功能冲突而导致用户桌面不稳定。
结果反而是不知内里的火绒认为 Explorer 新增的这一系列行为属于典型的恶意软件行为(也确实像),于是就把 Explorer 认为是恶意软件而杀掉了。
有消息指,甚至连 Windows Defender 也有可能因此而触发杀掉 Explorer[8]。
在接到情况报告后,火绒也就立即发公告和更新特征库解决问题。所以把事情反过来看,也可以说火绒这杀毒软件特别有警觉性。
对于还在处置中的 CrowdStrike 更新导致 Windows 大范围崩溃的事件,事实上这次不是杀毒软件误杀操作系统,而是杀毒软件的 BUG。
据 CrowdStrike 最新技术通告指,问题在于例行推送的探测器配置更新触发了逻辑错误,与防止 Windows 操作系统的命名管道被恶意利用有关[9]。
但这事的奇怪在于,如果只是单纯地软件有 BUG,且能造成如此大范围普遍崩溃的 BUG,对于这么大一个体量的安全公司,没理由不在测试时就被发现的。
而且,逻辑错误导致内存访问出 BUG(蓝屏上显示的是 SYSTEM_THREAD_EXCEPTION_NOT_HANDLED 或者 PAGE_FAULT_IN_NONPAGED_AREA 错误,懂的都懂不解释了),这探测器的软件代码大概率是充满了各种假设,缺乏异常情况的判断和处置。
也有报道指,其实 CrowdStrike 出现问题并不是第一次[10],就在 2024年4月发生的事情,CrowdStrike 发了个不兼容的杀毒软件更新,把 Debian Linux 和 Rocky Linux 搞崩溃了。
最后说说别的。其实杀毒软件误杀其他正常软件的情况很多的。
就以 Windows Defender 为例,比较典型的是在 2022 年误报基于 Electron/Chromimum 开发的软件为威胁,使得例如 Google Chrome,甚至是微软自家的 Microsoft Edge 和 Visual Studio Code 这些常用软件都无法运行[11]。
平时在微软论坛上各种误报抱怨也不少,比如有用户抱怨说 Windows Defender 误报工程软件 Festo Positioning Drives Tool 为威胁,进而导致 Autodesk 软件无法运行[12]。
从这么多事件看,历史必定还会重演的,所以笔者最后的忠告就是:
要坚持做好数据日常备份!
参考引用:
[1] Scammers Pounce on CrowdStrike Fail, Prepping Hacking Tools
[2] 诺顿“误杀”事件
[3] AVG slaps Trojan label on core Windows file
https://www.theregister.com/2008/11/11/avg_false_positive/
[4] Defective McAfee update causes worldwide meltdown of XP PCs
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
[5] Sophos AV false positive detection ruins the weekend for some Windows users
[6] False positive putsch: Webroot AV cant tell friend from foe
https://www.scmagazine.com/news/false-positive-putsch-webroot-av-cant-tell-friend-from-foe
[7] 因为360,火绒干掉了微软Windows 10的电脑桌面
https://www.huxiu.com/article/2699632.html
[8] 【省流总结】独家解密火绒误杀win10系统文件背后的真相
https://www.163.com/dy/article/IRHCC92F0552TD2C.html
[9] Technical Details: Falcon Content Update for Windows Hosts
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
[10] CrowdStrike 更新导致 Debian / Rocky Linux 崩溃
https://www.ithome.com/0/783/099.htm
[11] Windows Defender is reporting a false-positive threat 'Behavior:Win32/Hive.ZY'
[12] A false positive detected by Windows Defender
本站微信订阅号:
本页网址二维码: