【IT168 专稿】今日（2007年5月18日），Norton杀毒软件发生严重误报现象，大量用户再将Norton杀毒软件升级到最新特征定义后出现系统崩溃，无法开机。经过测试分析，这是2006年11月6号的KB924270补丁更新了这两个文件，最新的Norton病毒定义判断这两个文件有病毒，隔离后导致无法启动，可以确认该杀软对系统正常文件的误报。

　  此次事件的重点对象是被误报的文件netapi32.dll。该文件名称为：Microsoft LAN Manager DLL，它是Windows网络应用程序接口，用于支持访问微软网络。并已经得到Symantec的证实，鉴于Norton杀毒软件在国际上有庞大的装机量，将会有大批用户遭遇无法开机现象。经过有关组织分析，该文件可以正常通过微软数字签名认证，从而正式证实了该杀软误报。

    系统文件被误报原因为何
    经过笔者调查，为netapi32.dll与近年几个重要的漏洞有关。其中04年的Lsasrv.dll漏洞，它是从系统Netapi32.dll中找到DsRolepEncryptPasswordStart函数，在第一个参数过长导致了溢出。由于Netapi32.dll中的DsRoleUpgradeDownlevelServer函数是一个客户端函数，该漏洞只能在本机触发，所以黑客会修改Netapi32.dll，将请求发送给本机的变量地址改为黑客制定指定的IP地址，从而远程利用该漏洞。此外还有其它的漏洞出现在Netapi32.dll本身，由于杀软会检测该文件是否被修改利用，从而就造成了特征提取错误，误报了系统中原本正常的文件。

    截止到发稿时为止，Symantec公司针对今日发生的情况已经做出紧急调整，将升级病毒特征库调整为5月17日，如果发生故障的用户可以在Norton杀毒软件的更新选项中手动将Norton升级，升级完毕后更新日期会提示为2007年5月17日。据调查手动升级后只是暂时解除了部分用户的故障，但是仍有大量用户反映，在手动更新后故障依旧。针对本次事件，IT168安全频道将会继续进行跟踪。

    相关处理措施：
    诺顿误杀系统文件的三种解决办法
    企业用户解决诺顿误报事件方案