通常情况下，对于公司的网络防护体系来说，防病毒软件供应商提供的病毒定义更新(或称防病毒DAT文件)出现问题只不过是一种暂时性故障。但是，确保你的公司为这样的意外事件做好准备非常重要，因为有错误的DAT文件可能会对计算机和系统运行造成严重破坏。

　　事实上，这种情景刚刚在许多公司的IT部门上演。McAfee在4月21日发布的DAT文件出现了错误，导致Windows XP Service Pack 3(SP3)系统崩溃并反复重新启动。很明显，McAfee将此次更新问题归咎于DAT文件出错，这个DAT文件错误地将Windows XP中重要的“svchost.exe”进程隔离起来。

　　这一消息使我想起了我以前担任CISO(首席信息安全官)时一次相当可怕的经历。当时，我们的防病毒软件供应商同样提供了一个有错误的DAT文件，对我们的计算机和系统运行造成了严重破坏。那一事件与此次McAfee的误杀事件类似。

　　防病毒DAT文件导致许多电脑瘫痪

　　由于担心蠕虫、恶意软件、僵尸网络等迅速传播，我们公司决定，当一个新的DAT文件上传到公司的防病毒系统服务器时，允许公司的所有系统自动更新病毒定义。坦白地说，我们从来没有理由怀疑我们的防病毒软件供应商缺乏质量保证流程，因为在我们与这家供应商多年的合作过程中从未出现过问题。因此，我们从来没有对DAT文件执行过预先测试。

　　然而，一个星期五的下午，我突然接到我们的服务交付经理的紧急电话，说公司的网络“正在受到攻击”，要我尽快赶到事件响应区。当时的症状是，我们的许多工作站和一些服务器的CPU使用率达到了100%，而且不能响应任何命令和故障排除措施。公司的大多数计算机基本上处于瘫痪状态，许多工作(例如电子邮件和文字处理等)都无法进行。

　　当我赶到事件响应区以后，我认为可能是发生了以下问题：逻辑炸弹发作或者攻击者通过僵尸网络发动分布式拒绝服务攻击(DDoS)。考虑到这些可能性，我立即给我们强大的同行安全专家网络中的专家打电话，以寻求他们的帮助和指导。很快，公司的事件响应小组建立了电话联系渠道。因此，我、我的专家以及我的专家的专家(甚至包括微软的安全专家)一起讨论发生了什么问题，共同分析可能的原因。

　　与此同时，事件响应小组还开始进行故障排除工作，发现只有安装了Windows XP Service Pack 2的计算机受到影响，而我们在这些计算机瘫痪之前刚刚更新了我们的防病毒软件供应商提供的DAT文件。于是，我们通过一台未受影响的计算机与我们的防病毒软件供应商联系，并下载新的(已更正的)DAT文件。然后，我们将这个已更正的DAT文件复制到受影响的计算机上，使其恢复正常、稳定的运行。