Our AntiVirus Site 我们的反病毒网站

影响范围较大 安装补丁需重起

详情参考微软官方公告
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020

卡巴斯基4年来全球唯一一款通过了所有VB100测试的杀毒软件，此记录在昨天刚刚揭晓的6月份的VB100测试结果面前终结

http://www.virusbtn.com/vb100/archive/results?vendor=VE15

http://www.virusbtn.com/vb100/archive/results?display=summary

http://windtear.net/archives/2007/05/29/001238.html

早上实验室有人中ARP病毒了 于是大家都上不了网
用 tcpdump 听包发现 有大量的 ARP REPLY 包
tcpdump -n arp
arp reply 192.168.1.1 is-at 00:0a:eb:58:25:56

这个是有问题的

搜索了一下说是中毒的机器上有 MIR0.dat 进程

解决办法:
就是把这个MIR0.dat进程杀了

如果担心以后还会发生 影响上网
可以设置arp绑定
arp -s 192.168.1.1 正确的mac
如
arp -s 192.168.1.11 00-e0-4c-10-00-31

卡巴斯基没有误杀Windows XP 5月18日没有出现“蓝屏”、系统崩溃 ——卡巴斯基关于5月18日在台湾地区短暂怀疑shdocvw.dll为木马的解释性说明

主页 / 关于我们
　

2007 年5月21日，有部分报道将5月18日发生在台湾地区的卡巴斯基反病毒软件短暂怀疑Windows XP系统中的shdocvw.dll文件为木马的现象扭曲成“卡巴斯基误杀Windows 导致XP系统崩溃”。发生在台湾地区的这起针对shdocvw.dll文件的短暂怀疑行为已经过去数天，而且由于卡巴斯基在事发三十分钟内即已修正该怀疑行为，即使在台湾也只涉及极少数的用户，中国大陆用户就更绝少受到此因素影响。为了让广大用户了解全面而真实的情况，卡巴斯基诚挚的就这件已经过去好几天、几乎未对中国大陆用户造成什么影响的短暂怀疑行为做出如下解释性说明：

一、shdocvw.dll是Windows应用程序自带的一个文件。2007年5月18日上午，有台湾地区用户在使用卡巴斯基反病毒软件进行整机扫描时，发现卡巴斯基会短暂的将shdocvw.dll怀疑为木马文件，向用户提示其可选择“跳过”或“删除”该文件。从接到第一个用户反映开始，卡巴斯基即在半小时内在全球更新了病毒库，自动修正了该问题。由于只有选择整机扫描的用户才会遭遇上述情形，而绝大多数用户都是在夜间进行全机扫描，所以即使在台湾，也只有极少的用户受此影响，中国大陆用户就更少。

必须指出的是，即使那些选择了“删除”上述文件的用户，其电脑根本就不会发生“蓝屏”现象，也没有遭遇系统崩溃，系统仍可正常关机，只是无法开启IE程序。因此，所谓卡巴斯基误杀Windows XP，导致“蓝屏”、系统崩溃是没有事实依据的。

二、卡巴斯基是目前全球少数提供了备份机制的杀毒软件，其设计目的就是为了保障，即使用户误删除了某些文件，用户也可以通过点击卡巴斯基的备份区恢复这些文件，并恢复原有的系统。这是非常贴心的设计。“删除”shdocvw.dll的用户即可通过卡巴斯基程序内设的备份机制恢复系统功能。

三、卡巴斯基反病毒软件是全球病毒库更新最快的软件，平均不低于每两小时一次，而且对于病毒、木马以及恶意程序的判定方式采用特征码以及人工智能引擎进行比对相结合的方式，因此，响应可能的短暂怀疑事件的速度非常快。只要商业软件厂商通过正常渠道向卡巴斯基提出意见，或者是卡巴斯基接受到用户的相关报告，该类短暂怀疑事件均可有效、迅速的解决。

特此声明

卡巴斯基公司

北京时间：2007年5月22日

http://www.kaspersky.com.cn/KL-AboutUs/news2007/05n/070522.htm

Symantec.com > 企业 > 有关更新赛门铁克防病毒软件病毒定义代码的问题

尊敬的用户：

主题：有关更新赛门铁克防病毒软件病毒定义代码的问题

2007 年 5 月 18 日北京时间凌晨 1:00 左右，有两个简体中文版本的 Microsoft Windows 系统文件通过 LiveUpdate 或网站下载文件更新方式被错误添加到赛门铁克的防病毒软件定义中。客户的系统如果检测到这些文件（例如，通过系统扫描或自动防护功能）之后没有重新启动，并更新到5月18日下午2:30后的病毒定义代码，则系统将不会受到影响。系统如重新启动，则会受到此问题的影响。用户可以通过使用 Windows 恢复控制台，将系统回复到以前的状态。到目前为止，赛门铁克进行的测试表明，只有在Windows XP SP2简体中文版打上补丁KB924270以后，并且当防病毒软件在5月18日凌晨1:00到下午2：30之间进行过病毒定义代码更新以后才会受到影响。针对此问题的更新定义已于 2007 年 5 月 18 日下午 2:30 左右公布。

错误检测到的内容是通过一个自动进程添加的，此进程已经使用了一段时间，旨在应对我们全球观测到的与日俱增的威胁。由于在此自动进程中使用的一个第三方组件最近发生变化造成的意外影响，导致错误检测到两个系统文件。此问题现在已经解决，并可避免未来出现同一问题。对于由此给用户带来的不便，我们深表歉意。

解决方法：

1）如果没有重新启动过电脑：使用LiveUpdate更新到最新的病毒定义代码就可以解决
2) 如果已经重新启动电脑并发生蓝屏现象：

要将计算机逐步恢复到工作状态，用户需要先加载恢复控制台，然后恢复 %system%\netapi32.dll 和 %system%\lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。具体步骤如下：

1) 找到Windows安装 CD，将其插入驱动器，然后重新启动计算机。
2) 在启动时，选择从从 CD 启动的选项。
3) 当 Windows 设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。
4) 选择受影响的 Windows 安装程序，然后输入您的管理员密码。
5) 依次输入下列命令（如果出现提示则选择覆盖）：
a. cd \windows\system32
b. expand（cd 驱动器盘符）:\i386\netapi32.dl_
c. expand（cd 驱动器盘符）:\i386\lsasrv.dl_
d. cd dllcache
e. expand（cd 驱动器盘符）:\i386\netapi32.dl_
f. expand（cd 驱动器盘符）:\i386\lsasrv.dl_
6) 输入“exit”，重新启动计算机
7) 下载并更新到最新的病毒定义
8) 重新安装Windows补丁程序 - KB924270。

以上步骤用户可以自行完成。如您需要了解更多信息，或在实施以上步骤时需要任何协助，请致电赛门铁克用户服务热线800-810-3992。我们愿随时为您提供协助。

此致

赛门铁克软件（北京）有限公司
2007年5月18日

官方链接
http://www.symantec.com/zh/cn/enterprise/theme.jsp?themeid=important_information

别重启系统 马上更新至 20070517.073 (这个没问题 20070517.018有问题)

如果已经重起蓝屏
找一张启动光盘 把没中招的系统的 netapi32.dll lsasrv.dll
拷贝到 c:\windows\system32\ 目录下 (或者expand 直接解压安装光盘中的)
然后修改 C:\Program Files\Common Files\Symantec Shared\VirusDefs\definfo.dat
把
[DefDates]
CurDefs=20070517.018
改成
[DefDates]
CurDefs=20070516.017

安装光盘上 i386\netapi32.dl_ i386\lsasrv.dl_ 为对应的文件
用 expand 命令解开
先进入光驱所在目录 如 e:
expand i386\netapi32.dl_ c:\windows\system32\
expand i386\lsasrv.dl_ c:\windows\system32\

受影响系统：Windows XP SP2简体中文版 (打上补丁KB924270以后)
如已重起蓝屏 解决办法
赛门铁克官方声明

　　今天上午，赛门铁克旗下著名杀毒软件Norton Internet Security 2007提示有后门病毒并开始自动清除，清除完成后提示重新启动，而Windows则警告有文件被替换，需要插入原安装盘恢复文件。而电脑在重新启动后蓝屏，即使在安全模式下也无法正常进入系统。

　　经了解，没有升级到诺顿最新病毒库的电脑未发生问题，这次事故应该是因为诺顿的误报原因，导致netapi32.dll和lsasrv.dll这两个文件毁坏。目前已接到多名网友和多家公司举报，多台电脑已经瘫痪无法工作。

　　目前，赛门铁克官方表示，将在下午发表声明和解决方案。

　　诺顿最新病毒库可以在 http://norton.ipcn.org/ 下载。

转自sohu 赛门铁克今早杀毒过头 多台电脑重启后蓝屏

http://windtear.net/archives/2007/05/17/001234.html

在水木看到的 太有才了

del autorun.inf
md autorun.inf
md autorun.inf..\

根据水木讨论 应该是这样:
创建的autorun.inf.目录
会阻止 autorun.inf 目录被恶意软件/病毒轻易的删除然后创建自己 autorun.inf 文件

从安全角度 最好把"关闭驱动器自动播放"的组策略启用了
而且打开时尽量不双击 用鼠标右键菜单打开

v2.70.37 Release notes:

Fix for stack overflow vulnerability which could allow arbitrary code
execution.
Added new command line option "/ALL-". When NOD32's command line scanner is run
with the /ALL- switch, it will scan files based on their extensions, as opposed
to scanning all files on the target.

http://download1.eset.com/download/win/v2st/ndntenst.exe

UserName: AV-5704281
Password: pmdg70oy6p

原发 http://money.ipcn.org/2007/04/netbank_security_huigezi_fangfan.html

近期流行病毒“灰鸽子”的防范措施

目前一种名为”灰鸽子”的木马病毒正在网上蔓延，因该病毒传播途径较广，大家在进行网络使用时一定要小心。防毒措施：
1. 及时安装系统补丁。您可以通过Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多“灰鸽子”是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

2.及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

3.对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

4. 关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。插入移动存储设备时，建议不要使用双击直接打开，而采用右键打开。

转自建行网银