卡巴斯基4年来全球唯一一款通过了所有VB100测试的杀毒软件，此记录在昨天刚刚揭晓的6月份的VB100测试结果面前终结

http://www.virusbtn.com/vb100/archive/results?vendor=VE15

http://www.virusbtn.com/vb100/archive/results?display=summary

http://windtear.net/archives/2007/05/29/001238.html

早上实验室有人中ARP病毒了 于是大家都上不了网
用 tcpdump 听包发现 有大量的 ARP REPLY 包
tcpdump -n arp
arp reply 192.168.1.1 is-at 00:0a:eb:58:25:56

这个是有问题的

搜索了一下说是中毒的机器上有 MIR0.dat 进程

解决办法:
就是把这个MIR0.dat进程杀了

如果担心以后还会发生 影响上网
可以设置arp绑定
arp -s 192.168.1.1 正确的mac
如
arp -s 192.168.1.11 00-e0-4c-10-00-31

卡巴斯基没有误杀Windows XP 5月18日没有出现“蓝屏”、系统崩溃 ——卡巴斯基关于5月18日在台湾地区短暂怀疑shdocvw.dll为木马的解释性说明

主页 / 关于我们
　

2007 年5月21日，有部分报道将5月18日发生在台湾地区的卡巴斯基反病毒软件短暂怀疑Windows XP系统中的shdocvw.dll文件为木马的现象扭曲成“卡巴斯基误杀Windows 导致XP系统崩溃”。发生在台湾地区的这起针对shdocvw.dll文件的短暂怀疑行为已经过去数天，而且由于卡巴斯基在事发三十分钟内即已修正该怀疑行为，即使在台湾也只涉及极少数的用户，中国大陆用户就更绝少受到此因素影响。为了让广大用户了解全面而真实的情况，卡巴斯基诚挚的就这件已经过去好几天、几乎未对中国大陆用户造成什么影响的短暂怀疑行为做出如下解释性说明：

一、shdocvw.dll是Windows应用程序自带的一个文件。2007年5月18日上午，有台湾地区用户在使用卡巴斯基反病毒软件进行整机扫描时，发现卡巴斯基会短暂的将shdocvw.dll怀疑为木马文件，向用户提示其可选择“跳过”或“删除”该文件。从接到第一个用户反映开始，卡巴斯基即在半小时内在全球更新了病毒库，自动修正了该问题。由于只有选择整机扫描的用户才会遭遇上述情形，而绝大多数用户都是在夜间进行全机扫描，所以即使在台湾，也只有极少的用户受此影响，中国大陆用户就更少。

必须指出的是，即使那些选择了“删除”上述文件的用户，其电脑根本就不会发生“蓝屏”现象，也没有遭遇系统崩溃，系统仍可正常关机，只是无法开启IE程序。因此，所谓卡巴斯基误杀Windows XP，导致“蓝屏”、系统崩溃是没有事实依据的。

二、卡巴斯基是目前全球少数提供了备份机制的杀毒软件，其设计目的就是为了保障，即使用户误删除了某些文件，用户也可以通过点击卡巴斯基的备份区恢复这些文件，并恢复原有的系统。这是非常贴心的设计。“删除”shdocvw.dll的用户即可通过卡巴斯基程序内设的备份机制恢复系统功能。

三、卡巴斯基反病毒软件是全球病毒库更新最快的软件，平均不低于每两小时一次，而且对于病毒、木马以及恶意程序的判定方式采用特征码以及人工智能引擎进行比对相结合的方式，因此，响应可能的短暂怀疑事件的速度非常快。只要商业软件厂商通过正常渠道向卡巴斯基提出意见，或者是卡巴斯基接受到用户的相关报告，该类短暂怀疑事件均可有效、迅速的解决。

特此声明

卡巴斯基公司

北京时间：2007年5月22日

http://www.kaspersky.com.cn/KL-AboutUs/news2007/05n/070522.htm

Symantec.com > 企业 > 有关更新赛门铁克防病毒软件病毒定义代码的问题

尊敬的用户：

主题：有关更新赛门铁克防病毒软件病毒定义代码的问题

2007 年 5 月 18 日北京时间凌晨 1:00 左右，有两个简体中文版本的 Microsoft Windows 系统文件通过 LiveUpdate 或网站下载文件更新方式被错误添加到赛门铁克的防病毒软件定义中。客户的系统如果检测到这些文件（例如，通过系统扫描或自动防护功能）之后没有重新启动，并更新到5月18日下午2:30后的病毒定义代码，则系统将不会受到影响。系统如重新启动，则会受到此问题的影响。用户可以通过使用 Windows 恢复控制台，将系统回复到以前的状态。到目前为止，赛门铁克进行的测试表明，只有在Windows XP SP2简体中文版打上补丁KB924270以后，并且当防病毒软件在5月18日凌晨1:00到下午2：30之间进行过病毒定义代码更新以后才会受到影响。针对此问题的更新定义已于 2007 年 5 月 18 日下午 2:30 左右公布。

错误检测到的内容是通过一个自动进程添加的，此进程已经使用了一段时间，旨在应对我们全球观测到的与日俱增的威胁。由于在此自动进程中使用的一个第三方组件最近发生变化造成的意外影响，导致错误检测到两个系统文件。此问题现在已经解决，并可避免未来出现同一问题。对于由此给用户带来的不便，我们深表歉意。

解决方法：

1）如果没有重新启动过电脑：使用LiveUpdate更新到最新的病毒定义代码就可以解决
2) 如果已经重新启动电脑并发生蓝屏现象：

要将计算机逐步恢复到工作状态，用户需要先加载恢复控制台，然后恢复 %system%\netapi32.dll 和 %system%\lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。具体步骤如下：

1) 找到Windows安装 CD，将其插入驱动器，然后重新启动计算机。
2) 在启动时，选择从从 CD 启动的选项。
3) 当 Windows 设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。
4) 选择受影响的 Windows 安装程序，然后输入您的管理员密码。
5) 依次输入下列命令（如果出现提示则选择覆盖）：
a. cd \windows\system32
b. expand（cd 驱动器盘符）:\i386\netapi32.dl_
c. expand（cd 驱动器盘符）:\i386\lsasrv.dl_
d. cd dllcache
e. expand（cd 驱动器盘符）:\i386\netapi32.dl_
f. expand（cd 驱动器盘符）:\i386\lsasrv.dl_
6) 输入“exit”，重新启动计算机
7) 下载并更新到最新的病毒定义
8) 重新安装Windows补丁程序 - KB924270。

以上步骤用户可以自行完成。如您需要了解更多信息，或在实施以上步骤时需要任何协助，请致电赛门铁克用户服务热线800-810-3992。我们愿随时为您提供协助。

此致

赛门铁克软件（北京）有限公司
2007年5月18日

官方链接
http://www.symantec.com/zh/cn/enterprise/theme.jsp?themeid=important_information

别重启系统 马上更新至 20070517.073 (这个没问题 20070517.018有问题)

如果已经重起蓝屏
找一张启动光盘 把没中招的系统的 netapi32.dll lsasrv.dll
拷贝到 c:\windows\system32\ 目录下 (或者expand 直接解压安装光盘中的)
然后修改 C:\Program Files\Common Files\Symantec Shared\VirusDefs\definfo.dat
把
[DefDates]
CurDefs=20070517.018
改成
[DefDates]
CurDefs=20070516.017

安装光盘上 i386\netapi32.dl_ i386\lsasrv.dl_ 为对应的文件
用 expand 命令解开
先进入光驱所在目录 如 e:
expand i386\netapi32.dl_ c:\windows\system32\
expand i386\lsasrv.dl_ c:\windows\system32\

受影响系统：Windows XP SP2简体中文版 (打上补丁KB924270以后)
如已重起蓝屏 解决办法
赛门铁克官方声明

　　今天上午，赛门铁克旗下著名杀毒软件Norton Internet Security 2007提示有后门病毒并开始自动清除，清除完成后提示重新启动，而Windows则警告有文件被替换，需要插入原安装盘恢复文件。而电脑在重新启动后蓝屏，即使在安全模式下也无法正常进入系统。

　　经了解，没有升级到诺顿最新病毒库的电脑未发生问题，这次事故应该是因为诺顿的误报原因，导致netapi32.dll和lsasrv.dll这两个文件毁坏。目前已接到多名网友和多家公司举报，多台电脑已经瘫痪无法工作。

　　目前，赛门铁克官方表示，将在下午发表声明和解决方案。

　　诺顿最新病毒库可以在 http://norton.ipcn.org/ 下载。

转自sohu 赛门铁克今早杀毒过头 多台电脑重启后蓝屏

http://windtear.net/archives/2007/05/17/001234.html

在水木看到的 太有才了

del autorun.inf
md autorun.inf
md autorun.inf..\

根据水木讨论 应该是这样:
创建的autorun.inf.目录
会阻止 autorun.inf 目录被恶意软件/病毒轻易的删除然后创建自己 autorun.inf 文件

从安全角度 最好把"关闭驱动器自动播放"的组策略启用了
而且打开时尽量不双击 用鼠标右键菜单打开

v2.70.37 Release notes:

Fix for stack overflow vulnerability which could allow arbitrary code
execution.
Added new command line option "/ALL-". When NOD32's command line scanner is run
with the /ALL- switch, it will scan files based on their extensions, as opposed
to scanning all files on the target.

http://download1.eset.com/download/win/v2st/ndntenst.exe

UserName: AV-5704281
Password: pmdg70oy6p

原发 http://money.ipcn.org/2007/04/netbank_security_huigezi_fangfan.html

近期流行病毒“灰鸽子”的防范措施

目前一种名为”灰鸽子”的木马病毒正在网上蔓延，因该病毒传播途径较广，大家在进行网络使用时一定要小心。防毒措施：
1. 及时安装系统补丁。您可以通过Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多“灰鸽子”是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

2.及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

3.对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

4. 关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。插入移动存储设备时，建议不要使用双击直接打开，而采用右键打开。

转自建行网银

沈阳今报 实习生 徐奥哲 记者 张浩 见习记者 张淼

　　熊猫烧香、灰鸽子、光标漏洞……近期，形形色色的电脑病毒频繁攻击电脑，这使得一直风平浪静的沈阳杀毒软件市场出现了集体涨价的现象，记者昨天了解到，一套软件价格最高涨了30元。

　　杀毒软件集体涨价

　　“一个多月前还卖100来元钱的瑞星2007版单机版杀毒软件，现在涨到了130元。”消费者小王说，前几天他家的电脑感染了“光标漏洞”病毒不能启动，于是想买套杀毒软件，却发现江民、卡巴斯基、金山等杀毒软件价格都涨了。

　　记者在连邦、赛乐士等软件店里看到，电脑杀毒软件都被摆在了柜台的显著位置上。

　　“卡巴斯基6.0版、瑞星2007版、金山2007版的价格都是130元钱，诺顿的07版要140元钱。”销售人员介绍，这几款软件比如金山和江民的价格几天前还不到100元，但现在，这几款杀毒软件的价格都涨了二三十元不等。

　　商家形容现在的杀毒软件有点像股票的行情，基本上每种杀毒软件都涨了一点，最高的涨了30元。记者发现，虽然杀毒软件涨价了，但购买的消费者也比平时多了。

　　病毒频发成推动力

　　赛乐士软件店的朱经理介绍，杀毒软件热卖都是近段时间电脑病毒频发惹的祸。如“熊猫烧香”、“光标漏洞”等病毒，对电脑用户的数据毁灭严重。这些病毒主要以潜入用户电脑或远程操控电脑，盗取用户的网银、QQ、游戏账号密码为主要目的。

　　“近段时间，我们的杀毒软件卖得特火，基本没有库存货。”在连邦软件店内，工作人员介绍说，盗版杀毒软件面临无法升级的问题，“杀毒软件用盗版的等于形同虚设”。

　　更新软件成本提高

　　“软件涨价是市场需求造成的，病毒频发，研发升级更新的病毒库需要投入人力、财力，无形中就提高了软件的市场价格。”北京江民科技市场部相关负责人表示，江民的杀毒软件这个月涨了10元钱，属于正常现象。

　　瑞星公司市场部人士则表示，“零售价升高是因为近期病毒较多，用户需求旺盛导致，但价格涨幅很小，在5元钱之内，厂家一般都打建议价，具体零售价一般都是由经销商自定。”

中国青年报 李婷

　　国内最大的信息安全厂商瑞星公司宣布，让利1.2亿元举办大型市场活动。市场分析认为，瑞星今年一反常态，将通常在夏季进行的大规模促销活动突然提前到春季，势必让杀毒市场更加热闹和激烈。

　　据统计，瑞星杀毒软件的正版个人用户目前已经超过3000万，个人杀毒的市场份额已经连续两年稳居70%，企业级市场份额超过40%，是国内市场占有率最高的杀毒软件产品。自2001年登上连邦软件销售排行榜榜首以来，连续6年市场占有率第一。

　　近年，瑞星在核心技术上不断创新，陆续获得了6项国家专利，同时瑞星杀毒软件连续5年8次被公安部门认定为一级品。2006年底，瑞星2007版产品在全球首家推出了“虚拟机脱壳”杀毒引擎。

　　除了技术上的领先，注重服务也是瑞星制胜的法宝。现在瑞星每个工作日正常升级3次，遇到恶性病毒则紧急升级。瑞星还投资数千万，建立了行业首家电信级呼叫中心。

ANI漏洞微软安全公告（英文）

各版本操作系统 ANI漏洞补丁（KB925902）下载，不需要正版验证：

Windows XP
Windows XP x64
Windows Vista
Windows Vista x64
Windows 2003
Windows 2003 x64
Windows 2000

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

　　4月3日，据江民公司反病毒中心监测报告称，被种植“光标漏洞”蠕虫病毒的网站已经全部被封。病毒利用微软Windows系统ANI文件处理漏洞疯狂传播的态势有望得到有效地遏制。

　　据江民反病毒专家介绍，“光标漏洞”蠕虫病毒的更新方式是每次到网上一个固定地址去下载自己的最新版本，现在这个固定地址被封了，病毒也就无法再通过原来的地址进行更新了。

　　目前发现的病毒变种有4个，还没有发现不能查出的病毒变种，如果这个蠕虫病毒不再有新变种的话，现有的几个变种很快就会被杀光。专家同时表示，也不能排除病毒的作者攻陷新的网站，将最新的病毒变种挂在网站上进行新一轮传播的可能。

　　据了解，目前国家计算机病毒主管机关已开始密切关注该病毒，江民等反病毒厂商也将积极搜集病毒的最新动态，同时将第一时间升级病毒库，确保电脑用户的上网安全。

　　但反病毒专家建议电脑用户并不能因此放松警惕，应谨防病毒的出现新变种，用户应及时升级杀毒软件病毒库，不要随意点击陌生网站及邮件，上网时务必开启“系统监测”和“网页监控”功能，用户也可以使用江民反病毒中心紧急研发推出的“光标漏洞专杀工具”，全面进行系统查毒，清除病毒并修复被感染的文件。

根据瑞星全球反病毒监测网的监测，前日被截获的“ANI蠕虫”在短短24小时内接连出现5个变种，在互联网上迅速扩散。瑞星反病毒专家介绍说，这些“ANI蠕虫”的变种同样利用上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞，至今微软尚未发布针对该漏洞的补丁。由于此病毒传染速度快、威胁较大，瑞星于上周末发出今年第一个“橙色安全警报”（二级）。

据瑞星技术部门分析，“ANI蠕虫”及其变种不仅传播和危害方式与“熊猫烧香”病毒相似，更抄袭了“熊猫烧香”在病毒体内留言的方式，在最新变种的病毒中，瑞星专家发现了“I will by one BMW this year!（我想在今年买一辆宝马）”的留言，明目张胆地表达了病毒编写者的贪婪。据了解，“熊猫烧香”病毒便是以获取经济利益为目的编写，其作者李俊在短短一个月内便获利人民币10万元。

在“ANI蠕虫”病毒的第一个变种中，病毒作者加入了“I Hate AVP！（我恨AVP）”的字样。随后的变种病毒中又加入了辱骂瑞星公司的文字，并且试图和杀毒公司对话。在“ANI蠕虫”的多个变种中，作者写下了这样的信息：“Hello Rui Xing an kapersky!I don't want to destroy any computers,I don't destroy any documents,I don't infect system files.Don't Kill me!! xV4（你好，瑞星和卡巴斯基！我不想破坏任何电脑、任何文档和感染系统文件。不要杀我！！）”。

反病毒专家告诉记者，该病毒并不是以破坏用户计算机为目的而编写，因此用户感染该病毒后几乎无法察觉。但该病毒会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”，危害比单纯破坏用户计算机的病毒更大。

针对上述病毒变种，瑞星已经紧急升级，瑞星杀毒软件2007版19.17.01及以上版本可有效防范该病毒，请用户及时升级杀毒软件并开启实时监控程序。瑞星公司将密切关注该病毒的最新动向，在第一时间查杀该病毒的最新变种。

3月31日，瑞星全球反病毒监测网截获一个与“熊猫烧香”非常相似的高危病毒，命名为“ANI蠕虫（Worm.DlOnlineGames.a）”。该病毒不光传播和危害方式与“熊猫烧香”病毒非常相似，还利用了上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞。根据瑞星客户服务中心的统计，短短24小时内，已接到大量用户的求助。鉴于该病毒可能会广泛传播并且危害较为严重，瑞星发出今年第一个“橙色安全警报”（二级）。

瑞星反病毒专家分析，被“ANI蠕虫”感染的电脑会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”。同时，染毒电脑还会发出大量带毒邮件，邮件的题目是：“你和谁视频的时候被拍下的？给你笑死了！”邮件内容为“看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！http://****.microfsot.com/***/134952.htm”，收到邮件的用户点击这个网址就会被感染。

瑞星工程师发现，病毒作者使用国内某网站的邮箱散发病毒，并且邮件内容也为中文，因此基本可以确定该病毒为国人编写。此外，该病毒跟“熊猫烧香”病毒一样，也会感染网页文件并加入病毒代码。如果网站编辑的计算机被该病毒感染，将网页文件上传到网站，那么访问该网站用户就会被感染。

更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有提供补丁程序。

针对此恶性病毒，瑞星杀毒软件已经升级，19.16.60版本以上即可对其进行彻底查杀。瑞星安全专家提醒广大用户，除了升级杀毒软件、打开实时监控以外，上网时还应该打开个人防火墙，阻止病毒自动下载恶意程序。

官方报道
http://it.rising.com.cn/Channels/Info/Virus/2007-04-01/1175401155d41294.shtml