Norton 2007小问题探究

袋鼠吱吱

我这个人比较死脑筋，遇到一个问题，总想把他解决掉，起码要搞清楚。当然，不是所有问题都这样。

最近我发现自己的NIS2007有异常。首先是自动防护和开机时加载防护两个选项前的选框变灰，无法选择。

这个问题想了想，知道是什么原因了，最近在测评区做测评，每天扫描大量样本，诺顿默认我的电脑是高风险的，所以在没有进行全盘扫描前禁止禁止关闭监控，那里就变灰了，点一下全盘扫描，扫完一切就正常了，此其一也。

第二个异常更古怪，我发现自己的IE，Firefox总是上不去和www.symantec.com有关的一切网站，包括查询安全风险，诺顿个人版论坛，说白了，像是屏蔽掉了一切和铁壳官网有关的链接。ping www.symantec.com和www.symantec.com.cn，丢包率也在100%，有时是50%。而且自动更新也受影响，变得很慢。当时怀疑自己中了AV终结者一类的毒，会自动搜索网页上的AV名称，不让用户去寻求帮助，但试着打开McAfee，NOD32，Kaspersky，江民，瑞星，金山，趋势等知名AV的官网，全都正常，况且我自查系统，根本没有中毒的迹象，自我感觉电脑水平虽不高，自保倒也足矣。

因此这个问题叫我很费解。像爬虫在心里挠啊。夸张了，我的确比较死脑筋。

后来我发现每次全盘扫描时，都会扫到两个病毒，一个位于C:\Documents and Settings\All Users\Application Data\Symantec\SubEng下，文件名是一串随机字符，一个位于C:\WINDOWS\Temp下，文件名也是一串随机字符。并且每次扫描删除这两个文件后，上官网就正常了。一开始没留意，以为是一些网马的残肢而已，后来觉得不对，但凡发生状况，只要去这两处，总能扫到或监控到风险，病毒名：infostealer。而且常常是刚杀掉，又复现，但我实在没有发现什么可疑进程，在时刻守护着这两处，不断写入文件。当然，每次杀掉后的一小段时间上官网都很正常，速度飞快。

最终第一个地址上的Sub字样叫我联想到Norton Community的自动上报功能，或许诺顿上报正是利用这两个文件夹进行的，我每天测试大量病毒样本，需要上报的文件很多，这些病毒大都命名为infostealer，在temp里呆着的，就是等待上报的数据，但没有加密处理，所以实时监控或扫描会认为是病毒，杀掉后，下一个上报样本又来了，因此反复杀不净。

所以我试着在日志里清除所有安全风险和上报信息，果然，C:\WINDOWS\Temp下不再生成文件，扫描C:\Documents and Settings\All Users\Application Data\Symantec\SubEng也不再发现病毒。

所以判断这是诺顿设计上的一个小失误，上报竟不加密，但实时监控也不管，除非用Explorer打开这两处，才会杀一下。

现在我关闭了Norton Community功能，就不再产生上报数据了。问题解决。

打算把这事儿发给大陆客服，就看他们有心解决问题没有了。唉，困扰我两三天的小问题，终于有了答案。

就是还不太明白，为啥这两处有病毒，上诺顿官网就受影响。也许是上报量太大，造成网络拥堵？算了，这个太复杂，不是我能知道的。

[ 本帖最后由 袋鼠吱吱 于 2008-4-21 02:05 编辑 ]

panda_盼盼

袋鼠 照你的描述 个人得出一个结论 相信一下迷信吧 ！

evabo

让我想起以前发生的一个事：
当年用江民的时候，凡装了KV的电脑，只要开了网页监控，铁定打不开当时破解KV比较厉害的几个论坛。。
这事闹得沸沸扬扬，后来不了了知。

我想Symantec对上报病毒不加密应该有他自己的想法，毕竟Symantec是家美国公司。在美国，网络隐私权是是包括在隐私权里面的，是最早立法的。其中好像有条是：资料的收集使用者必须保证所收集的信息准确无误，保证信息的安全性和完整性。

在这方面要求非常严格，据我所知：在美国，就算国家机构，在未经授权之前，都不得私自阅读或删除私人的电子邮件，截获电子邮件数据更需获得法律执行令而非搜查令。

你加了密，站在法律的范畴上，肯定就存在关于这个信息完不完整的漏洞。。。在美国， 关于法律方面的都是高压线。关于法律，西方人的思维和我们是不一样的。
曾经有位老太太在一家咖啡店喝咖啡，就因为喝咖啡烫了嘴，就告咖啡店，要求索赔。这在中国是无法理解的事。可最后这位老太太却赢了官司。赢的原因：咖啡太好喝了。
在美国这样的“刁民”，可是无所不在的。。。所以Symantec也不好办事。

呵呵。。。我是这样理解的，不知道对不对。。。说得有点多，貌似离题太远~~~ ：）

[ 本帖最后由 evabo 于 2008-4-21 04:37 编辑 ]

袋鼠吱吱

原帖由 evabo 于 2008-4-21 04:24 发表
让我想起以前发生的一个事：
当年用江民的时候，凡装了KV的电脑，只要开了网页监控，铁定打不开当时破解KV比较厉害的几个论坛。。
这事闹得沸沸扬扬，后来不了了知。

我想Symantec对上报病毒不加密应该有他自己 ...

你说的非常对，这的确是个问题。但是不加密的数据是否会在网络传输中被窃取？这样会不会更加对用户不利呢？搞不清楚这些法律问题。

江民的行为，不说什么了，我对这个公司感到失望透顶。别说您提到的这个了，想想他的逻辑炸弹，再看看他们口头许诺的上报有奖，经常是随心所欲发讲，建议你千万多换几个邮箱，否则别指望经常拿到1年号。

我也扯远了。不加密，自己把上报数据视为病毒，看起来有点可笑，但也就罢了。我觉得关键是应该对上报机制优化一下，把上报分个级别，个人认为那类infostealer都是已知病毒，所谓上报，无非是增强一下铁壳对全球病毒状况的监控而已。倒是一些BloodHound应该上报，那属于启发式，应该及早入库。上报还应该根据网络状况进行优化，不能干扰用户正常上网。

不过可以有个根本的解决办法，关闭自动上报，手动解决。呵呵呵

[ 本帖最后由 袋鼠吱吱 于 2008-4-21 09:13 编辑 ]

袋鼠吱吱

原帖由 71536533 于 2008-4-21 02:34 发表
袋鼠 照你的描述 个人得出一个结论 相信一下迷信吧 ！

怎么相信迷信呢？我特别想相信一下，但是最近总要登陆官网查看安全威胁信息，老上不去，很不爽啊

kahuna

可能有时候和DNS服务器有关系,我这里也是有时候可以有时候不行,换了2组服务器就可以了.不知道是不是运营商和他们有冲突?

vick9610

用国产的360安全卫士之类查查恶意软件（插件）。。

aa11qq26

感觉有是这样的

袋鼠吱吱

原帖由 kahuna 于 2008-4-21 10:28 发表
可能有时候和DNS服务器有关系,我这里也是有时候可以有时候不行,换了2组服务器就可以了.不知道是不是运营商和他们有冲突?

恩，这个也考虑过，但是换运营商实在不是我能办到的，但可能性很小，因为我删掉上报文件后就立即可以上官网了，速度飞快，我想电信的冲突不应该解决的这么快吧，而且既然解决了，为啥下次有上报文件产生后又坏掉了呢？所以应该不是。

袋鼠吱吱

原帖由 vick9610 于 2008-4-21 10:43 发表
用国产的360安全卫士之类查查恶意软件（插件）。。

这个应该不太可能，我很少中这类东东，兔子啦恶意清理助手啦百八十年才看一次，也米有什么结果。自己用Sreng，狙剑，冰刃之类详详细细地查过了，也没有任何可疑迹象。so。。。 应该不是他们作怪。