非常不幸，今天上班就接到几个朋友的电话，电话称，公司数10台机器出现相同的现象，开机时蓝屏，提示unknown hard error，甚至连安全模式也启动不了，客服也接到很多类似情况。第一感觉是病毒破坏了系统，在网上搜索发现很多在人讨论一个木马Backdoor.Haxdoor，这是个老木马，难道是它出了新的变种，由木马变成感染型或蠕虫了，要不怎么可能突然出现这么多的报警。

　　问了病毒分析组，他们已经证实，这是NORTON杀毒软件的误报

　　误报，对杀毒软件来说，永远是心中的痛。

　　反病毒技术无法完全杜绝误报，就好比医生不可避免会出现误诊，如果某个医生一辈子没遇到一个误诊，那他肯定是个不称职的医生，他从来没看过病。

　　杀毒软件通常采用两类技术对抗计算机病毒：

　　1.病毒特征码查杀，分析病毒程序的特征代码，杀毒引擎扫描对象中是否存在和病毒特征代码匹配，如果有，则判断为病毒，没有，即不是病毒。

　　特征码查杀历史悠久，速度快，误报率低。缺点是总是先抓到病毒，再制作特征码升级病毒库，总跟着病毒跑。

　　2.启发式查毒(或其它名字)，是根据病毒普遍的特征或行为进行判断。

　　可以发现未知病毒，缺点是误报率太高，假报警太多。

　　误报的原因：

　　一是鉴定错误，把正常文件误认为病毒。二是病毒特征提取错误引起的误报。

　　误报既然是不可避免，杀毒软件公司就应该最大限度减少误报，最大限度的减少由误报带来的损失。如果杀毒软件把系统重要文件误报，就可能酿成严重后果，今天朋友们遇到的情况就是如此。我们分析发现，该误报只发生在简体中文WINDOWS操作系统。难道是该杀毒厂商无视数以千万计的简体中文WINDOWS用户?没有在简体中文系统上做误报测试?尽管我们不相信，但答案显然是这样。

　　金山毒霸如何减少误报：

　　金山毒霸病毒库的制作、升级过程包括：样本鉴定、病毒库制作阶段、病毒库测试、病毒库升级发布三个关键步骤，由专门的小组来负责。

　　1.样本鉴定、病毒库制作阶段：

　　对可疑样本文件进行鉴定时，首先通过白名单过滤机制，把明确不是病毒的样本过滤掉。再通过二次人工鉴定来确认病毒样本。提取病毒特征的方法，我们进行了多年的经验积累，已经可以有效的避免提到非病毒特征的位置，最后将病毒特征制作成最后的病毒库。

　　2.病毒库测试：

　　包括病毒库有效性测试和误报测试。在误报测试中，与世界上各大杀毒厂商一样，不断的从用户、互联网中收集大量的程序和软件，其中最重要的就是各种操作系统。形成一个巨大的误报库，通常这个库在超几百个G的容量。误报库也有专人维护，不停的从互联网和用户手中收集各类程序来扩充。

　　误报测试是在十几台专用误报测试服务器的速度保证下，在一小时内完成当次病毒库的测试工作。

　　3.升级发布阶段：

　　只有完全通过有效性测试和误报测试的病毒库才会升级发布。

　　这次NORTON对简体中文windows系统文件误报，中国用户遭受重大损失。一个在盛大信息部工作的朋友告诉我说，他们公司有数千台客户机，公司购买了NORTON企业版，今天他快疯了。