上周日,一个恶意软件的签名导致Sophos反病毒产品检测到一个关键的Windows文件是恶意的,阻止了一些用户访问他们的电脑。
假阳性检测标记winlogon。exe是Windows登录子系统的重要组成部分,它是一个名为Troj/ farfil - ct的木马程序。由于该文件被拦截,一些试图登录电脑的用户出现了黑屏。
Sophos在几个小时内发布了更新来修复这个问题,并说这个问题只影响到特定的32位版本的Windows 7 SP1,而不是Windows XP、Vista、8或10。
“根据目前的案件数量和客户反馈,我们相信受影响的系统数量是最小的,限制在少数案件,”该公司说支持的一篇文章。
一位受此事件影响的推特用户说他非常怀疑只有一小部分顾客受到影响,而另一名顾客报告说他一直在等着试图通过电话联系Sophos支持超过两个小时。
“发封电子邮件就好了,”一位用户告诉Sophos通过Twitter。“我无法想象高昂的加班费和像我这样惊慌失措的IT人员在做这件事。”
另一个用户开玩笑说这个假阳性实际上剥夺了他周末的一些时间
该公司表示,在许多情况下,管理员只需将Sophos企业控制台、Sophos中心或Sophos Home中的虚假警报标记为已解决或已确认,就可以清除这些警报。
遇到黑屏的用户必须在安全模式下重新启动,禁用Sophos杀毒服务,然后正常启动进入操作系统。更详细的说明可以在Sophos的支持文档中找到。
Sophos并不是第一家发布影响用户电脑的错误定义的反病毒公司。
值得称道的是,该公司在一个周末迅速反应并及时修复了问题,但问题是,为什么在2016年,一个反病毒程序仍然可以将合法的Windows系统文件标记为恶意文件。
几年前,假阳性检测的频率要高得多,但大多数反病毒公司已经建立了已知软件的白名单,以避免此类事件。Windows文件尤其应该是白名单的最优先级,因为阻止或删除它们会让计算机无法使用。