国内三大杀毒软件商对新型CIH病毒的反应的实况记录

2005-5-17 瑞星公司发布：橙色安全警报：新CIH惊现网络 攻击范围大于老CIH
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/17-222819410.htm​​

花绪1：

有个名为jinleiviva的网友在新浪论坛发贴：

三问瑞星：瑞星发现了在实验室中的病毒？
(见:http://forum.tech.sina.com.cn/cgi-bin/viewone.cgi?gid=23&fid=290&itemid=27156)
作者：jinleiviva　　发表日期：2005-05-19 15:11:07

其第一问是：

1、瑞星是第一时间让用户知道吗？
众所周知网络是传播最快的媒体，如果有重大病毒瑞星应该是第一时间让网站报道，但是很遗憾瑞星并没有这样做，而是把这一重要的消息推迟一天让平面媒体发布，瑞星的用意是最快让用户得知消息还是利用传媒恶意抄作？

（个人看法：获得可疑文件样本后还需要进行跟踪分析，这需要一定的时间。

对于这样一个具有极大破坏力的病毒，为了确保分析的正确性，花费更多的时间对其进行深入地分析尤为重要。

此外，瑞星把它列为本年度第一次橙色(二级)安全警报，需要慎重考虑，这也需要一定的时间。

这恰恰说明了瑞星的严谨和对用户负责的态度。如果得到一个可疑文件样本不加分析就直接发布，这才是恶意抄作，这才是对广大网友不负责任。）

从这一问看，作者似乎以一个门外汉的角度来看问题。但接下来的第2问则出现了戏剧性的变化。

其第二问是：

2、瑞星发布重大病毒的评判标准是什么？
根据国家计算机应急处理中心规定：恶性四星级病毒必须具备以下条件，病毒被感染的网站站点数量不小于4个，感染的计算机数量不小于300台，感染的范围不小于3个省市自治区，另外，还需要具有邮件和局域网的传播方式。根据瑞星报道，“新CUH病毒只会通过感染文件来传播。”瑞星并没有公布感染人数，所谓新CIH的情况来看目前并没有人感染，只处在实验室状态。

（个人看法：难道要瑞星坐等病毒传播发作，达到规定的程度，才发布吗？
防患于未然，把广大网友可能遭受的损失降低到最低程度，这才是对广大网友负责任。）

从这一问看，作者应该是个对计算机病毒法规有相当了解的人，进而可以推断其对计算机病毒有一定的了解。

前后两问中体现出来的矛盾和差异，实在令人怀疑作者为瑞星的竞争对手派出的炮手。

巧合的是：
金山BBS前管理员，现任嘉宾巧儿于2005-5-18 17:49在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复是：

向社会发布的新型计算机病毒信息必须满足四级或四级以上，并且是由公安部门认定。
    而病毒危害分级标准中，如果达到四级，那么需要满足：被感染的网站站点数量不小于4个，感染的计算机数量不小于300台，感染的范围不小于3个省市自治区。另外，还需要具有邮件和局域网的传播方式。
    “根据所谓新CIH的情况来看，都达不到这些条件。”

（见：

​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=2​​）

与名为jinleiviva的网友在新浪论坛发的三问贴中的第2问如出一辙，令人深思。

再参考下面的花绪3反应的金毒霸能查出新CIH病毒的时间，对比这篇三问贴的发贴时间，呵呵...

金山BBS会员八张饼于2005-5-19 23:41在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复也许道出了真相：

这个病毒不是神奇，而是破坏性大。17日瑞星发的新闻，可以查杀，随后McAfee也可以查杀了，识别为NGVCK的一个变种。今天趋势能查杀的，但是它页面的分析报告上写的是5.18，可能是昨天捕获到的样本。

并且这个病毒里面明文写了一个版本信息“YM V1.1”，因此作者有可能发布它的新版本。CIH病毒98年发现的，到现在已经这么多年了，但是今年仍然有一些用户的计算机被CIH病毒破坏。CIH只能在9X系统上才能破坏，而且发作日期也是固定的（4月26日）。这个新CIH可以在2000／XP下传播和发作，并且发作条件不是固定日期。

CIH破坏能力如何大家都很清楚。这样的病毒，不管任何一家杀毒厂商截获到都会发布预警，这是责任。而某些厂商没有拿到样本就开始对媒体说这个是瑞星恶意炒作，又对外造舆论说病毒是瑞星造的。今天早上明明查不到这个病毒还要出个新闻稿,跟媒体和用户玩文字游戏。这个才叫真正的"负责任"！

​​​http://news.ccidnet.com/pub/article/c951_a253781_p1.html​​​金山反病毒专家表示，“由于此病毒传播性必不强，用户不必过于恐慌，金山毒霸2005已经升级了病毒库，用户可以登录db.kingsoft.com免费下载杀毒。”
对！金山毒霸是升级了病毒库，也可以免费下载杀毒，但是杀不了新CIH这个毒。

金山还觉得不过瘾,写了个枪手文章,叫三问瑞星,当年五毒虫的时候发的文章也是三问瑞星(就不能换点别的?).这个枪手文章就在本区就能找到,当时本来想回,后来想想还是算了,回头又给人抓到把柄说瑞星RP有WT.

新浪的社区​​http://forum.tech.sina.com.cn/cg ... 90&itemid=27156​​
网易部落
​​http://bbs.tech.163.com/bbs/--BL0-ScY9C9-DUD5.html​​(看看两个发言人的IP)

其他的论坛我估计也会有,只不过我没有看到而已。
既然要说瑞星恶意炒作,为什么不光明正大的说,用这种下三赖手段.
"我的好多朋友在用瑞星，所以我一直也在用，但是经过这件事之后我对瑞星公司的作法非常反感，所以我放弃瑞星。和广大网友研究研究不必当真，呵呵，研究一下嘛，何必呢何苦呢？"
文章作者恶意造谣又是何必呢何苦呢？

我是金山论坛的常客了（潜水员），喜欢安全软件讨论区，看大家探讨一些技术，感觉很自由。但是经常看到有人说瑞星的RP有WT。大家仔细想想是因为什么事情让大家有的这种印象？是有确实事件还是人云亦云还是被某些厂商洗脑了？

我希望大家对瑞星能有一个客观的认识，是瑞星本来就黑，还是被别人刷上去的黑，相信看了上面的种种大家心里也会有结论。

我在这里本不应该发表这样的言论，因为这里是金山论坛，可能会有一堆枪手和被金山洗脑的忠实fans用口水把我淹死。我只希望大家能够冷静思考一下以前或者最近发生的事情。(见：​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​)


May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告
​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

(见：​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​)

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005年05月20日 10:10　赛迪网　金山：新CIH病毒目前还无用户感染 不必恐慌
​​​http://db.kingsoft.com/c/2005/05/20/185180.shtml​​

这个病毒不是神奇，而是破坏性大。17日瑞星发的新闻，可以查杀，随后McAfee也可以查杀了，识别为NGVCK的一个变种。今天趋势能查杀的，但是它页面的分析报告上写的是5.18，可能是昨天捕获到的样本。

并且这个病毒里面明文写了一个版本信息“YM V1.1”，因此作者有可能发布它的新版本。CIH病毒98年发现的，到现在已经这么多年了，但是今年仍然有一些用户的计算机被CIH病毒破坏。CIH只能在9X系统上才能破坏，而且发作日期也是固定的（4月26日）。这个新CIH可以在2000／XP下传播和发作，并且发作条件不是固定日期。

CIH破坏能力如何大家都很清楚。这样的病毒，不管任何一家杀毒厂商截获到都会发布预警，这是责任。 而某些厂商没有拿到样本就开始对媒体说这个是瑞星恶意炒作，又对外造舆论说病毒是瑞星造的。今天早上明明查不到这个病毒还要出个新闻稿,跟媒体和用户玩文字游戏。这个才叫真正的"负责任"！

​​​http://news.ccidnet.com/pub/article/c951_a253781_p1.html​​​
金山反病毒专家表示，“由于此病毒传播性必不强，用户不必过于恐慌，金山毒霸2005已经升级了病毒库，用户可以登录db.kingsoft.com免费下载杀毒。”
对！金山毒霸是升级了病毒库，也可以免费下载杀毒，但是杀不了新CIH这个毒。

金山还觉得不过瘾,写了个枪手文章,叫三问瑞星,当年五毒虫的时候发的文章也是三问瑞星(就不能换点别的?).这个枪手文章就在本区就能找到,当时本来想回,后来想想还是算了,回头又给人抓到把柄说瑞星RP有WT.

新浪的社区 ​​​http://forum.tech.sina.com.cn/cg ... 90&itemid=27156​​​

网易部落
​​​http://bbs.tech.163.com/bbs/--BL0-ScY9C9-DUD5.html​​​
(看看两个发言人的IP)

其他的论坛我估计也会有,只不过我没有看到而已。
既然要说瑞星恶意炒作,为什么不光明正大的说,用这种下三赖手段.
"我的好多朋友在用瑞星，所以我一直也在用，但是经过这件事之后我对瑞星公司的作法非常反感，所以我放弃瑞星。和广大网友研究研究不必当真，呵呵，研究一下嘛，何必呢何苦呢？"
文章作者恶意造谣又是何必呢何苦呢？

我是金山论坛的常客了（潜水员），喜欢安全软件讨论区，看大家探讨一些技术，感觉很自由。但是经常看到有人说瑞星的RP有WT。大家仔细想想是因为什么事情让大家有的这种印象？是有确实事件还是人云亦云还是被某些厂商洗脑了？

我希望大家对瑞星能有一个客观的认识，是瑞星本来就黑，还是被别人刷上去的黑，相信看了上面的种种大家心里也会有结论。

我在这里本不应该发表这样的言论，因为这里是金山论坛，可能会有一堆枪手和被金山洗脑的忠实fans用口水把我淹死。我只希望大家能够冷静思考一下以前或者最近发生的事情。(见：​​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​​)


May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告
​​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

(见：

​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​)

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005年05月20日 10:10　赛迪网　金山：新CIH病毒目前还无用户感染 不必恐慌
​​​http://db.kingsoft.com/c/2005/05/20/185180.shtml​​

这个病毒不是神奇，而是破坏性大。17日瑞星发的新闻，可以查杀，随后McAfee也可以查杀了，识别为NGVCK的一个变种。今天趋势能查杀的，但是它页面的分析报告上写的是5.18，可能是昨天捕获到的样本。

并且这个病毒里面明文写了一个版本信息“YM V1.1”，因此作者有可能发布它的新版本。CIH病毒98年发现的，到现在已经这么多年了，但是今年仍然有一些用户的计算机被CIH病毒破坏。CIH只能在9X系统上才能破坏，而且发作日期也是固定的（4月26日）。这个新CIH可以在2000／XP下传播和发作，并且发作条件不是固定日期。

CIH破坏能力如何大家都很清楚。这样的病毒，不管任何一家杀毒厂商截获到都会发布预警，这是责任。 而某些厂商没有拿到样本就开始对媒体说这个是瑞星恶意炒作，又对外造舆论说病毒是瑞星造的。今天早上明明查不到这个病毒还要出个新闻稿,跟媒体和用户玩文字游戏。这个才叫真正的"负责任"！

​​​http://news.ccidnet.com/pub/article/c951_a253781_p1.html​​​
金山反病毒专家表示，“由于此病毒传播性必不强，用户不必过于恐慌，金山毒霸2005已经升级了病毒库，用户可以登录db.kingsoft.com免费下载杀毒。”
对！金山毒霸是升级了病毒库，也可以免费下载杀毒，但是杀不了新CIH这个毒。

金山还觉得不过瘾,写了个枪手文章,叫三问瑞星,当年五毒虫的时候发的文章也是三问瑞星(就不能换点别的?).这个枪手文章就在本区就能找到,当时本来想回,后来想想还是算了,回头又给人抓到把柄说瑞星RP有WT.

新浪的社区 ​​​http://forum.tech.sina.com.cn/cg ... 90&itemid=27156​​​

网易部落
​​​http://bbs.tech.163.com/bbs/--BL0-ScY9C9-DUD5.html​​​
(看看两个发言人的IP)

其他的论坛我估计也会有,只不过我没有看到而已。
既然要说瑞星恶意炒作,为什么不光明正大的说,用这种下三赖手段.
"我的好多朋友在用瑞星，所以我一直也在用，但是经过这件事之后我对瑞星公司的作法非常反感，所以我放弃瑞星。和广大网友研究研究不必当真，呵呵，研究一下嘛，何必呢何苦呢？"
文章作者恶意造谣又是何必呢何苦呢？

我是金山论坛的常客了（潜水员），喜欢安全软件讨论区，看大家探讨一些技术，感觉很自由。但是经常看到有人说瑞星的RP有WT。大家仔细想想是因为什么事情让大家有的这种印象？是有确实事件还是人云亦云还是被某些厂商洗脑了？

我希望大家对瑞星能有一个客观的认识，是瑞星本来就黑，还是被别人刷上去的黑，相信看了上面的种种大家心里也会有结论。

我在这里本不应该发表这样的言论，因为这里是金山论坛，可能会有一堆枪手和被金山洗脑的忠实fans用口水把我淹死。我只希望大家能够冷静思考一下以前或者最近发生的事情。(见：​​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​​)


May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告
​​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

(见：

​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=4​​)

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005-5-199:17:00  瑞星公司 发布：新CIH病毒续:疑为国人制造 瑞星严防后续变种作恶
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/19-091819419.htm​​

May. 18, 2005 11:52:03 PM GMT -0800 Trend Micro发布：PE_YAMI.A分析病毒报告

​​http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FYAMI%2EA&VSect=P​​

花绪2：

金山BBS网友tonyyu2008于2004-12-19在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复为：

感謝! PC-Cillin (Trend Micro)正分析中... [Thank you for your attention].

[Auto]

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=3​​）

2005年05月20日 10:10　赛迪网　金山：新CIH病毒目前还无用户感染 不必恐慌
​​​http://db.kingsoft.com/c/2005/05/20/185180.shtml​​

来自金山反病毒中心消息称，目前此病毒只通过感染文件来传播，到目前为止还没有接到用户求助电话与邮件。金山反病毒专家表示，“由于此病毒传播性必不强，用户不必过于恐慌

花绪3：

金山BBS网友八张饼于2005-5-20 11:49在金山BBS安全软件区关于“新型CIH病毒惊现　攻击范围远超老CIH”的讨论主题中的回复中发了一GIF图片:

图中显示：

使用2005-05-19 11点升级的病毒库的金山毒霸仍然无法查杀新CIH病毒

使用2005-05-20 09点升级的病毒库后金山毒霸才能查到新CIH病毒。

（见​​http://bbs.db.kingsoft.com/viewthread.php?tid=541868&highlight=&page=6​​）

2005-5-20 15:49:00  瑞星公司  新CIH疫情通报:疑似感染10例 目前没有大规模泛滥
​​​http://it.rising.com.cn/newSite/Channels/info/virus/virus/200505/20-155019444.htm​​​
称：

非瑞星用户的疑似感染案例。瑞星反病毒专家介绍说，由于目前截获的“新CIH”版本只能通过文件感染传播，还没有大规模感染的迹象。

2005-5-20 17:27:28 江民科技 发布：“殃民”病毒潜在危害巨大，江民发布防毒疫苗
​​​http://www.jiangmin.com/News/jiangmin/index/important/2005520113942.htm​​

称：

   据江民反病毒专家介绍，该病毒系WIN32文件型病毒，目前还不能够通过网络传播。按照公安部计算机病毒危害等级命名准则规定，尚未进入“重大病毒”的范畴。目前也仅有少数反病毒厂商获得该病毒样本。截止记者发稿时，反病毒厂商尚未发现有用户感染的案例，