Bad Symantec-update leidt tot problemen

Symantec zegt een diagnoseprogramma met fouten leidde tot een stroom van Norton-antivirusgebruikersklachten, laat op maandag en dinsdagochtend.

Problemen begonnen rond 16.30 uur Pacific Time op maandag, toen gebruikers van Norton Internet Security en Norton Antivirus 2006 en 2007 foutberichten ontvingen die waren gekoppeld aan een software-update van Symantec die probeerde een programma met de naam PIFTS.exe te downloaden. "In het geval van een menselijke fout is de patch vrijgegeven door Symantec 'niet ondertekend', waardoor de firewall-gebruiker prompt voor dit bestand om toegang te krijgen tot het internet," schreef Symantec-woordvoerder Dave Cole in een forumpost die het probleem uitlegt.

Gebruikers rapporteerde dat Norton's eigen firewallsoftware foutmeldingen verschafte om hen te vragen of ze het PIFTS.exe-bestand wilden installeren. De firewall van Norton zou het hebben laten passeren, als het digitaal was ondertekend.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De update was ongeveer drie uur beschikbaar en werd naar een kleine computer geduwd, " beperkt aantal "Norton-gebruikers, zegt Jeff Kyle, een groepsproductmanager van consumentenproducten bij Symantec.

PIFTS (Product Information Framework Troubleshooter) is een diagnostisch programma dat Symantec regelmatig naar gebruikers stuurt om anoniem informatie te verzamelen, zoals de systeem- en versienummer van het product dat wordt gebruikt om een ​​momentopname van zijn gebruikersbestand te krijgen. Het lastige, niet-ondertekende bestand PIFTS.exe wordt niet langer gedistribueerd, maar het heeft nooit een vorm van beveiligingsdreiging opgeleverd, zei Kyle. "Als een gebruiker het zou hebben geaccepteerd, zou het goed zijn gegaan en als ze het hadden geweigerd, hadden ze het goed moeten doen."

Het probleem was echter nog maar net begonnen.

Rond 19.30 uur Pacific Time merkte Symantec dat zijn Norton-ondersteuningsforums overstroomd werden met blanco berichten die PIFTS.exe in hun onderwerpregel hadden. Binnen drie uur waren er 600 berichten over PIFTS.exe. De berichten bevatten geen tekst, alleen onderwerpen zoals "ALS PIFTS.EXE WAS HIER, DAN WAS DE TELEFOON?" en "OH GOD JE CHOCOLADE IN MIJN PIFTS."

Symantec begon de berichten te verwijderen, aangenomen dat ze van spammers waren.

Binnenkort had het SANS Internet Storm Center PIFTS.exe opgepikt en opgemerkt dat de Symantec-discussiegroep berichten werden verwijderd. Nemend dat berichten die de mysterieuze bestandsnaam vermelden, werden verwijderd van de ondersteuningsforums van Symantec, zei SANS dat er iets 'echt bizar aan de hand was'.

Norton-gebruikers maakten zich nu zorgen. "Norton-gebruikers maken zich zorgen over PIFTS.exe, Stonewalling By Symantec," lezen een bericht in Slashdot over het onderwerp.

"Of u nu denkt dat dit iets kwaadaardigs is of niet, het is zorgwekkend hoe lang het bedrijf zal gaan om te voorkomen dat mensen vragen stellen vragen over PIFTS.exe, "schreef een poster naar de Abovetopsecret.com-website. "Als u Norton op uw computer hebt, raad ik u momenteel aan om pifts.exe niet door uw firewall te laten."

Toen stapten de hackers in. Tegen de middag van dinsdag begonnen criminelen schadelijke webpagina's te plaatsen die hoog op Google zouden verschijnen zoekt naar PIFTS.exe.

"Met delen van het internet die flirten met het Symantec / PIFTS.exe-debacle, zijn hackers erop uit om zoekmachines te vergiftigen in een poging geldmiddelen van nietsvermoedende computergebruikers in te zamelen," schreef Graham Cluley, een senior technology consultant bij beveiligingsleverancier Sophos. Cluley zei dat drie van de top vijf Google-resultaten voor een pifts.exe-zoekopdracht leidden tot pagina's die gebruikers doorstuurden naar kwaadwillende webpagina's, die probeerden nep-antivirussoftware op de systemen van slachtoffers te installeren.

Laat op de dinsdagmiddag waren deze kwaadaardige resultaten nog steeds hoog in Google-zoekopdrachten voor PIFTS.exe.

"Natuurlijk is de nep-antivirusscan niet gerelateerd aan Symantec of het bestand PIFTS.exe," voegde Cluley eraan toe. "Het is gewoon dat de hackers op dit moment de interesse rondom dat bestand gebruiken om verkeer naar hun gevaarlijke websites te genereren."