Bad Symantec-päivitys johtaa häiriöön

Ongelmat alkavat noin neljätoista. Tyynenmeren aikaa maanantaina, jolloin Norton Internet Security ja Norton Antivirus 2006 ja 2007 käyttäjät alkoivat vastaanottaa Symantec-ohjelmistopäivityksessä olevia virheilmoituksia, jotka yrittivät ladata PIFTS.exe-ohjelmaa. "Inhimillisen virheen tapauksessa Symantec julkaisi laastarin" unsigned ", joka aiheutti palomuurikäyttäjälle kehotteen saada tämä tiedosto päästä Internetiin", kirjoitti Symantecin tiedottaja Dave Cole foorumivaiheessa, joka selittää ongelman.

Käyttäjät kertoi, että Nortonin oma palomuuriohjelmisto piti virheilmoituksia kysyen heiltä, ​​haluavatko he asentaa PIFTS.exe-tiedoston.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Päivitys oli käytettävissä noin kolme tuntia ja se työnnettiin ulos pieneen, "Nortonin palomuuriin"

PIFTS (Product Information Framework Troubleshooter) on vianmääritysohjelma, jonka Symantec lähettää säännöllisesti käyttäjille keräämällä anonyymisti tietoja, kuten käyttöjärjestelmää, kuten Norton-käyttäjät, järjestelmän ja versionumeron, jota käytetään, jotta käyttäjä voi saada tilannekuvan. Häiritsevää, allekirjoittamatonta PIFTS.exe-tiedostoa ei enää jakaa, mutta se ei koskaan ole minkäänlaista turvallisuusuhkaa, Kyle sanoi. "Jos käyttäjä olisi hyväksynyt sen, se olisi pitänyt olla kunnossa, ja jos he hylkäsivät sen, olisi pitänyt olla kunnossa."

Ongelmana oli vasta alkamassa.

Noin 7.30. Tyynenmeren aikaa, Symantec huomasi, että sen Norton-tukifoorumit olivat tulvinut tyhjillä viesteillä, joilla oli PIFTS.exe niiden aihealueella. Kolmen tunnin sisällä PIFTS.exe-ohjelmasta oli 600 viestiä. Viesteissä ei ollut tekstiä, vain aiheita, kuten "JOS PIFTS.EXE OI TÄÄLLÄ, JOTKA ON PUHELIN?"

Symantec aloitti viestien poistamisen olettaen, että ne olivat peräisin roskapostittajilta.

Pian SANS Internet Storm Center oli pian PIFTS.exe-ohjelmassa ja huomautti, että Symantec-keskusteluryhmä viestit poistettiin. Huomaa, että Symantecin tukifoorumeista poistettiin sanomat, jotka mainitsivat salaperäisen tiedoston nimen. SANS sanoi, että jotain "todella outoa" oli käynnissä.

Norton-käyttäjät alkoivat olla huolissaan. "Norton-käyttäjät ovat huolissaan PIFTS.exe: stä, Stonewalling Symantecista", lue Slashdot-viesti aiheesta.

"Uskotteko, että tämä on jotain haitallista vai ei, on huolestuttavaa, kuinka pitkälle yritys aikoo pysäyttää ihmisiä pyytämästä kysymyksiä PIFTS.exe ", kirjoitti yhden julisteen Abovetopsecret.com Web-sivustolle. "Jos sinulla on Norton tietokoneellasi, suosittelen sinua olemaan sallimatta pifts.exe: n palomuurisi kautta."

Sitten hakkerit astuivat sisään. Keskiviikko tiistai rikolliset alkoivat lähettää haittaohjelmia Web-sivuja, jotka näkyisivät korkealla Googlessa etsii PIFTS.exe-ohjelmaa.

"Kun osia Internetistä hajoavat Symantec / PIFTS.exe -debaklea vastaan, hakkerit ovat pyrkineet myrkyttämään hakukoneita yrittäessään saada rahaa epäilyttävään tietokoneen käyttäjään", kirjoitti Graham Cluley senior technology consultant tietoturvamyyjän Sophos kanssa. Cluley sanoi, että kolme parasta viidestä Googlen hakutulosta pifts.exe-hakuun johtivat sivuihin, jotka ohjasivat käyttäjiä haitallisiin Web-sivuihin, jotka yrittivät asentaa väärennettyjä virustorjuntaohjelmistoja uhrien järjestelmiin.

Myöhempänä tiistaina iltapäivänä nämä haittaohjelmatulokset olivat mutta yhä kääntyy korkeisiin Google-hauihin PIFTS.exe.

"Tietenkään väärennetty virustentorjunta ei ole yhteydessä Symanteckiin tai PIFTS.exe-tiedostoon", Cluley lisäsi. "Juuri hakkerit käyttävät tällä hetkellä tiedostoa ympäröivää etua tuottaakseen liikennettä vaarallisille verkkosivustoilleen."