Zła aktualizacja Symantec prowadzi do problemów

Symantec mówi błędny program diagnostyczny wywołał wysypkę skarg użytkowników oprogramowania antywirusowego firmy Norton w poniedziałek i wtorek rano.

Problemy zaczęły się około 16:30 Czas pacyficzny w poniedziałek, gdy użytkownicy programów Norton Internet Security i Norton Antivirus 2006 i 2007 zaczęli otrzymywać komunikaty o błędach związane z aktualizacją oprogramowania firmy Symantec, która próbowała pobrać program o nazwie PIFTS.exe. "W przypadku błędu ludzkiego łata została wydana przez firmę Symantec" bez podpisu ", co spowodowało, że użytkownik zapory poprosił o dostęp do tego pliku przez Internet" - napisał rzecznik firmy Symantec, Dave Cole, w poście opisującej problem.

Użytkownicy zgłosili, że oprogramowanie zapory ogniowej Nortona wyświetlało komunikaty o błędach, pytając ich, czy chcą zainstalować plik PIFTS.exe. Zapora ogniowa Nortona pozwoliłaby na to, gdyby została podpisana cyfrowo.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Aktualizacja była dostępna przez około trzy godziny i została wypchnięta na małą skalę " ograniczoną liczbę "użytkowników Nortona, powiedział Jeff Kyle, kierownik ds. produktów konsumenckich w firmie Symantec.

PIFTS (narzędzie do rozwiązywania problemów z informacjami o produkcie) to program diagnostyczny, który firma Symantec okresowo wysyła do użytkowników w celu anonimowego zbierania informacji, takich jak system i numer wersji produktu używanego w celu uzyskania migawki jego bazy użytkowników. Uciążliwy, niepodpisany plik PIFTS.exe nie jest już dystrybuowany, ale nigdy nie reprezentował żadnego zagrożenia bezpieczeństwa, powiedział Kyle. "Jeśli użytkownik zaakceptowałby to, powinien był być w porządku, a gdyby go odrzucił, powinno być w porządku."

Jednak kłopot dopiero się zaczynał.

Około godz. 19:30 Pacyficzny czas, firma Symantec zauważyła, że ​​na forach pomocy technicznej firmy Norton pojawiły się puste wiadomości z napisem PIFTS.exe w temacie. W ciągu trzech godzin pojawiło się 600 wpisów na temat PIFTS.exe. W postach nie było tekstu, tylko tematy takie jak "JEŚLI PIFTS.EXE BYŁ TU, A TAK, KTÓRY BYŁ TELEFON?" i "O, BÓG, KTÓRY ZOSTAŁ CZEKOLADZONY W MOICH PAPIEKACH".

Firma Symantec zaczęła usuwać wiadomości, zakładając, że pochodzą od spamerów.

Wkrótce SANS Internet Storm Center wykrył plik PIFTS.exe i zauważył, że grupa dyskusyjna firmy Symantec wiadomości zostały usunięte. Zauważając, że wiadomości wspominające o tajemniczej nazwie pliku zostały usunięte z forów pomocy technicznej firmy Symantec, SANS stwierdziła, że ​​dzieje się coś naprawdę "dziwacznego".

Do tej pory użytkownicy Nortona zaczęli się martwić. "Użytkownicy programu Norton Worried By PIFTS.exe, Stonewalling By Symantec," przeczytaj post Slashdot na ten temat.

"Niezależnie od tego, czy uważasz, że jest to coś złośliwego, czy nie, niepokoi cię to, co zrobi firma, aby powstrzymać ludzi od pytania pytania dotyczące PIFTS.exe "napisał jeden z plakatów na stronie internetowej Abovetopsecret.com. "Jeśli posiadasz Norton na swoim komputerze, obecnie radzę ci nie zezwalać na pifts.exe przez twoją zaporę ogniową."

Następnie hakerzy wkroczyli. W południe we wtorek przestępcy zaczęli umieszczać szkodliwe strony internetowe, które pojawiałyby się wysoko w Google. wyszukuje PIFTS.exe.

"Wraz z częściami Internetu atakującego klęskę Symantec / PIFTS.exe, hakerzy rozpoczęli zatruwać wyszukiwarki, próbując zarobić na niczego nie podejrzewających użytkowników komputerów" - napisał Graham Cluley starszy konsultant ds. technologii z dostawcą zabezpieczeń Sophos. Cluley powiedział, że trzy z pięciu pierwszych wyników Google dotyczących wyszukiwania pifts.exe prowadziło do stron, które przekierowywały użytkowników do złośliwych stron internetowych, które próbowały zainstalować fałszywe oprogramowanie antywirusowe w systemach ofiar.

Pod koniec wtorkowego popołudnia te złośliwe wyniki zostały wciąż rośnie w wyszukiwarce Google dla PIFTS.exe.

"Oczywiście, fałszywe skanowanie antywirusowe nie jest związane z plikiem Symantec lub PIFTS.exe" - dodał Cluley. "Chodzi o to, że hakerzy wykorzystują obecnie zainteresowanie tym plikiem, aby generować ruch na swoich niebezpiecznych stronach internetowych."