Schlechtes Symantec-Update führt zu Problemen

Symantec sagt Ein fehlerhaftes Diagnoseprogramm führte am Montag und Dienstagmorgen zu einem Aufflammen von Norton Antivirus-Benutzerbeschwerden.

Die Probleme begannen um 16:30 Uhr Pacific Time am Montag, als Benutzer von Norton Internet Security und Norton Antivirus 2006 und 2007 Fehlermeldungen in Verbindung mit einem Symantec-Softwareupdate erhalten, das versucht hat, ein Programm namens PIFTS.exe herunterzuladen. "Im Falle eines menschlichen Fehlers wurde der Patch von Symantec" unsigned "veröffentlicht, was die Firewall-Benutzer zur Eingabe dieser Datei auf das Internet aufforderte", schrieb der Symantec-Sprecher Dave Cole in einem Forum, das das Problem erklärte.

Benutzer berichtet, dass Nortons eigene Firewall-Software Fehlermeldungen angezeigt hat, in denen sie gefragt wurden, ob sie die Datei PIFTS.exe installieren wollten. Die Firewall von Norton hätte es passieren lassen, wenn es digital signiert worden wäre.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das Update war ungefähr drei Stunden lang verfügbar und wurde auf einen kleinen Wert verschoben. " Eine begrenzte Anzahl von Norton-Anwendern, sagte Jeff Kyle, Produktmanager für Konsumgüter bei Symantec.

PIFTS (Product Information Framework Troubleshooter) ist ein Diagnoseprogramm, das Symantec regelmäßig an Benutzer sendet, um anonym Informationen wie das Betriebssystem zu sammeln System- und Versionsnummer des Produkts, das verwendet wird, um eine Momentaufnahme seiner Benutzerbasis zu erhalten. Die lästige, nicht signierte PIFTS.exe-Datei wird nicht mehr verteilt, aber sie stellte nie irgendeine Sicherheitsbedrohung dar, sagte Kyle. "Wenn ein Benutzer es akzeptiert hätte, hätten sie in Ordnung sein müssen, und wenn sie es abgelehnt haben, sollten sie in Ordnung gewesen sein."

Allerdings hatte das Problem gerade erst begonnen.

Um 19:30 Uhr. Pacific Time, Symantec stellte fest, dass die Norton-Supportforen mit leeren Nachrichten überschwemmt wurden, die in der Betreffzeile PIFTS.exe enthalten. Innerhalb von drei Stunden gab es 600 Posts über PIFTS.exe. Die Beiträge enthielten keinen Text, nur Themen wie "IF PIFTS.EXE WAR HIER, DANN WAR TELEFON?" und "OH GOTT, DU SCHICKT IN MEINEN PIFTS."

Symantec begann, die Nachrichten zu löschen, vorausgesetzt, sie stammten von Spammern.

Bald hatte das SANS Internet Storm Center PIFTS.exe aufgegriffen und die Symantec Diskussionsgruppe notiert Nachrichten wurden gelöscht. Als SANS bemerkte, dass Nachrichten, die den mysteriösen Dateinamen enthielten, aus Symantecs Support-Foren gelöscht wurden, sagte SANS, dass etwas "wirklich Bizarres vor sich ging."

Inzwischen machten sich Norton-Nutzer Sorgen. "Norton-Benutzer besorgt durch PIFTS.exe, Stonewalling von Symantec", lesen Sie einen Slashdot-Beitrag zum Thema.

"Ob Sie glauben, dass dies etwas böswilliges ist oder nicht, ist es besorgniserregend, wie lange das Unternehmen die Leute davon abhalten wird, Fragen zu stellen Fragen zu PIFTS.exe ", schrieb ein Poster auf der Website" AboveTopSecret.com ". "Wenn Sie Norton auf Ihrem Computer haben, rate ich Ihnen derzeit, pifts.exe nicht durch Ihre Firewall zuzulassen."

Dann traten die Hacker ein. Am Dienstag mittag begannen Kriminelle, bösartige Webseiten zu posten, die bei Google auftauchen würden sucht nach PIFTS.exe.

"Während Teile des Internets über das Debakel von Symantec / PIFTS.exe strotzen, machen sich Hacker daran, Suchmaschinen zu vergiften, um ahnungslose Computerbenutzer zu retten", schrieb Graham Cluley, a Senior Technology Consultant beim Sicherheitsanbieter Sophos. Cluley sagte, dass drei der ersten fünf Google-Ergebnisse für eine pifts.exe-Suche zu Seiten führten, die Benutzer auf schädliche Webseiten umlenken, die gefälschte Antiviren-Software auf Opfersystemen installieren wollten.

Am späten Dienstagnachmittag waren diese bösartigen Ergebnisse Die Suche nach PIFTS.exe ist immer noch hoch in Google.

"Der gefälschte Antivirusscan hängt natürlich nicht mit Symantec oder der Datei PIFTS.exe zusammen", fügte Cluley hinzu. "Es ist nur so, dass die Hacker das Interesse an dieser Datei im Moment nutzen, um Traffic auf ihre gefährlichen Websites zu generieren."