Il cattivo aggiornamento di Symantec porta a problemi

Symantec dice un programma di diagnostica buggy ha stimolato un'eruzione di reclami degli utenti di Norton nell'ultimo lunedì e martedì mattina.

I problemi sono iniziati intorno alle 16:30 Pacific Time di lunedì, quando gli utenti di Norton Internet Security e Norton Antivirus 2006 e 2007 hanno iniziato a ricevere messaggi di errore collegati a un aggiornamento software Symantec che tentava di scaricare un programma chiamato PIFTS.exe. "In un caso di errore umano, la patch è stata rilasciata da Symantec 'unsigned', che ha indotto il firewall a chiedere a questo file di accedere a Internet", ha scritto il portavoce di Symantec Dave Cole in un post sul forum che spiega il problema.

Utenti ha riferito che il software firewall di Norton stava spuntando messaggi di errore chiedendo loro se volevano installare il file PIFTS.exe. Il firewall di Norton l'avrebbe lasciato passare, se fosse stato firmato digitalmente.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

L'aggiornamento era disponibile per circa tre ore ed è stato inviato a un piccolo ", numero limitato "di utenti Norton, ha dichiarato Jeff Kyle, un product manager di gruppo di prodotti consumer con Symantec.

PIFTS (Product Information Framework Troubleshooter) è un programma diagnostico che Symantec invia periodicamente agli utenti per raccogliere in modo anonimo informazioni come sistema e numero di versione del prodotto utilizzato per ottenere un'istantanea della sua base di utenti. Il fastidioso file PIFTS.exe non firmato non viene più distribuito, ma non ha mai rappresentato alcun tipo di minaccia per la sicurezza, ha affermato Kyle. "Se un utente l'avesse accettato, avrebbe dovuto andar bene, e se lo avessero rifiutato avrebbero dovuto andar bene."

Tuttavia, il problema era appena all'inizio.

Verso le 19:30. Pacific Time, Symantec ha notato che i suoi forum di supporto Norton erano inondati di messaggi vuoti con PIFTS.exe nella riga dell'oggetto. Nel giro di tre ore c'erano 600 post su PIFTS.exe. I post non contenevano testo, solo soggetti come "IF PIFTS.EXE ERA QUI, ALLORA CHI ERA TELEFONO?" e "OH DIO HAI CIOCCOLATO NEI MIEI PALLONI."

Symantec ha iniziato a eliminare i messaggi, supponendo che provenissero da spammer.

Presto il SANS Internet Storm Center si è rilevato su PIFTS.exe e ha notato che il gruppo di discussione di Symantec i messaggi venivano cancellati. Notando che i messaggi che menzionavano il misterioso nome del file venivano cancellati dai forum di supporto di Symantec, SANS ha detto che qualcosa di "veramente bizzarro stava succedendo".

Ormai, gli utenti di Norton si stavano preoccupando. "Utenti Norton preoccupati da PIFTS.exe, Stonewalling di Symantec", leggono un post Slashdot sull'argomento.

"Sia che crediate che si tratti di qualcosa di malevolo o meno, è preoccupante la lunghezza che l'azienda andrà ad impedire alla gente di chiedere domande su PIFTS.exe ", ha scritto un poster sul sito Web Abovetopsecret.com. "Se hai Norton sul tuo computer, attualmente ti consiglio di non consentire pifts.exe attraverso il tuo firewall."

Poi sono entrati gli hacker. A mezzogiorno di martedì i criminali hanno iniziato a pubblicare pagine Web dannose che sarebbero saltate in alto su Google ricerche per PIFTS.exe.

"Con alcune parti del fluttering di Internet sulla debacle di Symantec / PIFTS.exe, gli hacker hanno cercato di avvelenare i motori di ricerca nel tentativo di incassare utenti ignari", ha scritto Graham Cluley, un consulente di tecnologia senior con il fornitore di sicurezza Sophos. Cluley ha dichiarato che tre dei primi cinque risultati di Google per una ricerca di pifts.exe hanno portato a pagine che reindirizzavano gli utenti a pagine Web dannose, che tentavano di installare software antivirus contraffatti sui sistemi delle vittime.

Martedì pomeriggio, questi risultati dannosi erano ancora alto nelle ricerche di Google per PIFTS.exe.

"Ovviamente, la falsa scansione anti-virus non è correlata a Symantec o al file PIFTS.exe", ha aggiunto Cluley. "È solo che gli hacker stanno sfruttando l'interesse che circonda quel file al momento per generare traffico verso i loro pericolosi siti Web."