Atualização incorreta da Symantec leva a problemas

um programa de diagnóstico de bugs gerou uma série de reclamações dos usuários de antivírus do Norton na segunda e terça de manhã.

Os problemas começaram por volta das 16h30. Horário do Pacífico na segunda-feira, quando os usuários do Norton Internet Security e do Norton Antivirus 2006 e 2007 começaram a receber mensagens de erro conectadas a uma atualização de software da Symantec que tentava baixar um programa chamado PIFTS.exe. "Em um caso de erro humano, o patch foi liberado pela Symantec 'não assinado', o que levou o usuário do firewall a solicitar que este arquivo acessasse a Internet", escreveu o porta-voz da Symantec, Dave Cole, em um fórum explicando o problema. informou que o software de firewall do Norton estava aparecendo mensagens de erro perguntando se eles queriam instalar o arquivo PIFTS.exe. O firewall do Norton teria deixado passar, se tivesse sido assinado digitalmente.

[Leitura adicional: Como remover malware do seu PC com Windows]

A atualização estava disponível por cerca de três horas e foi enviada para um pequeno " Um número limitado de usuários do Norton, disse Jeff Kyle, gerente de produto de produtos de consumo da Symantec.

O PIFTS (Product Information Framework Troubleshooter) é um programa de diagnóstico que a Symantec envia periodicamente aos usuários para coletar informações anonimamente. sistema e número da versão do produto que está sendo usado para obter um instantâneo de sua base de usuários. O problemático arquivo PIFTS.exe não assinado não está mais sendo distribuído, mas nunca representou nenhum tipo de ameaça à segurança, disse Kyle. "Se um usuário aceitasse, eles deveriam estar bem, e se eles recusassem, eles deveriam estar bem."

No entanto, o problema estava apenas começando.

Por volta das 19h30. No horário do Pacífico, a Symantec notou que seus fóruns de suporte do Norton estavam sendo inundados com mensagens em branco que tinham o PIFTS.exe em sua linha de assunto. Dentro de três horas, havia 600 posts sobre o PIFTS.exe. As postagens não continham nenhum texto, apenas assuntos como "SE O PIFTS.EXE ESTAVA AQUI, ENTÃO, QUAL FOI TELEFONE?" e "OH DEUS VOCÊ TEM CHOCOLATE EM MEUS PIFTS."

A Symantec começou a excluir as mensagens, presumindo que fossem de spammers.

Logo o SANS Internet Storm Center havia detectado o PIFTS.exe e notou que o grupo de discussão da Symantec mensagens estavam sendo deletadas. Observando que as mensagens mencionando o misterioso nome do arquivo estavam sendo excluídas dos fóruns de suporte da Symantec, a SANS disse que algo "realmente bizarro estava acontecendo".

Até agora, os usuários do Norton estavam ficando preocupados. "Usuários do Norton preocupados com o PIFTS.exe, Stonewalling da Symantec", leu uma postagem do Slashdot sobre o tópico.

"Se você acredita que isso é algo malicioso ou não, é preocupante a demora da empresa em impedir que as pessoas perguntem perguntas sobre o PIFTS.exe ", escreveu um pôster para o site Abovetopsecret.com. "Se você tem o Norton no seu computador, eu atualmente aconselho que você não permita o pifts.exe através do seu firewall."

Então os hackers intervieram. Ao meio-dia de terça-feira, criminosos começaram a postar páginas maliciosas na Web que apareceriam no Google. procura por PIFTS.exe.

"Com partes da Internet atrapalhadas com o desastre do Symantec / PIFTS.exe, hackers tentam envenenar os mecanismos de busca em uma tentativa de ganhar dinheiro com usuários de computador desavisados", escreveu Graham Cluley, um consultor sênior de tecnologia da empresa de segurança Sophos. Cluley disse que três dos cinco principais resultados do Google para uma pesquisa no pifts.exe levaram a páginas que redirecionaram os usuários para páginas maliciosas, que tentaram instalar falsos antivírus em sistemas de vítimas.

Tarde da tarde de terça-feira, esses resultados maliciosos foram ainda está no topo das pesquisas do Google por PIFTS.exe.

"É claro que a falsa varredura antivírus não está relacionada à Symantec ou ao arquivo PIFTS.exe", acrescentou Cluley. "É apenas que os hackers estão usando o interesse em torno desse arquivo no momento para gerar tráfego para seus sites perigosos."