image

Symantec in het nauw door pifts.exe *Update*

dinsdag 10 maart 2009, 16:54 door Redactie, 22 reacties

Een mysterieus bestand genaamd pifts.exe heeft voor grote verwarring bij gebruikers van Norton Internet Protection gezorgd, Symantec censureert systematisch op het eigen forum alle berichten die hier over gaan. Gebruikers van de software kregen een popup dat het bestand pifts.exe toegang tot het internet wilde. Het bestand bevond zich in een niet bestaande map binnen de Symantec LiveUpdate map. Op het Norton forum vroegen verschillende gebruikers om help en informatie. Het eerste topic zorgde binnen een paar uur voor allerlei reacties, maar werd toen door Symantec verwijderd, zo meldt Slashdot. De verwijderde topics zijn nog wel via Google te vinden.

Andere vragen van gebruikers werden plots veel sneller verwijderd, waardoor allerlei samenzweringstheorieën de kop opstaken. Inmiddels zijn radeloze gebruikers massaal naar het forum van ZoneLabs overgestapt om daar hun vragen te stellen. We hebben Symantec om een reactie gevraagd, maar de beveiligingsgigant kon nog niet reageren.

Update Symantec 21:50
Symantec laat Security.nl weten dat pifts.exe een "diagnostische patch" voor Norton Internet Security en Norton Antivirus 2006 & 2007 is. Door een menselijke fout werd de update verspreid zonder dat die door Symantec was "getekend", waardoor de firewall alarm sloeg. De beveiliger merkt op dat het uitbrengen van een niet gesigneerde patch zeer zelden voorkomt en geen beveiligingsprobleem voor gebruikers vormt. Het aantal getroffen gebruikers zou echter meevallen. Toch zegt Symantec de zorgen bij haar klanten te begrijpen.

Wat betreft de censuur op het forum was er iets heel anders aan de hand. Een paar uur na het verschijnen van de patch creëerde één of meerdere individuen verschillende accounts en plaatsten allerlei berichten over het pifts.exe bestand. In totaal ging het om meer dan 200 aangemaakte accounts en zo'n 600 berichten over het onderwerp. Symantec tast nog in het duister omtrent de bedoelingen van de spammers. Er werden geen kwaadaardige links verspreid, de spamberichten bevatte alleen een onderwerp en geen inhoud. Aangezien de berichten in strijd met de gebruikersovereenkomst waren, besloot Symantec ze te verwijderen. Inmiddels maken virusschrijvers gebruik van alle heisa rondom het bestand en proberen gebruikers die informatie over het onderwerp zoeken, naar kwaadaardige pagina's te lokken.

Reacties (22)
10-03-2009, 17:13 door Anoniem
Kaspersky Labs liet me net weten dat ze er ook eens een kijkje naar zullen nemen, alsSymantec niks wilt zeggen zullen concurenten dat wel doen...
10-03-2009, 17:17 door Anoniem
Inmiddels is het hele verhaal bij ZoneLabs ook verwijderd...
10-03-2009, 17:47 door Anoniem
Nee, de post is op ZoneLabs verplaatst: http://forums.zonealarm.org/zonelabs/board/message?board.id=Off-Topic&message.id=19880
10-03-2009, 17:51 door prikkebeen
Ik was net even aan het kijken bij het forum van Symantec. Er staat echt niets meer. Wel kwam ik nu de volgende tekst tegen:

"Forum Private Messages's are offline for maintenance, Please check back after 12:00 PM PDT. We apologize for any inconvenience."

Zouden die boodschappen ook gecensureerd worden? Het is allemaal erg vreemd en het lijkt nu toch wel erg veel op een doofpot verhaal.
10-03-2009, 17:51 door Anoniem
zie ook: http://isc.sans.org/diary.html?storyid=5992
waar gewaarschuwd wordt voor de bad guys die van deze ophef ook al(weer) misbruik van maken!
10-03-2009, 17:52 door Anoniem
Valt wel mee: http://www.sophos.com/blogs/gc/
10-03-2009, 17:54 door prikkebeen
Door AnoniemInmiddels is het hele verhaal bij ZoneLabs ook verwijderd...

Staat nog wel iets, maar het is verplaatst naar off-topic.

http://forums.zonealarm.org/zonelabs/board/message?board.id=Off-Topic&message.id=19903
10-03-2009, 18:51 door Darkman
Symantec heeft de vinger in de dijk, maar die is inmiddels doorgebroken.
Ik ben wel verrekte benieuwd wat pifts.exe nu is.
Je gaat toch denken aan spyware als ze zo radicaal (niet) reageren.
10-03-2009, 19:05 door spatieman
botnet inc... b.v..
10-03-2009, 20:53 door Anoniem
Er is inmiddels en Wiki pagina.

http://en.wikipedia.org/wiki/Pifts.exe
10-03-2009, 21:29 door Anoniem
Het zal met licenties e.d. te maken hebben. En achterdeuren....Checkpoint was ook meerdere keren in de onderwaterkringen gesprek van de dag over de Firewall en mogelijke "extra" functionaliteit.
10-03-2009, 21:38 door Lobker
Kan het betreffende stukje software niet reversed engineerd worden? Of dat mensen met een HTTP sniffer gaan kijken welke communicatie tot stand is gekomen met welk IP adres? Ik ben wel benieuwd in ieder geval.
10-03-2009, 21:46 door Anoniem
Check the link below for an offical symantic reaction to the pifts.exe file

http://www.thetechherald.com/article.php/200911/3179/Symantec-explains-PIFTS-and-debunks-conspiracy-theories-Update
11-03-2009, 01:17 door prikkebeen
Symantec kan zeggen wat ze willen maar ik geloof het allemaal niet zo. Ergens anders las ik dat er al bijdragen van het forum verwijderd waren vóór dat men (4chan o.a.) bezig was met spammen. Het verwijderen van de bijdragen lijkt op die manier eerder de trigger van het spammen geweest te zijn.

Ook zegt Symantec dat het bestand werd gebruikt om te kijken hoeveel gebruikers er welke versie van hun product gebruiken om de serverload te meten. Nou, dat kun je ook met b.v. het aantal verkochte licenties.
Het lijkt mij meer een tool voor datamining, spyware dus.
11-03-2009, 10:53 door spatieman
600 accounts.
tja, betekend 600 IP adressen die ze kunnen monitoren.........
11-03-2009, 11:16 door Anoniem
Heel leuk om dat soort posts te verwijderen zonder uitleg daarover te geven.
Partijen die kwade bedoelingen hebben, weten op dat moment dat Symantec ze doorheeft. En goedbedoelenden hebben duidelijkheid zodat conspiracy verhalen geen wortel kunnen schieten. In dit geval (achteraf altijd gemakkelijk) zou ik als Symantec gebruiker er toch een rare smaak aan overhouden.
11-03-2009, 11:18 door Anoniem
Ik zie in het bericht op het Norton forum in de Google cache anders niet een beginbericht met daarin alleen een titel en geen inhoud. En dat bericht is ook verwijderd. Het is dus gewoon gelul dat al die topics automatisch aangemaakt worden en dat ze daarom verwijderd zijn.
11-03-2009, 14:49 door Anoniem
http://pifts.blogspot.com/2009/03/found-very-interesting-post.html
11-03-2009, 14:53 door Anoniem
http://community.norton.com/norton/board/message?board.id=nis_feedback&thread.id=39123
11-03-2009, 15:06 door Anoniem
De kunnen wij hacker schaakmat gaan spelen met Symantec, door zo zelfde pifts.exe maken en vertelen we de niets vermoedelijk gebruiker dat het een "diagnostische patch" voor Norton Internet Security"Daarna komen wij met Paard van Troje "Trojan Horse"door de poort via De BACKDOOR "pifts.exe" naar binnen!
11-03-2009, 16:15 door Anoniem
Over de laatste alinea; die spammers komen van 4chan.org, die doen wel meer van dat soort dingen :)
(bijvoorbeeld massaal online op iets stemmen ofzo, voor de lol; zie http://www.cwtv.com/thecw/americas-next-top-model-cycle12-poll'
11-03-2009, 16:31 door prikkebeen
Het is ook vreemd dat Symantec nu geen goede versie van het bestand de wereld in stuurt.

Als je een fout maakt herstel je die normaal gesproken, maar niets van dat kan ik ergens vinden. Dit zaakje stinkt een uur in de wind.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.