onsdag den 11. marts 2009

Information is King - Pifts har en forklaring

De seneste dage har der virkelig været lagt i kakkelovnen til den helt store konspirationsteori. Symantecs noget underlige reaktion på filen PIFTS.EXE, er blevet diskutteret på fora af høj og lav. Til trods for det hele nu er manet i jorden, så har malware udviklerne ikke været sene til at udnytte muligheden.

Det hele startede lidt uskyldigt. Den 9. marts begyndte nogle brugere af Symantecs sikkerhedssuite at undrede sig over et nyt og ukendt program, PIFTS.EXE, pludselig trickede firewallen. Da de ikke umiddelbart kunne finde information om filen, blev der oprettet indlæg på Symantecs forum. Af uforklarlige årsager valgte Symantec at fjerne disse indlæg. Og så startede balladen.

Kunne Symantecs software være ramt af malware som de ikke ønskede at komme ud med? Hvis det var en del af softwaren, hvorfor blev de releaterede forumindlæg så fjernet? Hvorfor kom der ikke klare udmeldinger fra Symantec om PIFTS formål? Hvorfor ville programmet forbinde sig til en statistik-server i det ene tilfælde og til en afrikansk IP i et andet? Der var pludselig flere spørgsmål end svar - den direkte vej til e-panik :o)

Det befriende svar
Symantecs forum er der så endelig kommet klar besked fra Dave Cole, Senior Director of Product Management i Symantec. Pifts.exe er en diagnostiserings patch rettet mod Norton Internet Security og Norton Antivirus 2006/2007. Grundet en menneskelig fejl, blev den første version frigivet usigneret, hvilket var årsagen til firewallen slog alarm. Pifts.exe skulle angivelig bruges af Symantec til at bestemme, hvor mange brugere der behøvede at få en nyere version i relation til kommende Windows 7.

Som tidligere ansat i en antivirusvirksomhed, kan jeg godt huske en lignende sag for flere år tilbage (omkring 2002/2003). Her var den aktuelle version ved at blive klargjort til en rullende opdatering til næste version. I den forbindelse introducerede man et nyt modul, som også trickede firewallen. Der var en helt naturlig forklaring, men brugerne var ikke blevet informeret godt nok. Det afledte både en kæmpe supportbobbel - og en komplet ændring af proceduren for udgående information rettet mod slutbrugeren.

Men det er jo 6-7 år siden i skrivende stund. Forskellen fra dengang og til nu er, at brugerne er blevet meget mere bevidste og vidende om de benyttede sikkerhedsprodukter. Når man som sikkerhedsvirksomhed prædiker eftertænksomhed - så svinger døren begge veje. Kort sagt: Information is King!

Malware, dit navn er Pifts
Missæren har så afledt, at malware udviklere har øjnet en chance for at udnytte situationen. Det er rapporteret flere steder fra, at inficerede websites nu forsøger at installere malware når man besøger dem for at indhente oplysninger om Pifts.exe. Der findes også sites (.ru og .ch), hvor man direkte kan hente filen, med den medfølgende forklaring, at det er Symantecs opdaterede og godkendte version. *LOL*

Symantec tager dette yderst alvorlig. De advarer brugere mod at følge links til ukendte websites, da ondsindede personer nu forsøger at udnytte dette varme emne til at sprede malware.

Yderligere information
Google søgning: http://www.google.com/search?q=intext%3Apifts.exe