Upgrading SEP 12.1 to 14.x
问题在下午4:30左右开始太平洋时间周一,当时诺顿网络安全特警和诺顿防病毒软件2006和2007用户开始接收连接到Symantec软件更新的错误消息,该更新尝试下载名为PIFTS.exe的程序。赛门铁克发言人Dave Cole在一篇论坛帖子中写道:“在发生人为错误的情况下,该补丁是由赛门铁克的'unsigned'发布的,这导致防火墙用户提示此文件访问Internet。”
用户报道诺顿自己的防火墙软件弹出错误消息,询问他们是否想安装PIFTS.exe文件。诺顿的防火墙会让它通过,如果它已被数字签名。
[进一步阅读:如何从您的Windows PC中删除恶意软件]
该更新可用约三个小时,并推出一个小的“ Symantec的消费产品集团产品经理Jeff Kyle表示,“PIFTS(产品信息框架故障诊断程序)”是一种诊断程序,Symantec定期向用户发送匿名信息,如操作信息系统和正在使用的产品的版本号,以获取其用户群的快照。 Kyle说,这个令人讨厌的,未签名的PIFTS.exe文件不再被分发,但它从未代表任何安全威胁。 “如果用户会接受它,他们应该没问题,如果他们拒绝了,他们应该没问题。”但是,这个问题才刚刚开始。
晚上7:30左右。在赛门铁克太平洋时间,赛门铁克注意到其诺顿支持论坛充斥着空白的消息,在他们的主题中有PIFTS.exe。在三个小时内,有关于PIFTS.exe的600个帖子。这些帖子中没有文字,只有“如果PIFTS.EXE在这里,然后是电话?”等主题。和“哦,你让我的心中有巧克力”。
赛门铁克开始删除这些消息,假设他们来自垃圾邮件发送者。
很快,SANS互联网风暴中心就采用了PIFTS.exe,并指出赛门铁克讨论组消息正在被删除。注意到提到神秘文件名称的消息正在从赛门铁克的支持论坛中删除,SANS表示,“真正奇怪的事情正在发生”。
到目前为止,诺顿用户正在担心。 “由PIFTS.exe担心的诺顿用户,赛门铁克Stonewalling”阅读关于该主题的Slashdot帖子
“无论您认为这是否是恶意的,它都担心公司会阻止人们询问有关PIFTS.exe的问题“,在Abovetopsecret.com网站上写了一张海报。 “如果你的计算机上装有诺顿,我现在建议你不要让pifts.exe穿过你的防火墙。”
然后黑客介入。到星期二中午,罪犯开始发布恶意网页,这些网页会在Google上高居榜首搜索PIFTS.exe
“由于部分Internet因为Symantec / PIFTS.exe崩溃而慌乱,黑客已经着手破坏搜索引擎,试图通过毫无戒心的计算机用户进行现金交易,”Graham Cluley写道,与安全厂商Sophos合作的高级技术顾问。 Cluley表示,pifts.exe搜索前五名谷歌搜索结果中的三个导致页面将用户重定向到恶意网页,该网页试图在受害者的系统上安装假的防病毒软件。
周二下午,这些恶意结果是在谷歌搜索PIFTS.exe时仍然高居不下。“
”当然,假的反病毒扫描与赛门铁克或PIFTS.exe文件无关,“Cluley补充道。 “只是黑客正在利用目前围绕该文件的兴趣来为他们危险的网站产生流量。”