К чему может привести оплошность Symantec

После выпуска очередного обновления антивирусных программ компания Symantec столкнулась с неожиданными трудностями. В состав пакетов был включен неподписанный файл PIFTS.exe, на который среагировали брандмауэры, и пользователи начали беспокоиться по поводу безопасности своих компьютеров. При виде такого интереса к таинственному файлу злоумышленники не замедлили воспользоваться ситуацией.

Во вторник ночью, приблизительно в 2:30 по московскому времени, пользователи пакетов Norton Internet Security и Norton Antivirus 2006 и 2007 начали получать сообщения об ошибке, когда программа обновления пыталась скачать файл PIFTS.exe. "Этот патч был выпущен неподписанным, и брандмауэры на пользовательских машинах стали требовать разрешения, когда этот файл должен был связаться с Интернетом", – объясняет представитель пресс-службы компании Symantec Дейв Коул (Dave Cole). Сообщений о том, что брандмауэр из пакетов Norton выдает сообщение об ошибке и запрос на установку файла PIFTS.exe, приходило все больше.

PIFTS (Product Information Framework Troubleshooter) – это диагностическая программа, которую Symantec время от времени рассылает своим клиентам, чтобы собирать информацию об их операционных системах и версиях антивирусных продуктов. Неподписанный PIFTS.exe больше не попадает на пользовательские компьютеры, и он никогда не представлял никакой угрозы. Произошла бы установка этой программы или нет – для системы это не имело бы никаких последствий.

Однако неприятности начались там, где их совсем не ждали.

Через 3 часа форумы службы поддержки стали наполняться пустыми сообщениями, в заголовках которых был упомянут PIFTS.exe. За три часа появилось около 600 сообщений с темами вроде "Если PIFTS.exe все это время был здесь, то кто же мне звонил?" или "Ой, в моем PIFTS лежат шоколадки!" Администрация форума поспешила удалить этот спам.

К этому времени пользователи антивирусов Norton уже были всерьез обеспокоены. Заметив, что служба поддержки удаляет с форума сообщения, относящиеся к PIFTS.exe, они решили, будто компания Symantec пытается скрыть сведения о происходящем.

Далее к событиям вокруг непонятного файла присоединились те, кто решил воспользоваться ситуацией в своих целях. К ночи 10 марта поисковая система Google начала выдавать в верхних строчках результатов поиска по запросу "PIFTS.exe" адреса сайтов, содержащих вредоносный код. Три из пяти адресов принадлежали страницам, которые перенаправляли пользователей на веб-сайты, пытавшиеся установить на компьютеры своих жертв поддельные антивирусные программы. К утру 11 марта эти результаты все еще находились на первой странице Google.

Специалисты уверяют, что поддельные антивирусы не имеют никакого отношения ни к Symantec, ни к программе PIFTS.exe. Пользуясь интересом пользователей интернета к таинственному файлу, о котором сообщают их брандмауэры, злоумышленники пытаются генерировать трафик на свои сайты.