Un rootkit di Norton? Risponde Symantec

Un rootkit di Norton? Risponde Symantec

Nei giorni scorsi un aggiornamento diffuso da Symantec è stato al centro di parecchie discussioni. Symantec ha voluto fornire una propria spiegazione del problema

di pubblicata il , alle 08:28 nel canale Sicurezza
Symantec
 

Qualche giorno fa Symantec è stata al centro di molte discussioni in merito al rilascio di una patch. Infatti, alcuni firewall hanno rilevato come potenzialmente pericoloso proprio tale aggiornamento. Anche sul nostro Forum di discussione se n'è parlato e proprio questa discussione ha raccolto l'interesse da parte di Symantec che ci ha inviato questa nota:

Symantec ha rilasciato una patch, “PIFT.exe”, per gli utenti di Norton Internet Security e Norton Antivirus 2006 & 2007. Questa patch è circolata per circa 3 ore (dalle 16.30 alle 19.40 del 9 marzo Pacific Time). A causa di un errore umano, la patch è stata rilasciata “non firmata” da Symantec, cosa che ha portato a un avviso da parte del firewall dell’utente che ha causato una generale e comprensibile preoccupazione tra gli utenti, i quali hanno cominciato ad allertare Symantec. L’emissione di una patch non autenticata è un episodio raro che non comporta nessun problema di sicurezza ai nostri utenti. La patch ha raggiunto un numero limitato di clienti Norton per poi essere subito bloccata. Gli utenti Norton sono protetti e non c’è bisogno che prendano ulteriori provvedimenti per questa problematica.

A seguito di questo episodio, si è verificata un’attività nel Norton User Forum collegata a PIFTS.exe. Alle 10.30 circa di lunedì 9 marzo, Symantec ha rilevato un abuso da parte di uno o più individui di Norton User Forum. Un nuovo account che ha iniziato a postare commenti sulla patch PIFTS.exe. Dopo pochi minuti, ne sono stati creati parecchi altri che hanno iniziato a inserire commenti: nelle prime ore, sono stati creati 200 account e inseriti 600 commenti. Se l’intento di questi spammer rimane ancora da capire, non sono stati aggiunti link maligni. Di seguito alcuni esempi di messaggi di spam trovati sul forum, che non contengono testo ma solo l’oggetto:

  • O LAWD IM CHOKIN ON PIFTS PLZ HALP
  • OH GOD YOU GOT CHOCOLATE IN MY PIFTS
  • If you wanna be my NORTON/ you gotta deal with my P ! F T S . E X E
  • IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE?
  • PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE
  • I LOVE MY PIFTS.EXE

Symantec rispetta completamente il Norton Community Terms of Service che regolamenta il forum e non cancellerà questi post senza averne prima riscontrato una violazione. Non appena sarà stabilita la natura dei messaggi, Symantec provvederà a cancellare quelli di spam.

Infine, segnaliamo anche che alcuni hacker stanno sfruttando la situazione. Se si cercano informazioni relative a PIFTS.exe sui maggiori motori di ricerca, tra i risultati è possibile trovare anche siti che tenteranno di distribuire malware tra i visitatori.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
SuperSandro17 Marzo 2009, 08:35 #1
Premetto che non uso alcun Symantec, ma credo sia necessario riflettere sulla facilità con cui alcuni utenti scrivono commenti inopportuni senza essersi prima documentati a sufficienza.

Un banale errore umano - benché difficilmente scusabile per coloro che lavorano nell'azienda leader del settore - non può e non deve essere preso come pretesto per spammare o rilasciare opinioni a dir poco infelici.
int main ()17 Marzo 2009, 08:44 #2
che geni quelli dei commenti auhauhuahuahua XD
SuperSandro17 Marzo 2009, 08:47 #3
Originariamente inviato da: int main ()
che geni quelli dei commenti auhauhuahuahua XD


..esattamente ciò che intendevo
Pts.Mac17 Marzo 2009, 10:06 #4
Ma quali intenti e link malevoli?! Tutti quei commenti vengono dal raid di 4chan! Era "for the lulz"
Pikazul17 Marzo 2009, 10:09 #5
IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE?


...credo di sapere da dove è nato lo spammaggio XD
capitan_crasy17 Marzo 2009, 10:09 #6
Originariamente inviato da: Pts.Mac
Ma quali intenti e link malevoli?! Tutti quei commenti vengono dal raid di 4chan! Era "for the lulz"


filippo198017 Marzo 2009, 10:20 #7
Mi spiegate una cosa?
Ma come è possibile che un aggiornamento di un programma possa essere considerato rootkit (che dal poco che ne so è il nome dei virus che permettono agli hacker di entrare nei pc e modificare i file del pc infetti) senza che ci sia un reale problema?
Possibile che alcuni programmi controllino SOLO se il file è "firmato" e non cosa faccia effettivamente?
Se fosse così, è così difficile "firmare" un file?
Sia ben chiaro, l'ultima domanda non è legata al fatto che voglio creare un virus e firmarlo come se fosse della Symantec ma è solo per curiosità LOL
Therinai17 Marzo 2009, 10:36 #8
IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE?


Originariamente inviato da: filippo1980
Sia ben chiaro, l'ultima domanda non è legata al fatto che voglio creare un virus e firmarlo come se fosse della Symantec ma è solo per curiosità LOL


si si, dite tutti così voi hakcer
Pikazul17 Marzo 2009, 10:36 #9
Originariamente inviato da: filippo1980
Mi spiegate una cosa?
Ma come è possibile che un aggiornamento di un programma possa essere considerato rootkit (che dal poco che ne so è il nome dei virus che permettono agli hacker di entrare nei pc e modificare i file del pc infetti) senza che ci sia un reale problema?
Possibile che alcuni programmi controllino SOLO se il file è "firmato" e non cosa faccia effettivamente?
Se fosse così, è così difficile "firmare" un file?
Sia ben chiaro, l'ultima domanda non è legata al fatto che voglio creare un virus e firmarlo come se fosse della Symantec ma è solo per curiosità LOL


Il "reale problema" riscontrato è la volontà del programma di eseguirsi automaticamente con i privilegi massimi, addirittura se è un rootkit dovrebbe partire prima dell'OS stesso. Cosa faccia esattametne il programma questo l'antivirus non può saperlo senza una analisi approfondita che una macchina non può fare agilmente.
Chiaramente più privilegi ha un antivirus più sarà difficile per i virus bloccarlo ed evitarlo, per questo l'antivirus ha la necessità di installarsi al livello più alto.

Firmare un file non è difficile, il problema è che una firma per avere un valore deve essere riconosciuta, ed è praticamente impossibile falsificare la firma digitale di un altro produttore.
!fazz17 Marzo 2009, 10:41 #10
Originariamente inviato da: filippo1980
Mi spiegate una cosa?
Ma come è possibile che un aggiornamento di un programma possa essere considerato rootkit (che dal poco che ne so è il nome dei virus che permettono agli hacker di entrare nei pc e modificare i file del pc infetti) senza che ci sia un reale problema?
Possibile che alcuni programmi controllino SOLO se il file è "firmato" e non cosa faccia effettivamente?
Se fosse così, è così difficile "firmare" un file?
Sia ben chiaro, l'ultima domanda non è legata al fatto che voglio creare un virus e firmarlo come se fosse della Symantec ma è solo per curiosità LOL


un rootkit è un programma che viene eseguito diciamo per ragioni di semplicità "al di sotto del sistema operativo", in questo modo i suoi file possono essere nascosti al sistema operativo e quindi anche all'antivirus (uso malevolo)
la firma digitale del file è una forma di crittografia volta a garantire non la riservatezza delle informazioni contenute ma bensi a garantire la fonte del file e l'assenza di manomissioni, firmare un file od una email è facile esistono appositi strumenti (richiedono la creazione di un certificato di firma digitale depositato), è logico che se su un programma che modifica i file dell'antivirus (patch) questa firma manca non avendo certezza della fonte ne dell'eventuale manomissione della patch i sistemi di sicurezza scattano

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^