Un rootkit di Norton? Risponde Symantec

Qualche giorno fa Symantec è stata al centro di molte discussioni in merito al rilascio di una patch. Infatti, alcuni firewall hanno rilevato come potenzialmente pericoloso proprio tale aggiornamento. Anche sul nostro Forum di discussione se n'è parlato e proprio questa discussione ha raccolto l'interesse da parte di Symantec che ci ha inviato questa nota:

Symantec ha rilasciato una patch, “PIFT.exe”, per gli utenti di Norton Internet Security e Norton Antivirus 2006 & 2007. Questa patch è circolata per circa 3 ore (dalle 16.30 alle 19.40 del 9 marzo Pacific Time). A causa di un errore umano, la patch è stata rilasciata “non firmata” da Symantec, cosa che ha portato a un avviso da parte del firewall dell’utente che ha causato una generale e comprensibile preoccupazione tra gli utenti, i quali hanno cominciato ad allertare Symantec. L’emissione di una patch non autenticata è un episodio raro che non comporta nessun problema di sicurezza ai nostri utenti. La patch ha raggiunto un numero limitato di clienti Norton per poi essere subito bloccata. Gli utenti Norton sono protetti e non c’è bisogno che prendano ulteriori provvedimenti per questa problematica.

A seguito di questo episodio, si è verificata un’attività nel Norton User Forum collegata a PIFTS.exe. Alle 10.30 circa di lunedì 9 marzo, Symantec ha rilevato un abuso da parte di uno o più individui di Norton User Forum. Un nuovo account che ha iniziato a postare commenti sulla patch PIFTS.exe. Dopo pochi minuti, ne sono stati creati parecchi altri che hanno iniziato a inserire commenti: nelle prime ore, sono stati creati 200 account e inseriti 600 commenti. Se l’intento di questi spammer rimane ancora da capire, non sono stati aggiunti link maligni. Di seguito alcuni esempi di messaggi di spam trovati sul forum, che non contengono testo ma solo l’oggetto:

• O LAWD IM CHOKIN ON PIFTS PLZ HALP
• OH GOD YOU GOT CHOCOLATE IN MY PIFTS
• If you wanna be my NORTON/ you gotta deal with my P ! F T S . E X E
• IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE?
• PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE
• I LOVE MY PIFTS.EXE

Symantec rispetta completamente il Norton Community Terms of Service che regolamenta il forum e non cancellerà questi post senza averne prima riscontrato una violazione. Non appena sarà stabilita la natura dei messaggi, Symantec provvederà a cancellare quelli di spam.

Infine, segnaliamo anche che alcuni hacker stanno sfruttando la situazione. Se si cercano informazioni relative a PIFTS.exe sui maggiori motori di ricerca, tra i risultati è possibile trovare anche siti che tenteranno di distribuire malware tra i visitatori.