Symantecs Norton und PIFTS.exe Einstellungen

[Gast_peks_*]

Computer support forums are lighting up with queries from users wondering what to do about an alert on whether to trust a file called "PIFTS.exe". Meanwhile, someone at Symantec's support forum seems to be deleting posts from users inquiring about this alert almost as soon as they go up on the forum.Swa Frantzen, an incident handler with the SANS Internet Storm Center, writes today that PIFTS.exe appears to be related to a Norton update since it has a has a component in it that leverages the user's Internet connection to contact a Web page at norton.com, which is owned and operated by Symantec.


Also, it appears that PIFTS.exe is being submitted quite a bit to VirusTotal.com, a free service that people can use to scan suspicious files against more than three dozen different anti-virus products. ThreatExpert also has a writeup that confirms that this file phones home to Symantec.

Quellen:
http://voices.washingtonpost.com/securityf...rss=securityfix
http://it.slashdot.org/article.pl?sid=09/0...29&from=rss

Mal gucken was das nun ist...

Nachtrag:
Anubis Analyse der Datei
ThreatExpert Analyse

Der Beitrag wurde von peks bearbeitet: 10.03.2009, 15:51

[Voyager]

Das solche nicht hilfreichen Posts (von frisch angemeldeten ohne Text) nach 2 Minuten wieder verschwunden sind hilft der Sache aber auch nicht , sowas würde in jedem Forum gleich gehandhabt werden.



oder hier , wieder ein frisch angemeldeter Account mit einer weit übertriebenen Problemschilderung zum Thema. Irgendwann hat man den Kanal dicke und löscht das einfach nurnoch , der Post hat nichtmal eine Minute gehalten.



Der Beitrag wurde von Voyager bearbeitet: 10.03.2009, 19:35

[Gast_peks_*]

Erklärt aber nicht das die ersten Posts zum Thema gestern nacht sofort gelöscht wurden. Erst dann ging die Flut an meist sinnlosen postings im Symantec Forum los. Das war ungeschickt von Symantec.

Egal..SANS berichtet:

I just had a phone call from a Symantec employee confirming the program is theirs, part of the update process and not intended to do harm, more to follow, stay tuned.

We've been sent an example of a web page targeting the term "PIFTS.exe" along with other popular search terms that lead to obfuscated javascript that leads in turn to actual malware.

Take care if you search for this: you might find the bad guys out there taking advantage of our interest in PIFTS.exe already.

Warum sich die Datei in einem versteckten Unterrodner befindet half wohl nicht bei der fröhlichen Kraut-und-Rüben-Gerüchteküche.

[Voyager]

Vermutlich meinst du das , das sieht mir aber auch nur nach Spamfluten von Trolls aus http://image-upload.de/image/Vra4GF/7c6ffe682b.png

[Gast_peks_*]

Vermutlich meinst du das , das sieht mir aber auch nur nach Spamfluten von Trolls aus http://image-upload.de/image/Vra4GF/7c6ffe682b.png

Nein, das sind die Postings die später auftauchten und völlig zu Recht versteckt wurden. Die Rede ist von den ersten Fragen zum Thema _gestern_ Nacht (Local Time). Erst als diese sofort gelöscht wurden, sprach sich dieses "Problem" wie ein Lauffeuer im Netz herum und die Trolls eroberten das Forum. So jedenfalls die einhellige Meinung auf den meisten Seiten im Netz (Zonealarm Forum ect.).

[Rios]

Es spricht sich herum.
http://isc.sans.org/diary.html?storyid=5992&rss

[Gast_peks_*]

Der Vollständigkeitshalber noch dieses Update:

Update, 2:23 p.m. ET: Dave Cole, senior director of product management at Symantec, said the PIFTS file was part of a "diagnostics patch" shipped to Norton customers on Monday evening. The purpose of the update, Cole said, was to help determine how many customers would need to be migrated to newer versions of its software as more Windows users upgrade to Windows 7.

"We have to make sure before we migrate users to a new product that we can see what kind of load we can expect on our servers, and which customers are going to have to be moved up to the latest version of our product," Cole said.

Quelle: http://voices.washingtonpost.com/securityf...ain_of_mys.html

[Voyager]

Sprich also ganz harmlos , nichts mit gehackte Symantec Server oder Polizei Trojaner die Symantec per Gerichtsbeschluss verteilen musste.... oder anderen Quatsch den die Dummen im Netz verbreiten.

[dataandi]

Wie oft wurde schon ein Programmteil eines Antivirus von einem anderen Programm erkannt?
Wurde die aber nur an die neue 16.5 verteilt? Weil ich hab die Datei nicht...

[Voyager]

Wer behauptet noch Symantec würde irgendwelchen Hintertürkram im Norton verschweigen oder verstecken

Norton product patch "PIFTS.exe" and Norton Users Forum
http://community.norton.com/norton/board/m...thread.id=39119

PIFTS.EXE discussion thread
http://community.norton.com/norton/board/m...thread.id=39123 (die Topic ist sehr stark von Spammer und Spinner frequentiert die mit Falschinformationen hausieren gehen und meinen die Welt drehe sich nur um Sie)

Der Beitrag wurde von Voyager bearbeitet: 11.03.2009, 03:24

[Gast_peks_*]

Nur mal dieses Zitat (unüberprüft von mir) um ein klein wenig die Perspektive klarzurücken, denn ganz so einfach wie es Symantec darstellt war es wohl nicht:

When the orginal post went up about 7pm Monday evening, there wasn't the rush of post like there was today. There were 2 legit threads started about it, one which I posted in with 17 post to the thread and over 3000 views in less than 2 hours....Those threads were deleted and the accounts all banned (though I have sent the letter to unlock my account). The attacks started after the first few threads were deleted. The attacks were unnecessary and did not help getting a timely answer from Norton.

Mein Fazit ist: Symantec ist selbst Schuld an den Fehlinformationen die gestern überall rumgingen..

[Paul12]

Da wir hier in ein deutsches Forum sind

http://www.heise.de/newsticker/Norton-unte.../meldung/134358

[Voyager]

Symantec ist selbst Schuld an den Fehlinformationen die gestern überall rumgingen..

Warum ? Würdest du gleich springen nur weil eine Horde Spinner mit ihren Verschwörungsangriffen und Spamattacken gegen den AV-Hersteller dich zu Statements nötigen ? Wo kommen wir denn dahin. Symantec schmeisst die Postings eigentlich auch nicht grundlos raus ansonsten könntest du garnicht die ganzen Beschwerden über die Ask-Suchbox im Forum lesen können , wenn die sagen die meisten dieser neuen Accounts mit ihren Meldungen über PIFTS haben sich vulgär und rein provokativ aufgeführt dann glaube ich das erstmal , aus dem ganz einfachen Grund weil einige sich im Diskussionsthreat dazu outen mehrmals gebanned worden zu sein und komischerweise sind das solche User die trotz Aufklärungen weiter mit ihren provokanten Postings und dummen Spionagevorwürfen ect. fortfahren. Für mich sieht das so aus als wären das immernur eine Handvoll User die ständig neue Accounts öffnen zu dem Zweck immer mehr Postings mit haargenau denselben haltlosen Spionagevorwürfen zu reinen Spamzwecken zu machen. Heise schreibt ja auchwas zu dem Stichwort Untergrund Kids und Trollparadies , aus genau dieser die Spinner mit ihren Attacken zu kommen scheinen.
Auch wenn du kein Windows oder Norton Freund bist sollte dir sowas auffallen

Der Beitrag wurde von Voyager bearbeitet: 11.03.2009, 13:12

[Gast_peks_*]

@Voyager
Nochmal für dich: angeblich (kann das ja nicht überprüfen) waren die ersten Anfragen im Forum von Norton Nutzern bei denen die firewall ansprang und sie nachfragten. Auf diese wurde nicht reagiert und als die Gerüchteküche losging auch kommentarlos gelöscht. Das und nix anderes hat doch erst zu dem Hype beigetragen. Nichts wäre einfacher gewesen ein sticky Topic anzulegen und zu schreiben: "PIFTS.exe is harmlos, more info soon" oder ähnlich..so kam aber halt absolut nichts von Symantec und alles andere ist dann ein Selbstläufer.
Ich sagte doch bereits mehrfach das die Spam/Troll Postings zu Recht gelöscht wurden, nur du umgehst dabei den einfachen Fakt das es da vorher noch was gab. War ja nicht so als ob alle Trollpostings schlagartig von Sekunde 1 losgingen..oder glaubst du wirklich das niemand eine normale Frage dazu im Forum gestellt hat?

[Voyager]

Tony Weiss hat selber gesagt er bedauert das das einige rechtmässige Beiträge zwischen den Chaoten mit unter die Räder gekommen sind , auf der anderen Seite rechtfertigt ein "Mißverständnis" aber noch lange keine Spamattacken und vorallem immer diesselben dummen Spyware und Spionage Vorwürfe der Leute die meinen Sie wären die User mit den rechtmässig gelöschten Beiträgen gewesen. Die Moderatoren werden hier beim Löschen der "ersten" PIFTS Meldungen schon die richtigen miterwischt haben so wie es im Nachhinein aussieht , es gibt dort auch Leser mit mehr als 1-5 Postings die auch bestätigen das die ersten Postings nicht koscher waren zb.

1. The original thread was started by a spammer
2. I received a PM that was from a user account that had a spamming email address
3. Even IF the spamming occured due to the thread being deleted, it still does not give a person or people the right to spam, that is unruly and against the guidelines. Especially the ones that appeared that were unsavoury, just not nice at all.

Selbst Winfuture sagt die ersten Postings waren nicht koscher http://winfuture.de/news,45792.html

Der Beitrag wurde von Voyager bearbeitet: 11.03.2009, 13:54

[Voyager]

Ich denke es wurde mittlerweile alles über das Thema offen gelegt , die Irritationen und Vermutungen über die PIFTS haben sich als haltlos und harmlos herausgestellt.

http://www.bleepingcomputer.com/forums/ind...p;#entry1173203 (engl)
http://translate.google.de/translate?prev=...history_state0= (deu)
Man achte auf die Ausführungen von Grinler.

http://community.norton.com/norton/board/m...id=39665#M39665
auch hier wurde viel Aufklärungsarbeit gegen die böswilligen Vermutungen im Netz geleistet.

Hier wurde nochmal deutlich gemacht das die ersten Meldungen einen Spamcharacter hatten.
http://community.norton.com/norton/board/m...id=39694#M39694

Nochmehr wäre Perlen vor die S.äue weil den Spammern ist das sowieso egal was die PIFTS macht.