Abonneer je gratis op Techzine!

Afgelopen maandag ontstond er veel ophef over het bestand pifts.exe, dat op de computer van sommige gebruikers van Symantec-producten ineens toegang wilde tot het internet. Omdat Symantec niet direct wilde reageren op meldingen van gebruikers ontstonden er diverse complottheorieën, maar die kunnen nu allemaal in de prullenbak, want Symantec is met een verklaring gekomen.

Eerder deze week kregen sommige Symantec-gebruikers na een update van hun anti-virussoftware een melding van hun firewall dat het bestand PIFTS.exe toegang zocht tot het internet. Een groot aantal mensen vroeg Symantec vervolgens om een verklaring op het ondersteuningsforum van Norton, een product van Symantec. Deze topics werden echter verwijderd door de forumbeheerders, waardoor er al gauw diverse complottheorieën opdoken. Zo werd er onder andere gesuggereerd dat het bestand een rootkit zou zijn van de FBI.

Gisteren kwam Symantec echter met een verklaring voor de problemen. Volgens Symantec is het bestand PIFTS.exe een diagnostische patch voor gebruikers van Internet Security en Norton Antivirus 2006 en 2007. Deze patch werd echter door een menselijke fout uitgebracht zonder dat deze ‘gesigneerd’ was door Symantec, waardoor de firewalls het bestand oppikten. Volgens Symantec kwam het bestand slechts bij een paar gebruikers aan en is de distributie van het bestand direct weer stopgezet.

Het kwaad was echter toen al geschied en diverse gebruikers vonden hun weg naar het Norton-forum van Symantec en al snel waren er 600 nieuwe posts over het onderwerp. Daaronder waren echter ook diverse spammers die topics aanmaakten die slechts bestonden uit een schreeuwerig onderwerp. Symantec besloot daarop om de topics te verwijderen conform de postrichtlijnen van het forum. In diverse media werd vervolgens gemeld dat crackers diverse schadelijke websites aan het opzetten waren over het onderwerp en gebruikers probeerden te lokken.

Verder kwam Symantec ook nog met een wat meer technische uitleg over het bestand. Norton-software bevat namelijk een component genaamd Product Information Framework (PIF) en een feature, genaamd LiveUpdate Notice (LUN). Met LUN kan Symantec zijn gebruikers middels een berichtje op de desktop laten weten dat er een nieuwe versie van hun product beschikbaar is. Deze melding wordt afgestemd op het besturingssysteem, de versie van het Symantec-product en de status van het product. Deze status wordt bepaald door de PF-component.

In de producten die in en na 2008 zijn uitgekomen is LUN volledig ingebouwd, maar voor de 2006- en 2007-producten van Symantec is dit een losstaand component, LUN kwam namelijk later uit en werd door Symantec via een update toegevoegd aan deze producten. Het bleek echter dat deze PIF-update niet bij iedereen even goed uitgevoerd werd, waardoor gebruikers niet de juiste LUN-meldingen kregen. Symantec stelde daarom een onderzoek in en om te bepalen wat het probleem precies is ontwikkelde het bedrijf een diagnostisch .exe-bestand dat kijkt naar de status van het Symantec-product en hierover rapporteert aan Symantec. Op die manier wil Symantec de problemen met PIF oplossen voor de release van Windows 7.

Helaas kwam dit bestand dus ‘ongesigneerd’ bij sommige gebruikers terecht, waardoor het leek alsof het om een rootkit ging. Om gebruikers inzicht te geven in wat het bestand doet heeft Symantec in een forumpost laten weten wat de stappen zijn die PIFTS.exe doorloopt.