http://isc.sans.org/diary.html?storyid=5992

Ja wie geil ist das denn? ;D

Kurzfassung:
Die Datei pifts.exe ruft zu Hause bei stats.norton.com an, wurde dabei aber erwischt, Threads die im Symantec-Forum nach der Datei fragen werden sofort gelöscht, obwohl die Datei offiziell nur Teil des Auto-Updates sein soll.

Das Verhalten von Symantec ist schon ziemlich mysteriös, versteckt sich hinter der Exe doch ein Datensammler, der weit mehr einsammelt als er sollte?

Wird wohl für statistische Daten zuständig sein, und das ist nicht wirklich aufregend.
Es gibt bessere Gründe, einen Bogen um Norton zu machen. ;)

http://community.norton.com/norton/board/message?board.id=nis_feedback&thread.id=39119

http://community.norton.com/norton/board/message?board.id=nis_feedback&thread.id=39123

There has been activity in the Norton User Forum related to PIFTS.exe which has generated additional concern and media speculation. At approximately 10:30pmET Monday March 9, Symantec detected that our User Forum boards were being abused by an individual or individuals. One individual created a new user account and posted about the name of the patch executable, PIFTS.exe. Within minutes, several dozen user accounts were created commenting on the initial thread, and/or creating new threads on the topic. Over the next few hours, over 200 user accounts were created. Within the first hour there were 600 new posts on this subject alone. While the intent of the spammer(s) remains unclear, there were no malicious links and it simply resulted in a widespread communications challenge for Symantec. Below are some examples of the forum spam we received from these new user accounts. These forum posts contained no text in the body of the message, simply a subject:



* O LAWD IM CHOKIN ON PIFTS PLZ HALP
* OH GOD YOU GOT CHOCOLATE IN MY PIFTS
* If you wanna be my NORTON/ you gotta deal with my P ! F T S . E X E
* IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE?
* PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE
* I LOVE MY PIFTS.EXE


Symantec strictly adheres to its Norton Community Terms of Service and does not delete postings unless they are in violation of these guidelines. Upon determining that our User Forums were being abused, Symantec began removing the spam posts.

Die Aktion war ein 4chan-Raid, jedoch kam dieser erst _nach_ den ersten Löschungen zum Thema PIFTS.EXE, durch diese wurden sie erst auf das Norton-Forum aufmerksam.

Schön das die Medien mal wieder vollkommen abdrehen und das wichtigste nicht einmal erwähnen:

Am Montag lieferte Symantec kurze Zeit via LiveUpdate als Patch den Product Information Framework Troubleshooter (PIFTS) aus. Das Tool sollte laut Symantec bestimmte Informationen zur installierten Produkt- und Betriebssystemversion sammeln und anonym zurückmelden, damit man einem Problem auf die Spur kommen könne.
http://www.heise.de/security/news/meldung/134358

WARUM muss Norton ÜBERHAUPT irgendwelche Benutzerdaten SAMMELN? Lässt sich das abschalten? Wurden die Kunden rechtzeitig darüber informiert? Wie kann der Kunde prüfen, ob die tatsächlich anonym sind?
Offizielles schnüffeln ist jetzt nichtmal mehr eine News wert oder was?

Hätte man die Nutzer nach Zustimmung gefragt, würde ich die Erhebung der Softwareaktualität auf dem entsprechenden System als durchaus interessant bezeichnen. Ohne das Wissen der Anwender ist sowas aber nicht in Ordnung. Man hätte ja keine große Sache draus machen müssen, einfach bei einem der nächsten unzähligen dämlichen Popups, die eine PFW so mit sich bringt, einfach fragen, ob der Nutzer an einer statistischen Erhebung mitnehmen möchte mit einem Link zu Detailinfos.