A problémák közép-európai idő szerint hétfő éjjel-kedd hajnalban kezdődtek, amikor a Norton Internet Security és a Norton Antivirus 2006 és 2007 szoftverek felhasználói a tűzfaltól érkező üzenetekre lettek figyelmesek: a védelmi szoftver engedélyt kért egy pifts.exe nevű állomány számára, hogy az internetre csatlakozhasson. A Symantec tájékoztatása szerint ugyanis emberi mulasztás miatt programjuk egy frissítés keretében a cég digitális aláírása nélkül került forgalomba, így a tűzfal nem ismerte fel a rutint, amikor az megpróbált kapcsolatba lépni a szerverekkel.
Röviddel a patch érkezése után a Symantec arra lett figyelmes, hogy a támogatói fórumát elözönlötték a pifts.exe tárgyú üres hozzászólások, estére már mintegy 600 darabot regisztráltak. A cég persze elkezdte törölgetni az üzeneteket, mivel úgy vélték, azok csupán spamek. Nem sokkal később a SANS Internet Storm Center nevű közösség kiszúrta a pifts.exe-üggyel kapcsolatos problémákat, illetőleg azt is, hogy a vállalat fórumáról folyamatosan tűnnek el az ilyen tárgyú hozzászólások – ez persze táptalajt biztosított a különféle összeesküvés-elméleteknek. A felhasználók elkezdtek aggódni a misztikus pifts.exe-jelenség miatt, és nem tudva, mi történik a Nortonnal, nekiálltak megoldás után kutatni – a rosszindulatú hackerek legnagyobb örömére.
A kiberbűnözők ugyanis előre gondolkodtak: alig telt el pár óra, és a Google találati listájában előkelő helyet foglaltak el a vírusokkal teli pifts.exe-s kamu weblapok: egyes szakértői adatok szerint ötből három találat egy fertőzött oldalra irányította az áldozatokat, amely szokás szerint vírusvédelmi szoftvernek álcázott kártékony férget próbált meg telepíteni a felhasználó számítógépre. A Symantec határozottan arra figyelmezteti felhasználóit, hogy a zavaros helyzetet több kiberbűnöző is megpróbálja kihasználni, így mindenki alaposan figyeljen oda, milyen oldalakra téved hivatkozásokat követve.
A pifts.exe (Product Information Framework Troubleshooter) egyébként egy olyan diagnosztikai program, amely adatokat gyűjt a telepített operációs rendszerről és a Symantec termékének verziószámáról. Az aláírás nélküli patch természetesen semmiféle biztonsági kockázatot nem jelentett, nyugtatta meg vásárlóit a cég.
