10074

Phel.A: Trojaner befällt Windows XP mit SP2

03.01.2005 | 12:02 Uhr |

Der Trojaner Phel.A versucht über eine bekannte Lücke im Internet Explorer einzudringen.

Der Trojaner Phel.A versucht nach Erkenntnissen der Antivirenspezialisten über eine bekannte Lücke im Internet Explorer einzudringen. Phel.A steckt in einer HTML-Seite und kann Systeme mit Windows XP Service Pack 2 befallen, berichtet unsere Schwesterpublikation Tecchannel .

Ein Patch für die Lücke steht seitens Microsoft bislang aus. Der Trojaner, der sich über eine Lücke in der Absicherung der Hilfefunktion Zutritt zur lokalen Zone verschafft, kann zwar über die aktuellen Signaturen der Antivirenexperten entdeckt werden. Schutz vor einer weiteren Infektion oder einer Abart von Phel.A bietet dies allerdings nicht.

Exploits für die Lücke gibt es schon seit geraumer Zeit. Nun scheint ein Virenschreiber dies ausgenutzt zu haben. Wenn auch derzeit noch mit mäßigem Erfolg; Antiviren-Experte Symantec gibt die Verbreitung von Phel.A mit "Low“ an.

Wird eine HTML-Datei mit dem Trojaner geöffnet, werden zwei Fenster des Internet Explorer angezeigt. Laut Symantec kann es dann zu einer Fehlermeldung kommen, die die Ausführung des Codes stoppt. Bei erfolgreichem Angriff lädt der Trojaner Dateien nach und installiert sie in diverse Ordner unter „My.hta“ im Verzeichnis „C:/Dokumente und Einstellungen/All Users…“. Die Pfade für diese Ordner sind im Code des Schädlings fest vorgegeben. Durch einen Eintrag im Autostart-Verzeichnis sorgt "Phel" für einen automatischen Start mit Windows. Zudem versucht der Schädling den Backdoor-Trojaner "Backdoor.Coreflood" nachzuladen und auszuführen.

Symantec hat ausführliche Anleitungen zur Säuberung des Systems veröffentlicht.

0 Kommentare zu diesem Artikel
10074