Ein Patch für die Lücke steht seitens Microsoft bislang aus. Der Trojaner, der sich über eine Lücke in der Absicherung der Hilfefunktion Zutritt zur lokalen Zone verschafft, kann zwar über die aktuellen Signaturen der Antivirenexperten entdeckt werden. Schutz vor einer weiteren Infektion oder einer Abart von Phel.A bietet dies allerdings nicht.
Exploits für die Lücke gibt es schon seit geraumer Zeit. Nun scheint ein Virenschreiber dies ausgenutzt zu haben. Wenn auch derzeit noch mit mäßigem Erfolg; Antiviren-Experte Symantec gibt die Verbreitung von Phel.A mit "Low an.
Wird eine HTML-Datei mit dem Trojaner geöffnet, werden zwei Fenster des Internet Explorer angezeigt. Laut Symantec kann es dann zu einer Fehlermeldung kommen, die die Ausführung des Codes stoppt. Bei erfolgreichem Angriff lädt der Trojaner Dateien nach und installiert sie in diverse Ordner unter My.hta im Verzeichnis C:/Dokumente und Einstellungen/All Users&. Die Pfade für diese Ordner sind im Code des Schädlings fest vorgegeben. Durch einen Eintrag im Autostart-Verzeichnis sorgt "Phel" für einen automatischen Start mit Windows. Zudem versucht der Schädling den Backdoor-Trojaner "Backdoor.Coreflood" nachzuladen und auszuführen.
Symantec hat ausführliche Anleitung zur Säuberung des Systems veröffentlicht.
Quelle: www.pcwelt.de
Zuletzt bearbeitet von (Giuliano) am 06.01.2005 17:55
cU L8tEr aLiGaToR
mFg, Giuliano.
mFg, Giuliano.
06.01.2005 03:37