Phel.A: Trojaner befällt Windows XP mit SP2

Der Trojaner Phel.A versucht nach Erkenntnissen der Antivirenspezialisten über eine bekannte Lücke im Internet Explorer einzudringen. Phel.A steckt laut Symantec in einer HTML-Seite und kann Systeme mit Windows XP Service Pack 2 befallen.

Ein Patch für die Lücke steht seitens Microsoft bislang aus. Der Trojaner, der sich über eine Lücke in der Absicherung der Hilfefunktion Zutritt zur lokalen Zone verschafft, kann zwar über die aktuellen Signaturen der Antivirenexperten entdeckt werden. Schutz vor einer weiteren Infektion oder einer Abart von Phel.A bietet dies allerdings nicht. Exploits für die Lücke gibt es schon seit geraumer Zeit. Nun scheint ein Virenschreiber dies ausgenutzt zu haben. Wenn auch derzeit noch mit mäßigem Erfolg, Antivirenexperte Symantec gibt die Verbreitung von Phel.A mit "Low" an.

Wird eine HTML-Datei mit dem Trojaner geöffnet, erscheinen zwei Fenster des Internet Explorers. Laut Symantec kann es dann zu einer Fehlermeldung kommen, die das Ausführen des Codes stoppt. Bei erfolgreichem Angriff lädt der Trojaner Dateien nach und installiert sie in diverse Ordner unter "My.hta" im Verzeichnis "C:/Dokumente und Einstellungen/All Users…". Die Pfade für diese Ordner sind im Code des Schädlings fest vorgegeben. Durch einen Eintrag im Autostart-Verzeichnis sorgt "Phel" für einen automatischen Start mit Windows. Zudem versucht der Schädling, den Backdoor-Trojaner "Backdoor.Coreflood" nachzuladen und auszuführen. Symantec hat ausführliche Anleitungen zur Säuberung des Systems veröffentlicht. (uba)

Das tecCHANNEL-Compact "PC, Netz & WLAN professionell absichern" das Sie online für 9,90 Euro bestellen können, widmet sich explizit dem Thema Client-Security und erläutert, wie man das Angriffsrisiko und die möglichen Folgen minimieren kann.