Phel.A est un troyen qui se présente
sous la forme d'une page web piégée. Si ce fichier
est ouvert avec une version vulnérable du navigateur
Internet Explorer, le troyen exploite une faille non corrigée
pour tenter de télécharger et d'exécuter
divers programmes depuis des sites web distants, autorisant
la prise de contrôle de l'ordinateur infecté par
un individu malveillant.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur navigateur via le site
de Microsoft ou le service WindowsUpdate
(en français) afin de corriger la faille exploitée
par le cheval de Troie pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le troyen.
Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le troyen.
|
TYPE :
Téléchargeur de fichiers (downloader trojan)
SYSTEME(S) CONCERNE(S) :
Windows XP
ALIAS :
Exploit-HelpZonePass (Mc Afee)
Trojan.Phel.A (Symantec)
TAILLE :
variable
DECOUVERTE :
27/12/2004
DESCRIPTION DETAILLEE :
Phel.A est un troyen, c'est-à-dire un programme hostile
incapable de se multiplier et de se propager par lui-même,
contrairement aux virus.
Il se présente sous la forme d'un fichier HTML, reçu
en pièce jointe d'un courriel où que l'internaute
est incité à visiter en cliquant sur un lien
hypertexte douteux. Si ce fichier est ouvert dans une version
vulnérable d'Internet Explorer, le troyen exploite
une faille non corrigée pour tenter de télécharger
et d'exécuter plusieurs autres programmes malveillants
dont Backdoor.Coreflood (troyen commandé par IRC qui
autorise la prise de contrôle à distance de l'ordinateur
infecté par un individu malveillant et notamment le
lancement d'attaques DoS contre des sites Internet).
L'ouverture de la page web piégée provoque
l'ouverture de deux autres pages ainsi parfois qu'un message
d'erreur, faisant alors échouer l'infection. Le troyen
crée un fichier My.hta dans le dossier Démarrage
du Menu Démarrer afin qu'il soit exécuté
à chaque connexion de l'utilisateur. Les sites distants
utilisés (searchproject.net et down.spainglobaling.com)
semblent avoir été fermés, rendant le
troyen inoffensif faute de pouvoir installer les programmes
malveillants, mais d'éventuelles variantes pourraient
utiliser d'autres sources.
Cette fiche a été publiée à titre d'information, en raison
d'une importante médiatisation du troyen et non en raison
d'une diffusion importante.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|