Kardphisher wird erst beim Neustart eines befallenen Systems aktiv: Er fordert den Anwender auf, sein Betriebssystem zu aktivieren. Betroffen sind nach Angaben von Symantec alle Windows-Betriebssysteme von Windows 95 an bis einschließlich Windows XP, während Vista in der Liste der gefährdeten Betriebssysteme fehlt.
Nicht nur beim aktivierungspflichtigen XP, sondern auch bei den anderen betroffenen Systemen verlangt Kardphisher im Zuge der Aktivierung die Kreditkarten-Daten des Anwenders. Verweigert der die Angabe, wird sein System sofort herunter gefahren.
Symantec empfiehlt einen Neustart im abgesicherten Modus und das Löschen der Registry-Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soft2
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Aktuelle Virenschutzsoftware erkennt und entfernt den Trojaner selbständig.
