Voor een beruchte exploit-toolkit maakt het niet uit welke Windows versie slachtoffers gebruiken, zolang de Java, Flash, Adobe en IE-versies maar verouderd zijn. Beveiligingsbedrijf M86 Security bekeek de nieuwste versie van de Phoenix Exploit-kit. Versie 1.0 verscheen vorig jaar al, maar de recent verschenen versie 2.0 beschikt over nieuwe features, exploits en obfuscatie-techniek.

De meeste exploits die Phoenix gebruikt voor het infecteren van systemen zijn voornamelijk voor oude beveiligingslekken in Adobe Flash, Adobe Reader, Internet Explorer en Java. Voor Internet Explorer gebruiken de criminelen onder andere het bekende MDAC-lek uit 2006, maar ook het recente iepeers-lek van dit jaar. Toch is Adobe Reader met vijf exploits het populairst.

Net als andere exploit-kits beschikt Phoenix 2.0 over statistieken van besmette computers. Van de 2.000 besmette computers die de door M86 Security onderzochte toolkit bestuurde, ging het om 957 Vista-machines en 807 XP-machines. "Het geïnfecteerde Vista lijkt net zo kwetsbaar als XP", aldus onderzoeker Daniel Chechik.

Encryptie
De toolkit biedt gebruikers ook de mogelijkheid om zich op het “Phoenix Triple System” te abonneren. Een betaalde dienst die ervoor zorgt dat als een anti-virusbedrijf een exploit herkent, deze opnieuw wordt versleuteld. Verder hebben de auteurs ook nog plannen voor de toekomst.

De volgende versie integreert de heap spray exploit voor Flash 10 direct in het SWF-bestand, wat de betrouwbaarheid van een exploit vergroot, zo is in de meegeleverde documentatie te lezen. "Dit bevestigt de recente trend dat aanvallen niet langer tot de browser beperkt zijn, maar steeds meer aanvallen PDF, Java en Flash-bestanden integreren", aldus Chechik.