Exchanger.JT est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un courrier électronique
sans fichier joint ayant l'apparence d'un top 10 des histoires et
vidéos les plus vues de la chaîne CNN, intitulé
"CNN.com Daily Top 10". Dans une seconde
série de variantes le titre est "CNN
Alerts: My Custom Alert".
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Exchanger.JT
et ses variantes.
|
|
TYPE :
Cheval de Troie
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
I-Worm/Nuwar.V (AVG)
Trojan.Downloader.Exchanger.W (BitDefender)
Trojan.DownLoad.3248 (DrWeb)
Win32/Collet!generic (eTrust)
W32/Tibs.BF!worm (Fortinet)
Trojan-Downloader.Win32.Exchanger.jt (F-Secure)
Trojan-Downloader.Win32.Exchanger.jt (Kaspersky)
BackDoor-DNM (McAfee)
TrojanDownloader:Win32/Agent.IP (Microsoft)
Win32/Agent.ETH (NOD32)
Bck/Agent.JOO (Panda)
Mal/EncPk-DA (Sophos)
Infostealer (Symantec)
TAILLE :
77 Ko
DECOUVERTE :
04/08/2008
DESCRIPTION DETAILLEE :
Exchanger.JT est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver par courrier électronique car son auteur utilise
la technique du spamming
pour le diffuser. L'expéditeur du message est une adresse
électronique usurpée ou générée
automatiquement. Le titre du message est "CNN.com Daily Top
10".
Le corps du message est au format HTML. Il tente de se faire passer
pour une sélection quotidienne des dix histoires et vidéos
les plus vues de la chaîne de télévision américaine
CNN, invitant le destinataire à cliquer sur les des liens
hypertextes qu'il contient pour les visualiser. Quelques exemples
de message :

" Russian stocks take hit as govt. looks
to nationalize steel, oil companies. 2. Corrupt China official
betrayed by leaky toilet 3. Attackers kill 16 police at Chinese
border post 4. China Rising: Will It Overtake the U.S.? 5. Rig
dumps tons of dirt when nature calls driver 6. FBI reveal sealed
docs describing anthrax attack details 7. Michael Jackson is
sued by his own dog 8. Bill Clinton Regrets, 'I Am Not a Racist'
9. Will nearly all Americans be obese by 2030? Diet experts
have their say. 10. Christina Applegate treated for breast cancer
Funnies: Celebrity Candidates? 2. 8-Foot Python Becomes Laundry
3. FBI reveal sealed docs describing anthrax attack details
4. Ancestor of T-Rex dinosaur unearthed in Poland 5. Doping
scandal rush out before the opening 6. Bikers down to bare basics
for eco demonstration 7. "Brangelina" babies finally unveiled
on Web 8. Harried family forgets 3-year-old daughter at airport.
9. Cops May Close Anthrax Probe Today 10. Find you friend online
for free Cable News Network LP, LLLP. One CNN Center, Atlanta,
Georgia 30303 © 2008 Cable News Network LP, LLLP. A Time Warner
Company. All Rights Reserved. Terms under which this service
is provided to you. Read our privacy guidelines. Contact us.
You have agreed to receive this email from CNN.com as a result
of your CNN.com preference settings. To manage your settings
click here. To unsubscribe from the Daily Top 10, click here.
" |

" Maine island loses trash can mail delivery
service 2. Christina Applegate treated for breast cancer 3.
Drunken Man Can't Erase Arrest 4. 16 Police Die in Pre-Olympic
Attack 5. Olympics-Wear ox pendant to avoid rat clashes, leaders
6. Don't streak, get drunk or sleep outside at Olympics 7. Find
you friend online for free 8. Guinea Pigs Get Dressed ... and
Eaten 9. Facebook Grows, but Where's the Profit? 10. Woman Survives
Bear Attack Tropical Storm Edouard moving toward Texas coast
2. China Rising: Will It Overtake the U.S.? 3. In the first
surgery of its kind, a German farmer gets a new pair of arms.
4. "Brangelina" babies finally unveiled on Web 5. Vet Aids Endangered
Shark 6. Man presumed dead in 1976 Colo. flood found alive 7.
Boys bounce for 24 hours in world record attempt 8. Cops May
Close Anthrax Probe Today 9. Half-scale replica of German tank
built for paintball competition. 10. Ernest Hemingway look-alikes
hit Key West's streets to honor the author. Cable News Network
LP, LLLP. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable
News Network LP, LLLP. A Time Warner Company. All Rights Reserved.
Terms under which this service is provided to you. Read our
privacy guidelines. Contact us. You have agreed to receive this
email from CNN.com as a result of your CNN.com preference settings.
To manage your settings click here. " |

" Maine island loses trash can mail delivery
service 2. Christina Applegate treated for breast cancer 3.
Drunken Man Can't Erase Arrest 4. 16 Police Die in Pre-Olympic
Attack 5. Olympics-Wear ox pendant to avoid rat clashes, leaders
6. Don't streak, get drunk or sleep outside at Olympics 7. Find
you friend online for free 8. Guinea Pigs Get Dressed ... and
Eaten 9. Facebook Grows, but Where's the Profit? 10. Woman Survives
Bear Attack Tropical Storm Edouard moving toward Texas coast
2. China Rising: Will It Overtake the U.S.? 3. In the first
surgery of its kind, a German farmer gets a new pair of arms.
4. "Brangelina" babies finally unveiled on Web 5. Vet Aids Endangered
Shark 6. Man presumed dead in 1976 Colo. flood found alive 7.
Boys bounce for 24 hours in world record attempt 8. Cops May
Close Anthrax Probe Today 9. Half-scale replica of German tank
built for paintball competition. 10. Ernest Hemingway look-alikes
hit Key West's streets to honor the author. Cable News Network
LP, LLLP. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable
News Network LP, LLLP. A Time Warner Company. All Rights Reserved.
Terms under which this service is provided to you. Read our
privacy guidelines. Contact us. You have agreed to receive this
email from CNN.com as a result of your CNN.com preference settings.
To manage your settings click here. " |
Si l'internaute clique sur le lien, il est dirigé vers
une page intitulée "Watch Free Movie - Update Every
Hour!" simulant un problème d'affichage et invitant
l'utilisateur à télécharger un fichier get_flash_update.exe,
censé être une mise à jour du lecteur Adobe
Flash, afin de pouvoir accéder au contenu souhaité
:

Il ne faut pas cliquer sur les liens ni ouvrir le fichier get_flash_update.exe,
car il s'agit en réalité d'un cheval de Troie. Si
ce fichier est exécuté, le troyen s'installe sur le
disque dur, ouvre une porte dérobée permettant la
prise de contrôle à distance de l'ordinateur infecté
par une personne malveillante, puis espionne les frappes au clavier
pour tenter de dérober les identifiants d'accès aux
sites sécurisés et aux services en ligne tels que
les banques.
05/08/08
: diffusion d'une nouvelle variante du troyen (77 Ko) selon un scénario
similaire, la page web vers laquelle les messages tentent de rediriger
l'internaute ayant une nouvelle apparence. Intitulée "Video
- Breaking News Videos from CNN.com", elle propose également
d'installer une fausse mise à jour get_flash_update.exe (cheval
de Troie) :

Cette variante est identifiée sous les noms TR/Dldr.Exchanger.KE
(Antivir), I-Worm/Nuwar.V (AVG), Trojan.DownLoad.3248 (DrWeb), Win32/Collet!generic
(eTrust), Trojan-Downloader.Win32.Exchanger.ke (Kaspersky), Trojan:Win32/Tibs.gen!K
(Microsoft), Mal/EncPk-DA (Sophos), Backdoor.Trojan (Symantec).
06/08/08
: diffusion d'une nouvelle variante du troyen (77 Ko) selon un scénario
identique. Elle est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2
(BitDefender), Trojan.Packed.595 (DrWeb), Trojan-Downloader.Win32.Exchanger.kt
(F-Secure), Trojan-Downloader.Win32.Exchanger.kt (Kaspersky), Mal/EncPk-DA
(Sophos), Downloader (Symantec).
07/08/08
: diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon
un scénario similaire, le nom de la fausse mise à
jour étant désormais adobe_flash.exe. Cette variante
est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir),
I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender),
Trojan.Packed.595 (DrWeb), Trojan-Downloader.Win32.Exchanger.la
(Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), W32/DLoader.IUGJ
(Norman), W32/Nuwar.XW.worm (Panda), Mal/EncPk-DA (Sophos), Downloader
(Symantec), TROJ_NUWAR.GFZ (Trend Micro).
08/08/08
: diffusion de la même variante du cheval de Troie (77 Ko)
mais via un nouveau courrier électronique. Le titre du message
est "CNN Alerts: My Custom Alert", l'expéditeur
"CNN Alerts" et l'information présentée
variable :

"Alert Name: My Custom Alert NASDAQ crashes
28% overnight Fri, 8 Aug 2008 10:38:06 +0300 FULL STORY --------------------------------------------------------------------------------
You have agreed to receive this email from CNN.com as a result
of your CNN.com preference settings. To manage your settings
click here. To alter your alert criteria or frequency or to
unsubscribe from receiving custom email alerts, click here.
--------------------------------------------------------------------------------
Cable News Network. One CNN Center, Atlanta, Georgia 30303 ©
2008 Cable News Network. A Time Warner Company All Rights Reserved.
View our privacy policy and terms. " |

"Alert Name: My Custom Alert General Motors
bought over by Mercedes Fri, 8 Aug 2008 16:09:00 +0800 FULL
STORY --------------------------------------------------------------------------------
You have agreed to receive this email from CNN.com as a result
of your CNN.com preference settings. To manage your settings
click here. To alter your alert criteria or frequency or to
unsubscribe from receiving custom email alerts, click here.
--------------------------------------------------------------------------------
Cable News Network. One CNN Center, Atlanta, Georgia 30303 ©
2008 Cable News Network. A Time Warner Company All Rights Reserved.
View our privacy policy and terms. " |

"Alert Name: My Custom Alert Dirty secrest
of Obama finally found and revealed to all. Fri, 8 Aug 2008
12:16:29 +0200 FULL STORY --------------------------------------------------------------------------------
You have agreed to receive this email from CNN.com as a result
of your CNN.com preference settings. To manage your settings
click here. To alter your alert criteria or frequency or to
unsubscribe from receiving custom email alerts, click here.
--------------------------------------------------------------------------------
Cable News Network. One CNN Center, Atlanta, Georgia 30303 ©
2008 Cable News Network. A Time Warner Company All Rights Reserved.
View our privacy policy and terms. " |
Le premier lien hypertexte renvoie véritablement vers le
site de la chaîne CNN, alors que le lien "FULL STORY"
renvoie vers une page web piégée proposant d'installer
une fausse mise à jour du logiciel Adobe Flash Player.
09/08/08
: diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon
un scénario similaire, le titre de la nouvelle et le lien
"FULL STORY" conduisant désormais tous les deux
à la page proposant d'installer une fausse mise à
jour Flash Player. Cette variante est identifiée sous les
noms TR/Crypt.XPACK.Gen (Antivir), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2
(BitDefender), Trojan.DownLoad.3248 (DrWeb), Trojan-Downloader.Win32.Exchanger.lj
(Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA (Sophos).
10/08/08
: diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon
un scénario identique. Cette variante est identifiée
sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Trojan-gen (Avast),
I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender),
Trojan.DownLoad.3248 (DrWeb), Trojan-Downloader.Win32.Exchanger.ly
(Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Win32/Agent.ETH
(NOD32), Mal/EncPk-DA (Sophos).
12/08/08
: diffusion d'une nouvelle variante du troyen (73 Ko) selon un scénario
similaire. La page web vers laquelle les courriers électroniques
malicieux tentent de rediriger l'internaute propose toujours d'installer
une fausse mise à jour adobe_flash.exe (cheval de Troie)
mais comporte désormais un bouton "Close the page"
:

Si l'utilisateur clique sur ce bouton, une nouvelle fenêtre
intitulée "Antivirus XP 2008" s'ouvre, affiche
de faux résultats d'analyse indiquant que l'ordinateur est
infecté, puis invite à télécharger un
fichier scaner.exe pour y remédier :


Il ne faut pas télécharger la mise à jour
Flash Player proposée ni installer le logiciel Antivirus
XP 2008 concerné, car ces fichiers sont en réalité
un seul et même cheval de Troie. Cette variante est identifiée
sous les noms TR/Dldr.Exchanger.KE (Antivir), Win32/Heur (AVG),
Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.DownLoad.3248
(DrWeb), Win32/Collet.DN (eTrust), Trojan-Downloader.Win32.Exchanger.mf
(F-Secure / Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA
(Sophos), Downloader (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|