Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Troyen
Exchanger.JT

Exchanger.JT est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint ayant l'apparence d'un top 10 des histoires et vidéos les plus vues de la chaîne CNN, intitulé "CNN.com Daily Top 10". Dans une seconde série de variantes le titre est "CNN Alerts: My Custom Alert".
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Il ne faut pas cliquer sur un lien contenu dans un message douteux sans avoir clairement identifié son expéditeur puis lui avoir fait le cas échéant confirmer l'envoi du message. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier d'origine douteuse.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Exchanger.JT et ses variantes.


TYPE :
Cheval de Troie

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
I-Worm/Nuwar.V (AVG)
Trojan.Downloader.Exchanger.W (BitDefender)
Trojan.DownLoad.3248 (DrWeb)
Win32/Collet!generic (eTrust)
W32/Tibs.BF!worm (Fortinet)
Trojan-Downloader.Win32.Exchanger.jt (F-Secure)
Trojan-Downloader.Win32.Exchanger.jt (Kaspersky)
BackDoor-DNM (McAfee)
TrojanDownloader:Win32/Agent.IP (Microsoft)
Win32/Agent.ETH (NOD32)
Bck/Agent.JOO (Panda)
Mal/EncPk-DA (Sophos)
Infostealer (Symantec)

TAILLE :
77 Ko

DECOUVERTE :
04/08/2008

DESCRIPTION DETAILLEE :
Exchanger.JT est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Le titre du message est "CNN.com Daily Top 10".

Le corps du message est au format HTML. Il tente de se faire passer pour une sélection quotidienne des dix histoires et vidéos les plus vues de la chaîne de télévision américaine CNN, invitant le destinataire à cliquer sur les des liens hypertextes qu'il contient pour les visualiser. Quelques exemples de message :

" Russian stocks take hit as govt. looks to nationalize steel, oil companies. 2. Corrupt China official betrayed by leaky toilet 3. Attackers kill 16 police at Chinese border post 4. China Rising: Will It Overtake the U.S.? 5. Rig dumps tons of dirt when nature calls driver 6. FBI reveal sealed docs describing anthrax attack details 7. Michael Jackson is sued by his own dog 8. Bill Clinton Regrets, 'I Am Not a Racist' 9. Will nearly all Americans be obese by 2030? Diet experts have their say. 10. Christina Applegate treated for breast cancer Funnies: Celebrity Candidates? 2. 8-Foot Python Becomes Laundry 3. FBI reveal sealed docs describing anthrax attack details 4. Ancestor of T-Rex dinosaur unearthed in Poland 5. Doping scandal rush out before the opening 6. Bikers down to bare basics for eco demonstration 7. "Brangelina" babies finally unveiled on Web 8. Harried family forgets 3-year-old daughter at airport. 9. Cops May Close Anthrax Probe Today 10. Find you friend online for free Cable News Network LP, LLLP. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network LP, LLLP. A Time Warner Company. All Rights Reserved. Terms under which this service is provided to you. Read our privacy guidelines. Contact us. You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. To unsubscribe from the Daily Top 10, click here. "

" Maine island loses trash can mail delivery service 2. Christina Applegate treated for breast cancer 3. Drunken Man Can't Erase Arrest 4. 16 Police Die in Pre-Olympic Attack 5. Olympics-Wear ox pendant to avoid rat clashes, leaders 6. Don't streak, get drunk or sleep outside at Olympics 7. Find you friend online for free 8. Guinea Pigs Get Dressed ... and Eaten 9. Facebook Grows, but Where's the Profit? 10. Woman Survives Bear Attack Tropical Storm Edouard moving toward Texas coast 2. China Rising: Will It Overtake the U.S.? 3. In the first surgery of its kind, a German farmer gets a new pair of arms. 4. "Brangelina" babies finally unveiled on Web 5. Vet Aids Endangered Shark 6. Man presumed dead in 1976 Colo. flood found alive 7. Boys bounce for 24 hours in world record attempt 8. Cops May Close Anthrax Probe Today 9. Half-scale replica of German tank built for paintball competition. 10. Ernest Hemingway look-alikes hit Key West's streets to honor the author. Cable News Network LP, LLLP. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network LP, LLLP. A Time Warner Company. All Rights Reserved. Terms under which this service is provided to you. Read our privacy guidelines. Contact us. You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. "

" Maine island loses trash can mail delivery service 2. Christina Applegate treated for breast cancer 3. Drunken Man Can't Erase Arrest 4. 16 Police Die in Pre-Olympic Attack 5. Olympics-Wear ox pendant to avoid rat clashes, leaders 6. Don't streak, get drunk or sleep outside at Olympics 7. Find you friend online for free 8. Guinea Pigs Get Dressed ... and Eaten 9. Facebook Grows, but Where's the Profit? 10. Woman Survives Bear Attack Tropical Storm Edouard moving toward Texas coast 2. China Rising: Will It Overtake the U.S.? 3. In the first surgery of its kind, a German farmer gets a new pair of arms. 4. "Brangelina" babies finally unveiled on Web 5. Vet Aids Endangered Shark 6. Man presumed dead in 1976 Colo. flood found alive 7. Boys bounce for 24 hours in world record attempt 8. Cops May Close Anthrax Probe Today 9. Half-scale replica of German tank built for paintball competition. 10. Ernest Hemingway look-alikes hit Key West's streets to honor the author. Cable News Network LP, LLLP. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network LP, LLLP. A Time Warner Company. All Rights Reserved. Terms under which this service is provided to you. Read our privacy guidelines. Contact us. You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. "

Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Watch Free Movie - Update Every Hour!" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier get_flash_update.exe, censé être une mise à jour du lecteur Adobe Flash, afin de pouvoir accéder au contenu souhaité :

Il ne faut pas cliquer sur les liens ni ouvrir le fichier get_flash_update.exe, car il s'agit en réalité d'un cheval de Troie. Si ce fichier est exécuté, le troyen s'installe sur le disque dur, ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, puis espionne les frappes au clavier pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.

05/08/08 : diffusion d'une nouvelle variante du troyen (77 Ko) selon un scénario similaire, la page web vers laquelle les messages tentent de rediriger l'internaute ayant une nouvelle apparence. Intitulée "Video - Breaking News Videos from CNN.com", elle propose également d'installer une fausse mise à jour get_flash_update.exe (cheval de Troie) :

Cette variante est identifiée sous les noms TR/Dldr.Exchanger.KE (Antivir), I-Worm/Nuwar.V (AVG), Trojan.DownLoad.3248 (DrWeb), Win32/Collet!generic (eTrust), Trojan-Downloader.Win32.Exchanger.ke (Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA (Sophos), Backdoor.Trojan (Symantec).

06/08/08 : diffusion d'une nouvelle variante du troyen (77 Ko) selon un scénario identique. Elle est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.Packed.595 (DrWeb), Trojan-Downloader.Win32.Exchanger.kt (F-Secure), Trojan-Downloader.Win32.Exchanger.kt (Kaspersky), Mal/EncPk-DA (Sophos), Downloader (Symantec).

07/08/08 : diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon un scénario similaire, le nom de la fausse mise à jour étant désormais adobe_flash.exe. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.Packed.595 (DrWeb), Trojan-Downloader.Win32.Exchanger.la (Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), W32/DLoader.IUGJ (Norman), W32/Nuwar.XW.worm (Panda), Mal/EncPk-DA (Sophos), Downloader (Symantec), TROJ_NUWAR.GFZ (Trend Micro).

08/08/08 : diffusion de la même variante du cheval de Troie (77 Ko) mais via un nouveau courrier électronique. Le titre du message est "CNN Alerts: My Custom Alert", l'expéditeur "CNN Alerts" et l'information présentée variable :

"Alert Name: My Custom Alert NASDAQ crashes 28% overnight Fri, 8 Aug 2008 10:38:06 +0300 FULL STORY -------------------------------------------------------------------------------- You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. To alter your alert criteria or frequency or to unsubscribe from receiving custom email alerts, click here. -------------------------------------------------------------------------------- Cable News Network. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network. A Time Warner Company All Rights Reserved. View our privacy policy and terms. "

"Alert Name: My Custom Alert General Motors bought over by Mercedes Fri, 8 Aug 2008 16:09:00 +0800 FULL STORY -------------------------------------------------------------------------------- You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. To alter your alert criteria or frequency or to unsubscribe from receiving custom email alerts, click here. -------------------------------------------------------------------------------- Cable News Network. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network. A Time Warner Company All Rights Reserved. View our privacy policy and terms. "

"Alert Name: My Custom Alert Dirty secrest of Obama finally found and revealed to all. Fri, 8 Aug 2008 12:16:29 +0200 FULL STORY -------------------------------------------------------------------------------- You have agreed to receive this email from CNN.com as a result of your CNN.com preference settings. To manage your settings click here. To alter your alert criteria or frequency or to unsubscribe from receiving custom email alerts, click here. -------------------------------------------------------------------------------- Cable News Network. One CNN Center, Atlanta, Georgia 30303 © 2008 Cable News Network. A Time Warner Company All Rights Reserved. View our privacy policy and terms. "

Le premier lien hypertexte renvoie véritablement vers le site de la chaîne CNN, alors que le lien "FULL STORY" renvoie vers une page web piégée proposant d'installer une fausse mise à jour du logiciel Adobe Flash Player.

09/08/08 : diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon un scénario similaire, le titre de la nouvelle et le lien "FULL STORY" conduisant désormais tous les deux à la page proposant d'installer une fausse mise à jour Flash Player. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.DownLoad.3248 (DrWeb), Trojan-Downloader.Win32.Exchanger.lj (Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA (Sophos).

10/08/08 : diffusion d'une nouvelle variante du cheval de Troie (77 Ko) selon un scénario identique. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Trojan-gen (Avast), I-Worm/Nuwar.V (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.DownLoad.3248 (DrWeb), Trojan-Downloader.Win32.Exchanger.ly (Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Win32/Agent.ETH (NOD32), Mal/EncPk-DA (Sophos).

12/08/08 : diffusion d'une nouvelle variante du troyen (73 Ko) selon un scénario similaire. La page web vers laquelle les courriers électroniques malicieux tentent de rediriger l'internaute propose toujours d'installer une fausse mise à jour adobe_flash.exe (cheval de Troie) mais comporte désormais un bouton "Close the page" :

Si l'utilisateur clique sur ce bouton, une nouvelle fenêtre intitulée "Antivirus XP 2008" s'ouvre, affiche de faux résultats d'analyse indiquant que l'ordinateur est infecté, puis invite à télécharger un fichier scaner.exe pour y remédier :

Il ne faut pas télécharger la mise à jour Flash Player proposée ni installer le logiciel Antivirus XP 2008 concerné, car ces fichiers sont en réalité un seul et même cheval de Troie. Cette variante est identifiée sous les noms TR/Dldr.Exchanger.KE (Antivir), Win32/Heur (AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.DownLoad.3248 (DrWeb), Win32/Collet.DN (eTrust), Trojan-Downloader.Win32.Exchanger.mf (F-Secure / Kaspersky), Trojan:Win32/Tibs.gen!K (Microsoft), Mal/EncPk-DA (Sophos), Downloader (Symantec).

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons