Exchanger.NB est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un courrier électronique
sans fichier joint ayant l'apparence d'une lettre d'information nommée
"MSNBC Breaking News".
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Exchanger.NB
et ses variantes.
|
|
TYPE :
Cheval de Troie
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Dldr.Exchanger.NB (Antivir)
Win32:Trojan-gen (Avast)
I-Worm/Nuwar.W (AVG)
Trojan.Downloader.Exchanger.Gen.2 (BitDefender)
Trojan.DownLoad.3248 (DrWeb)
Win32/Collet.DU (eTrust)
W32/Downldr2.DIGU (F-Prot)
Trojan-Downloader.Win32.Exchanger.nb (F-Secure)
Trojan-Downloader.Win32.Exchanger.nb (Kaspersky)
BackDoor-DNM (McAfee)
TrojanDropper:Win32/Nuwar.gen!ldt (Microsoftt)
14 W32/DLoader.IXFE (Norman)
Trj/Exchanger.Z (Panda)
Mal/EncPk-DA (Sophos)
Trojan.Erotpics (Symantec)
TROJ_TIBS.CSZ (Trend Micro)
TAILLE :
73 Ko
DECOUVERTE :
13/08/2008
DESCRIPTION DETAILLEE :
Exchanger.NB est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver par courrier électronique car son auteur utilise
la technique du spamming
pour le diffuser. L'expéditeur du message est une adresse
électronique usurpée ou générée
automatiquement.
Le titre du message est "msnbc.com - BREAKING NEWS:",
suivi du titre d'une brève d'actualité véridique
ou d'une fausse information complètement fantaisiste mais
racoleuse. Quelques exemples :
- msnbc.com - BREAKING NEWS: I will be suing you
- msnbc.com - BREAKING NEWS: Mary-Kate Olsen responsible forHeath
Ledger's death
- msnbc.com - BREAKING NEWS: Elizabeth Taylor found murdered at
home
- msnbc.com - BREAKING NEWS: Fredie Mac losses mount, loses billions
every month
- msnbc.com - BREAKING NEWS: McCain told lies to win votes
- msnbc.com - BREAKING NEWS: Too much freedom will destroy America
- msnbc.com - BREAKING NEWS: Bomb scare grounds thousands of flights
at UK Heathrow airport
- msnbc.com - BREAKING NEWS: Americans love law suits for breakfast
- msnbc.com - BREAKING NEWS: [video] Take it from us: People Hate
Satire
- msnbc.com - BREAKING NEWS: Couple Plans Breakup in January 2009
- msnbc.com - BREAKING NEWS: Sports Fan's Novelty Wig Marks Him
Out as 'a Bit of a Character
Le corps du message est un texte au format HTML se présentant
comme une lettre d'information signée et envoyée par
le service MSNBC-Microsoft, invitant le destinataire à cliquer
sur les liens hypertextes qu'il contient pour en savoir plus. Un
exemple de message :
| " msnbc.com: BREAKING NEWS: Elizabeth
Taylor found murdered at home Find out more at http://breakingnews.msnbc.com
====================================================== See the
top news of the day at MSNBC.com, and the latest from Today
Show and NBC Nightly News. =========================================
This e-mail is never sent unsolicited. You have received this
MSNBC Breaking News Newsletter newsletter because you subscribed
to it or, someone forwarded it to you. To remove yourself from
the list (or to add yourself to the list if this message was
forwarded to you) simply go to http://www.msnbc.msn.com/id/82076253,
select unsubscribe, enter the email address receiving this message,
and click the Go button. Microsoft Corporation - One Microsoft
Way - Redmond, WA 98052 MSN PRIVACY STATEMENT http://privacy.msn.com
(http://privacy.msn.com/>) " |
Si l'internaute clique sur le lien, il est dirigé vers
une page intitulée "Breaking News, Weather, Business,
Health, Entertainment, Sports, Politics, Travel, Science, Technology,
Local, US & World News - msnbc.com- msnbc.com :" simulant un
problème d'affichage et invitant l'utilisateur à télécharger
un fichier adobe_flash.exe, censé être une mise à
jour du lecteur Adobe Flash, afin de pouvoir accéder au contenu
souhaité :
Il ne faut pas cliquer sur les liens du message ni ouvrir le fichier
adobe_flash.exe, car il s'agit en réalité d'un programme
malicieux. La page web comporte par ailleurs un bouton "Close
page" : il ne faut pas non plus tenter d'utiliser ce bouton,
car ce dernier ne ferme pas la fenêtre concernée mais
déclenche en réalité l'ouverture d'une nouvelle
fenêtre intitulée "Antivirus XP 2008", qui
affiche de faux résultats d'analyse indiquant que l'ordinateur
est infecté, puis qui invite à télécharger
un fichier scaner.exe pour y remédier :
Il ne faut pas installer le logiciel Antivirus XP 2008 concerné,
car la fausse mise à jour Adobe Flash Player adobe_flash.exe
et le faux antivirus scaner.exe sont en réalité un
seul et même cheval de Troie.
15/08/08
: diffusion d'une nouvelle variante du cheval de Troie (69 Ko) selon
un scénario identique. Quelques nouveaux exemples de titre
de message :
- msnbc.com - BREAKING NEWS: Vietnam to deport Gary Glitter toBritain
- msnbc.com - BREAKING NEWS: Illegal Immigrants Seize Control
Of The U.S.
- msnbc.com - BREAKING NEWS: Obama Is Anorexic Over-Exerciser;
- msnbc.com - BREAKING NEWS: White Male Workers Banned In Britain
- msnbc.com - BREAKING NEWS: Paris Hilton Tosses Dwarf On The
Street
- msnbc.com - BREAKING NEWS: Cindy Mccain Talks About Her Boobs
- msnbc.com - BREAKING NEWS: Nation Morns The Tragic Loss Of Britney
Spears
- msnbc.com - BREAKING NEWS: Gay Bishop Was A Wrestling Pro
- msnbc.com - BREAKING NEWS: Mccain And Bush To Dance In Puppet
Show
- msnbc.com - BREAKING NEWS: Existence of Poor People A Surprise,
Says Bush
- msnbc.com - BREAKING NEWS: Teenage Girl obviously Having Affair
With Bat
- msnbc.com - BREAKING NEWS: The Breasts Of Lindsay Lohan
- msnbc.com - BREAKING NEWS: Bush Sells Louisiana Back to the
French
- msnbc.com - BREAKING NEWS: nazi Toddlers Ruined My Birthday
- msnbc.com - BREAKING NEWS: One Hot White Chick Injured in Tsunami
Disaster
- msnbc.com - BREAKING NEWS: Blair: Im Not Gay, Thats Just My
Accent
- msnbc.com - BREAKING NEWS: John Mccain "I Promise To Invade
Your Vaginas."
- msnbc.com - BREAKING NEWS: Prominent Male Hooker Forced To Step
Down After Sex With Sleazy Evangelist
- msnbc.com - BREAKING NEWS: The Beatles - Back Together Again
- msnbc.com - BREAKING NEWS: Ronald Reagan Prime Suspect In Bank
Robbery
Cette variante est identifiée sous les noms TR/Dldr.Exchange.NG
(Antivir), Win32:Trojan-gen (Avast), I-Worm/Nuwar.W (AVG), Trojan.Downloader.Exchanger.Gen.2
(BitDefender), Trojan.Packed.606 (DrWeb), Trojan-Downloader.Win32.Exchanger.nl
(F-Secure / Kaspersky), TrojanDropper:Win32/Nuwar.gen!ldt (Microsoft),
W32/Tibs.CTEM (Norman), Mal/EncPk-DA (Sophos), Trojan Horse (Symantec),
TROJ_NUWAR.DII (Trend Micro).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
