Exchanger.OO est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un courrier électronique
sans fichier joint intitulé "BREAKING
news", "CNN.com Daily Top 10"
ou "Weekly top news".
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Exchanger.OO
et ses variantes.
|
|
TYPE :
Cheval de Troie
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Dldr.Exchanger.OO (Antivir)
I-Worm/Nuwar.W (AVG)
Trojan.Downloader.Exchanger.Gen.2 (BitDefender)
Trojan.Packed.606 (DrWeb)
Backdoor:W32/Hupigon.ODZ (F-Secure)
Trojan-Downloader.Win32.Exchanger.oo (Kaspersky)
BackDoor-DNM (McAfee)
TrojanDropper:Win32/Nuwar.gen!ldt (Microsoftt)
Tibs.gen220 (Norman)
8 Mal/EncPk-DA (Sophos)
Trojan.Pandex (Symantec)
TAILLE :
73 Ko
DECOUVERTE :
17/08/2008
DESCRIPTION DETAILLEE :
Exchanger.OO est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver par courrier électronique car son auteur utilise
la technique du spamming
pour le diffuser. L'expéditeur du message est une adresse
électronique usurpée ou générée
automatiquement. Le titre du message est "BREAKING news".
Le corps du message est un court texte incitant le destinataire
à cliquer sur un lien hypertexte :
Si l'internaute clique sur le lien, il est dirigé vers
une page intitulée "Watch Free Movie" simulant
un problème d'affichage et invitant l'utilisateur à
télécharger un fichier install.exe (automatiquement
au chargement de la page et via une boîte de dialogue), censé
être une mise à jour ActiveX du navigateur, afin d'accéder
au contenu souhaité :
Comme dans le cas des précédentes variantes, la page
web comporte par ailleurs un bouton "Close the page" qui
ne ferme pas la fenêtre concernée mais déclenche
l'ouverture d'une nouvelle fenêtre "Antivirus XP 2008",
qui affiche de faux résultats d'analyse indiquant que l'ordinateur
est infecté et invite à télécharger
un fichier scaner.exe :
Il ne faut pas installer cette mise à jour ActiveX ni le
logiciel Antivirus XP 2008 proposé, car ce sont tous deux
des faux qui sont en réalité un seul et même
cheval de Troie, destiné à constituer un réseau
d'ordinateurs "zombies".
17/08/08 22h20
: diffusion de la même variante du cheval de Troie (73 Ko)
selon un scénario similaire. Le titre du courrier électronique
est désormais "CNN.com Daily Top 10", le nom d'expéditeur
apparent "Daily Top 10", et le corps du message est semblable
à celui utilisé par la variante Exchanger.JT.
Il tente de se faire passer pour une sélection quotidienne
des dix histoires et vidéos les plus vues de la chaîne
de télévision américaine CNN, invitant le destinataire
à cliquer sur les des liens hypertextes qu'il contient pour
les visualiser. Un exemple de message :
" Men say they've found a Bigfoot A policeman
and a ex-corrections officer on Friday will unveil evidence
of what they claim is their biggest capture -- a Bigfoot body.
2. Commentary: 'This is for America' 3. New Year's baby shaken
to death 4. Journalists attacked in Georgia 5. Girl describe
brother's murder 6. TSA to allow laptop bags 7. Georgia signs
Russia cease-fire 8. iReporters: Turning 50 isn't what it used
to be 9. The dyslexic execution doctor 10. How Olympic athletes
eat The ugly side of beauty Kareen Wynter looks at a new documentary
exposing America's obsession with unattainable beauty. 2. Bullets
fly at news crew's car 3. Hubby sued for giving wife STD 4.
Tot grandpa upset with media 5. Reporter shot in Georgia 6.
Implants for Ali Lohan? 7. Has Bigfoot been found? 8. Week in
iReport: Your stories 9. No registry after sex crime 10. Keep
it packed up Cable News Network LP, LLLP. One CNN Center, Atlanta,
Georgia 30303 © 2008 Cable News Network LP, LLLP. A Time Warner
Company. All Rights Reserved. Terms under which this service
is provided to you. Read our privacy guidelines. Contact us.
You have agreed to receive this email from CNN.com as a result
of your CNN.com preference settings. To manage your settings
click here. To unsubscribe from the Daily Top 10, click here.
" |
18/08/08
: diffusion d'une nouvelle variante du cheval de Troie (73 Ko) selon
un scénario similaire. Le titre du courrier électronique
est désormais "Weekly top news", le nom d'expéditeur
apparent "Top News Agency", et le corps du message est
à nouveau un court texte incitant le destinataire à
cliquer sur un lien hypertexte :
Hundreds Flock to View Image of Jesus
in Vomit Puddle
Hundreds of faithful Christians have lined up around the
block of a bar in Long Beach, California to pray before
an image in a puddle of vomit they believe represents
Jesus Christ.
Read All (46) breaking
news
AND 45 shocking videos |
|
Aliens Are Gay Says Astronaut
Former Astronaut Dr. Edgar Mitchell - a veteran of the
Apollo 14 mission - claims aliens are gay and that they
are responsible for many of the earth's ills including
global warming, war, disease and The View.
Read All (48) breaking
news
AND 34 shocking videos |
|
Journalists shot in Georgia
Turkish television has released video of four journalists
on assignment in Georgia being shot at. The crew from
NTV were in an area of Georgian-Russian fighting between
the Georgian town of Gori and South Ossetia.
Read All (39) breaking news
AND 31 shocking videos |
|
Iran 'faked missile image'
Iran has been accused of altering an image of a missile
test, possibly to exaggerate its military capabilities.
Iran announced on Wednesday it had test-fired nine missiles,
including one it said was capable of reaching Israel.
Read All (30) breaking
news
AND 31 shocking videos |
|
Richardson: I was a little 'uneasy' about
a Clinton roll call
New Mexico Gov. Bill Richardson said he?s now comfortable
with Sen. Hillary Clinton placing her name in nomination
at the Democratic convention, but he admitted he was uneasy
about the move at first
Read All (23) breaking
news
AND 32 shocking videos |
|
Iran test fires rocket, says state media
The launch of Iran's two-stage rocket, called Safir or
"messenger," was successful on Saturday and "paved the
way for placing the first Iranian satellite in orbit,"
the official Islamic Republic News Agency reported.
Read All (24) breaking
news
AND 46 shocking videos |
|
Iran 'faked missile image'
Iran has been accused of altering an image of a missile
test, possibly to exaggerate its military capabilities.
Iran announced on Wednesday it had test-fired nine missiles,
including one it said was capable of reaching Israel.
Read All (30) breaking
news
AND 31 shocking videos |
|
Si l'internaute clique sur le lien, il est toujours dirigé
vers une page intitulée "Watch Free Movie" simulant
un problème d'affichage et invitant l'utilisateur à
télécharger un fichier install.exe, censé être
une mise à jour ActiveX :
Cette variante est identifiée sous les noms I-Worm/Nuwar.W
(AVG), Trojan.Downloader.Exchanger.Gen.2 (BitDefender), Trojan.Packed.606
(DrWeb), Trojan-Downloader.Win32.Exchanger.or (Kaspersky), TrojanDropper:Win32/Nuwar.gen!ldt
(Microsoft), Mal/EncPk-DA (Sophos), Trojan.Pandex (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|