| 
PROGRAMME ESPION.
Introduction
1-Intrusion dite du "Socket
de Troie"
2-Intrusion via les ressources partagées
du système
3-Intrusion via un serveur FTP caché
sur votre ordinateur
4-Intrusion ICQTROGEN
5-Intrusion via Hacker paradise
6-Intrusion via DMSETUP (IRC)
7-Intrusion via Master Paradise
8-Intrusion via cDc Back Orifice
9-Intrusion via Netbus
Depuis que les ordinateurs existent, des individus mal intentionnés
essayent de se connecter aux ordinateurs des autres pour voler de l'information,
introduire des virus, lire votre courrier ou détourner vos mots
de passe de connections internet ou autre. Il est évident que
cela peut entraîner de gros dégâts autant pour vous
que pour votre ordinateur. Ci après vous trouverez des descriptifs
de problèmes ainsi que des solutions adaptées
1 : Intrusion
dite du "Socket de Troie"<
1.1 : Symptômes.
Lors de l'intrusion via le socket
de Troie, on a l'impression que le disque dur tourne sans cesse et vous
ne savez pas pourquoi. Il lui est possible de contrôler entièrement
votre ordinateur. Si votre imprimante se met à fonctionner toute
seule, votre ordinateur à émettre des sons, ou à
lancer des applications, si votre modem fonctionne alors que vous n'envoyez
ni mail ni fichiers sur Internet, il y a fort à parier que votre
ordinateur est infecté.
1.2 : Risques.
Dans tous les cas les risques sont
énormes. Il est possible à n'importe qui, disposant du
programme de contrôle du "cheval de troie",
de se connecter à votre ordinateur par internet et de prendre
le contrôle de votre système informatique et y faire de
graves dégâts.
1.3 : Description du cas.
Comme son nom l'indique, cette
attaque de votre ordinateur s'inspire de la vieille histoire du "Cheval
de Troie". (Voir le film cheval de troie). Il y en a plus de 3
versions, toutes plus mauvaises et démentielles les unes que
les autres.
Cette intrusion est possible uniquement si vous avez installé
sans le savoir un petit programme que l’on nomme « serveur
» sur votre ordinateur.
Ce serveur est un fichier dont la taille est de 328 K pour la première
version, 332 K pour la seconde, et de différente taille pour
la troisième version car il lui est possible de le cacher dans
n'importe quel exécutable. « .exe .com ». L’installation
de ce serveur est très simple. Celui qui veut entrer dans votre
ordinateur place ce serveur dans un fichier ou dans un autre programme
puis il le met en ligne. Lorsque vous recherchez un utilitaire ou un
drivers « souvent gratuit » et que vous le téléchargez,
vous enregistrez ce dernier dans votre ordinateur. Tant que vous n'
utilisez pas ce programme il reste inoffensif.
Dès que vous exécutez ce programme, il va ouvrir un port
de communication. Ce programme ne contient en réalité
absolument rien qui ait un quelconque rapport avec ce pour quoi on vous
l'avait présenté. le concepteur a été assez
futé pour faire apparaître un écran comme celui-ci
:
Attention vous verrez ce message
d'erreur si la personne qui veut entrer chez vous tente de vous infecter
par la première version. La seconde version de ce programme est
bien plus vicieuse et
soit vous verrez apparaître une fenêtre comme celle-ci
Soit il ne se passe rien du tout;
le programmes ne s’exécute pas pourtant le serveur a été
installé et votre ordinateur a été infecté...
La troisième version est
la plus terrible. En effet, on va vous présenter un programme
qui vous est offert et que vous recevez par Email; par exemple un superbe
petit utilitaire de souris, de dessin ou autre. Non seulement vous allez
effectivement recevoir un superbe utilitaire mais en plus, le fameux
serveur ou cheval de troie. Il est en effet possible de cacher le serveur
dans n'importe quel exécutable. Non seulement on peut le mettre
comme un virus dans un fichier exécutable mais en plus, une fois
exécuté sur votre ordinateur il va se multiplier et vous
risquez simplement de le donner à d'autres et ainsi d’ouvrir
les portes de tous les ordinateurs sans même que vous le sachiez.
1.4 : Comment savoir si votre ordinateur
est déjà infecté ?
Téléchargez un petit
logiciel Bouffetroyen. Ce programme va rechercher en mémoire
les troyens de type serveur FTP, socket de Troie et DMSETUP. Il peut
aussi les supprimer de votre ordinateur et nettoyer la base de registre
et tous vos fichiers .INI. C’est un utilitaire à avoir
ABSOLUMENT. Si vous êtes sous NT n'oubliez pas de télécharger
le fichier psapi.dll pour pouvoir utiliser le bouffetroyen
avec toutes ses possibilités
1.5 : Comment se protéger
?
La première règle
de sécurité est la prévention.
N’ouvrez pas d’Email dont vous ne connaissez pas l’expéditeur
ou d’Email ayant "RE:" dans l’objet sans avoir
envoyé au préalable un message à l’expéditeur
mentionné;
si l’objet est vide;
ne téléchargez pas les documents joints si vous n’avez
pas de programme de protection.
Si vous ne respectez pas ces quelques régles, cela peut vous
être fatal.
Si vous voulez savoir qui tente de pénétrer votre ordinateur,
il existe un utilitaire de bonne qualité Wolfysoft Notroyen.
Non seulement il vous prévient mais en plus il fait redémarrer
l’ordinateur de la personne qui a tenté de vous attaquer.
A mettre dans le menu démarrer pour être sur de ne pas
l'oublier. Beaucoup d’antivirus détectent la plupart des
chevaux de Troie.
2 : Intrusion
via les ressources partagées me.
2.1 : Symptômes
Difficile à déceler,
ce type d'intrusion donne un accès complet en lecture et écriture
de vos fichiers. On peut vous dérober tous vos fichiers, les
modifier, les détruire, ou mettre en panne votre ordinateur
2.2 : Risques.
Pertes de fichiers, virus, vols
de documents, espionnage, bref vous mettez en public ce qui se trouve
sur votre disque dur avec possibilité de modification.
2.3 : Description du cas.
La plupart des ordinateurs se
mettant en réseau local à la maison ou au bureau ou s'étant
mis un jour en réseau local, ou qui ont partagé des ressources
telles que les disques durs et les imprimantes. Il suffit de taper une
commande MSDOS pour que le nom de votre ordinateur apparaisse ainsi
que son groupe de travail. On rajoute dans un petit fichier de Windows,
que l’on met à jour et on recherche ensuite l'ordinateur
dans le voisinage réseau. Dès qu'il apparaît, on
l'ouvre, on fait quelques connections réseau et le tour est joué
dans 80% des cas. Alors pourquoi 80 % Tout simplement parce que 20%
des ordinateurs ont des mots de passe et qu'il est alors plus difficile
de pénétrer. Avec ce système, il est même
possible d'imprimer n'importe quoi sur votre imprimante.
2.5 : Comment se protéger
?
La meilleure chose à faire
est de désactiver le partage de fichiers et d'imprimantes dans
le panneau de configuration du réseau ou si vous devez absolument
travailler en réseau, le minimum absolu est de mettre des mots
de passe et l'idéal est de prévoir un dossier spécial
qui sera le seul partagé et qui servira au transferts de fichiers
sur le réseau. Toute personne qui veux envoyer un fichier sur
votre ordinateur le fera dans un répertoire spécial. Evidemment
ce dossier doit aussi lors de son partage se voire attribuer un mot
de passe. N'oubliez pas non plus de mettre un mot de passe sur votre
imprimante.
3 : Intrusion
via un serveur FTP.
3.1 : Symptômes
Identiques au cas précédent.
3.2 : Risques.
Identiques au cas précédent.
3.3 : Description du cas.
Ici encore il s'agit de vous faire
exécuter un petit fichier zip auto extractible donc en réalité
un petit programme .exe. Dès que vous le lancer, il va vous installer
un serveur
4 : FTP4
: Intrusion ICQTROGEN.
Comment savoir si vous êtes
déjà infecté ?Avec ce type d'intrusion on n'est
pas infecté comme dans le cas précédant mais plutôt
vulnérable. Allez dans votre voisinage réseau sur votre
ordinateur et regardez tout ce que vous avez partagé sans mot
de passe, c'est tout cela qui est potentiellement disponible sur Internet
lorsque vous vous connectez....
4.1 : Symptômes
Identiques a l'intrusion via FTP
et ressources partagées avec en plus éventuellement des
programmes qui se lancent tout seul.
4.2 : Risques.
Identiques à l'intrusion
via FTP et ressources partagées en ce qui concerne les fichiers
mais comme il est possible de lancer des programmes à distance
et de mettre ce que l'on veut dedans, je dirais que les risques sont
comme l'intrusion par le cheval de Troie.
4.3 : Description du cas.
Comme presque toujours, il s'agit
de vous faire exécuter un programme qui va servir de serveur.
Celui-ci se trouve sur le port 4950 et permet à une personne
qui dispose du programme de contrôle de se balader sur votre disque
dur et d'y faire ce qu'elle veut.
4.4 : Comment savoir si vous êtes
déjà infecté ?
Tapez dans une fenêtre dos
la commande suivante : Netstat-a et si vous voyez apparaître un
ligne comme celle-ci, alors vous êtes infecté sans doute
TCP;;; XXXXXXX : 4950; .....................................
Ce fichier peut porter n'importe
quel nom en mémoire, a vous de le trouver, vous devez l’enlever,
ensuite il vous reste plus qu’à l'effacer du disque dur
afin qu'il ne se relance plus.
4.5 : Comment se protéger
?
Il n'existe aucune parade contre
ce type d'attaque et elle peut être modifiée à souhait,
à vous de faire attention donc, si vous avez doute cliquez; connections
et regardez si rien de bizarre ne s'y trouve. Si vous vous êtes
vraiment parano, vous pouvez configurer nukenabber sur le 4950 en TCP
si vous le désirez comme ça vous saurez qui essaye de
vous attaquer. 5 : Intrusion via Hacker paradise
Tout ce qui ne se passe quand
votre ordinateur est en veille: fermeture des fenêtres apparition
et disparition de celles-ci, changement du nom des fenêtres, en
fait la personne qui contrôle votre ordinateur le fait encore
mieux que vous devant votre clavier et votre écran. Comme d'habitude
dans ce genre de programme, il y a un accès disque total. A se
demander pourquoi on sort de nouveaux chevaux de Troie, celui-ci sait
presque tout faire.
5: Intrusion
via Hacker paradise.
5.1 : Risque.
Le programme permet tout faire
sur votre ordinateur au delà même de ce que vous pouvez
imaginer. Voler vos mot de passe pour les connections Internet avec
votre nom est un jeu d'enfant, changer le nom d’une fenêtre
est possible, la masquer, la rendre visible tout le temps, la fermer.
5.2 : Description du cas.
Comme il s'agit encore du principe
du cheval de Troie, il s'agit de vous faire exécuter un programme
va donner un accès à votre ordinateur. Le programme que
l'on essaye de vous faire exécuter si il n'a pas été
modifié a une très jolie petite icône d'ange et
son nom original est redemption.exe mais il peut avoir changé.
5.3 : Comment savoir si vous êtes
déjà infecté ?
Une solution simple télécharger
le fichier Bouffetroyen qui va le détecter et le supprimer de
votre mémoire. Si vous êtes sous NT n'oubliez pas psapi.dll
pour pouvoir utiliser le fichier bouffetroyen avec toutes ses possibilités.
5.4 : Comment se protéger
?
La méthode ne change pas,
ne rien accepter de personnes inconnues.
6:Intrusion
via DMSETUP (IRC).<
6.1 : Symptômes.
Le programme se décline
déjà en deux version : la DMSETUP simple et la DMSETUP2.
Le première est juste un petit virus pas bien méchant
qui vous déconnecte quand quelqu’un tape le mot clé
message.
La version deux s'inspire des chevaux de Troie etc.; Il y aurait dans
un serveur de fichier et quelques backdoor qui permettrait au pirateur
qui vous attaque de faire des actions pas très orthodoxe avec
votre connexion IRC.
6.2 : Risques.
Idem 5.1
6.3 : Description du cas.
Vous devez comme chaque fois exécuter
un programme exécutable. Celui-ci n'est pas très évolué
et dans 95% des cas si votre répertoire ne s'appelle pas MIRC
il ne le trouvera pas.
6.4 : Comment savoir si vous êtes
déjà infecté ?
Télécharger le petit
utilitaire dmcleanup qui va vérifier ??� votre autoexec et les
fichiers .ini en cas d'infection il va tout réparer. Sinon le
désormais très utile et très complet programme
Bouffetroyenle. Si vous êtes sous NT n'oubliez pas psapi.dll pour
pouvoir utiliser le bouffetroyen avec toutes ses possibilités
6.5 : Comment se protéger
?
Ne pas accepter de fichiers de
quelqu’un que vous ne connaissez pas et encore moins quand vous
êtes sur IRC.
7 : Intrusion
via Master Paradise.
7.1 : Symptômes
Tout ce qui ne se passe quand
votre ordinateur est en veille: fermeture des fenêtres apparition
et disparition de celles-ci, changement du nom des fenêtres, en
fait la personne qui contrôle votre ordinateur le fait encore
mieux que vous devant votre clavier et votre écran. Comme d'habitude
dans ce genre de programme, il y a un accès disque total. A se
demander pourquoi on sort de nouveaux chevaux de Troie, celui-ci sait
presque tout faire.
7.2 : Risques.
Ce programme permet au pirateur
de tout faire sur votre ordinateur au delà même de ce que
vous pouvez imaginer. Voler vos mot de passe pour les connections Internet
avec votre
7.3 : Description du cas.
Comme il s'agit encore du principe
du cheval de Troie, il s'agit de vous faire exécuter un programme
va donner un accès total à votre ordinateur.
7.4 : Comment savoir si vous êtes
déjà infecté ?
Vérifier les connections
et regardez si rien d'anormal ne s'y trouve, en cas de doute arrêter
le programme et regarder si cela change d'effet.
7.5 : Comment se protéger
?
La méthode ne change pas,
ne rien accepter de personnes inconnues.
8: Intrusion
via cDc Back Orifice.
8.1 : Symptômes
Programmes qui s'arrêtent
tout seul, fichiers qui disparaissent, programmes qui se lancent tout
seul, arrêt de votre ordinateur, blocage de votre ordinateur,
espionnage, quelqu'un sait vous dire ce que vous tapez sur votre clavier.
8.2 : Risques.
Dans ce cas-ci les risques sont
énormes, il est possible à n'importe quelle personne qui
est connecté à Internet et qui dispose du programme de
contrôle de se connecter sur votre ordinateur. On peut absolument
tout faire quand vous êtes infectés par le Back Orifice.
8.3 : Description du cas.
Comme presque toujours, il s'agit
de vous faire exécuter un programme qui va servir de serveur.
Celui-ci se trouve sur le port 31337 par défaut mais le pirateur
qui contrôle votre ordinateur a la possibilité de le mettre
sur n'importe quel port c’est là ou se trouve la difficulté
de le détecter, il est possible d'assigner un mot de passe, si
vous exécuter le programme et que la personne qui vous l'as envoyé
a été assez intelligent pour le modifier, elle seule aura
accès à votre ordinateur. Ce programme peut donc si on
cherche vraiment bien être un outil d'administration.
8.4 : Comment savoir si vous êtes
déjà infecté ?
Les solutions sont multiples du
côté des anti-virus, Panda est un des seuls à détecter
le phénomène et à pouvoir le supprimer de la mémoire
uniquement.
8.5 : Comment se protéger
?
La première règle
de sécurité est la prévention, n??�'acceptez donc
pas n'importe quoi de n'importe qui ça peut vous être fatal,
en cas de doute allez cherchez Panda antivirus, il est un des seul à
pouvoir vous prémunir contre ce type d'attaque.
9 : Intrusion
via Netbus.
9.1 : Symptômes
Cd-rom qui s'ouvre tout seul,
le curseur de la souris qui se déplace toute seule, inversion
des boutons de la souris, programmes qui démarrent tout seuls,
messages, sons qui n'ont rien à voir avec le contexte, écran
qui se renverse
9.2 : Risques.
Dans ce cas-ci les risques sont
moyens, il n'y a pas d'option directe pour effacer vos fichiers ou formater
votre disque dur mais ça ne reste pas très difficile à
mettre en oeuvre. L'interface en réalité est complexe
et ne permette que peu de choses destructrices rapidement.
9.3 : Description du cas.
Comme presque toujours, il s'agit
de vous faire exécuter un programme qui va servir de serveur.
Celui-ci se trouve sur le port 12345 de votre ordinateur.
9.4 : Comment savoir si vous
êtes déjà infecté ?
Une seule solution simple, télécharger
le fichier Bouffetroyen qui va le détecter et le supprimer de
votre mémoire. Si vous êtes sous NT n'oubliez pas psapi.dll
pour pouvoir utiliser le fichier bouffetroyen avec toutes ses possibilités
9.5 : Comment se protéger
?
La méthode ne change pas,
ne rien accepter de personnes inconnues.
|
