par [Vous devez être inscrit et connecté pour voir cette image]
Chevaux de Troie en détail
Beaucoup trop souvent, les propriétaires d'ordinateur
deviennent inconsciemment les victimes d'agresseurs qui pénètrent à
l'aide de ces chevaux de Troie dans les PC's, par amusement ou avec une
intention très ciblée . Cet article vous montre, ce qui est possible et
comment on se protège au mieux d'eux.
L'utilisateur
en surfant dans l'Internet est en relation avec de gros problèmes.
Toutefois personne n'en est réellement très conscient. Dans les médias,
il est souvent question de lacunes de sécurité de type technique dans
différents programmes ou services. Toutefois le plus grand problème de
sécurité est généralement la personne qui utilise le PC.
Les
systèmes informatiques sont de nos jours très complexes et ne peuvent
être saisis que difficilement par le profane. C'est justement pour cette
raison, qu'il est de plus en plus important de différencier entre
petits problèmes et véritables dangers. Un de ces véritables dangers
sont les chevaux de Troie, ou encore appelés simplement „Trojan“ .
Brièvement dit, un Trojan est un programme qui se fait passer pour ce
qu'il n'est pas vraiment.
Pourquoi le Nom „Cheval de Troie“?
Tout d'abord un peu d'histoire: Vous vous rappelez éventuellement de
la ville de Troja pendant vos cours d'histoire à l'école. Dans
l'histoire ancienne, il s'agit d'une guerre de plusieurs années entre
Grecs et la forteresse de Troja. Les murs de la ville étaient pour les
Grecs imprenables pendant plus de 10 ans. Alors, ils feignèrent une
retraite et laissèrent un énorme cheval en bois. Les citoyens de Troja
ont considéré cela comme un cadeau et l'ont apporté dans leur ville.
Dans la nuit le cheval s'est avéré être un transporteur de soldats
Grecs, qui ouvrirent les portes de la ville à leurs compagnons restés
cachés au dehors. Par cela, les Grecs gagnèrent la bataille et prirent
enfin la ville.
C'est par ce même principe que fonctionnent les
chevaux de Troie modernes. Quelqu'un vous fait un cadeau qui porte un
contenu dangereux avec lui, dont vous ne pouvez pas vous douter.
Trojans, Backdoors & Virus?
Vous trouverez fréquemment dans l'Internet, la spécification
"Backdoor" pour les Trojans. Les experts en sécurité définissent le
„Trojan“ comme des programmes qui font par ex: autre chose que ce qu'ils
sont sensés faire. Ce peut-être des fichiers programmes (.EXE), qui
sont annoncés comme être un jeu, en réalité c'est pour porter des
dommages à votre PC. En général „Backdoor“ désigne un Trojan, qui ouvre
dans le système d'exploitation une porte arrière, par laquelle
l'attaquant peut pénétrer. Une autre spécification est „RAT“ pour
(Remote Administration Tool). Les Backdoors sont aujourd'hui les plus
répandus des Trojans.
Les Trojans sont définitivement, d'après
des avis compétents, ni Virus ou Vers. Virus et Vers ont la faculté de
se propager soit par un fichier étranger manipulé " infection", soit
s'est copié lui même d'un ordinateur à l'autre. Les Trojans ne possèdent
pas de tels mécanismes de diffusion. Toutefois, il existe déjà des
croisements de Vers-Virus-Trojan (qu'on appelle aussi hybrides) qui en
plus de leurs fonctions destructrices, peuvent installer un Trojan dans
votre système.
Déroulement d'une infection par un Trojan
Il y a différentes possibilités pour les Trojans d'attaquer un
ordinateur. Avec presque tous les Trojans, l'intervention de
l'utilisateur est nécessaire pour activer le Trojan. Ce qui veut dire,
que le fichier programme doit être démarré au moins une fois
manuellement pour qu'il y ait danger. Il existe aussi déjà des Trojans,
qui par des Vers-Virus installent automatiquement ceux-ci sans que
l'utilisateur soit au courant.
Une infection se déroule généralement d'après le schéma suivant:
1. L'attaquant envoi le Trojan
Puisqu'un
Trojan est toujours un fichier programme exécutable (exemple: .EXE),
celui-ci peut par différentes voies arriver facilement sur le PC de la
victime. Cela peut ce faire par ex: en mettant un attachement à l'email
(pièce jointe). Le texte email est généralement trompeur et demande à
l'utilisateur de démarrer le fichier programme en attachement. Pour la
diffusion, on utilise également très souvent aussi l'Instant-Messenger
ou programmes comme MS-Messenger, ICQ, AIM ou autres. Des services de
Filesharing (l'échange de fichiers) représentent une possibilité
relativement nouvelle. De cette façon les Trojans seront camouflés et
mis en circulation comme fichiers de musique (MP3, Ogg, Wavs ect).
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 1: Email-Attachement
Une
indication à cette occasion: Le fait de recevoir un fichier-trojan
n'est pas encore un danger. Aussi longtemps qu'un Trojan inactif est sur
le disque dur de votre ordinateur il ne se passera absolument rien.
2. Le destinataire démarre le fichier reçu
Pour
qu'un Trojan soit dangereux, il doit être premièrement activé. La
plupart du temps, il suffit d'un double-clique sur le fichier concerné.
Aussitôt que cela est arrivé, le Trojan s'installe dans le système et
place des entrées Autostarts pour qu'il puisse se charger à chaque
démarrage du système. Quelques Trojans ont entre-temps développé des
possibilités très effectives afin que le fichier soit automatiquement
exécuté. L'endroit des entrées Autostarts est très souvent difficile à
trouver. La plupart des endroits qu'ils emploient pour leurs entrées
Autostarts sont les sections "Run" du système de registre ou alors,
comme auparavant dans les fichiers autoexec.bat, win.ini, system.ini,
etc. Les modernes Trojans vont plus loin en s'inscrivant dans le
registre comme plugin de programmes différents ou alors comme composants
Active-X. De plus, beaucoup de Trojans suppriment le fichier initial
d'origine démarré à l'amorçage du PC pour déclencher chez l'utilisateur
une confusion totale.
De quoi sont constitués les Trojans?
Un Trojan-Backdoor est toujours composé d'au moins deux parties. Le
dangereux Trojan-Serveur, appelé aussi Host (Hôte), et du Trojan-Client,
avec lequel l'agresseur se connecte au Serveur. Aussitôt qu'un Serveur
est installé, il ouvre un Port (Canal de communication) pour la
connexion sur l'Internet. Par l'ouverture de ce Port, l'agresseur peut
ainsi se connecter avec le PC de la victime pour commencer ses actions
destructrices.
La seule information que l'agresseur ait besoin,
est l'Adresse-IP de sa victime. Une manière de connaitre celle-ci, est
par exemple de se faire envoyer un email par la victime. L'Adresse-IP
peut-être lu sur le Email-Header (en-tête du mail). On peut aussi à
l'aide de Netstat rechercher l'IP, quand celui-ci à une connexion
directe avec l'Instant-Messager.
Les agresseurs qui utilisent les
Trojans sans objectif d'attaque seulement pour s'amuser, utilisent
aussi des scanners de Ports, avec lesquels ils scrutent les différents
secteurs de réseaux si des Trojans-Ports sont ouverts. Les Trojans
utilisent des Ports différents pour que l'on ne les reconnaisse pas tout
de suite. Dans beaucoup de Serveurs, l'agresseur peut modifier aussi
manuellement le Port utilisé, même avec quelques uns ça se fait pendant
la pleine marche du PC.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 2: Scanner de Ports
Mode de travail d'un Trojan
Le Trojan-Serveur est pour le Client une Interface du système
d'exploitation-API (Application Programming Interface) du PC de la
victime. Le Serveur reçoit les instructions du Client, dans lesquelles
est défini ce qu'il doit faire et retourner. Selon la complexité du
Serveur, celui-ci peut plus ou moins exécuter certaines fonctions. La
plupart de ces fonctions utilisées, sont l'espionnage des mots de passe
et documents secrets.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 3: Interface API
Fonctions du Trojan (Exemple)
Les images d'écran suivantes sont du Trojan „NET DEVIL“, Version 1.5.
Fouiller les dossiers et fichiers
Une
fonction standard chez tous les Trojans. De cette façon, l'agresseur
peut rechercher certains fichiers sur l'ordinateur de sa victime et
transférer ensuite ceux-ci sur le sien. L'agresseur peut aussi bien
faire l'inverse, c.à.d. charger des fichiers sur le PC de sa victime. Le
plus souvent l'agresseur à l'illustration totale de la structure des
dossiers sur son programme-Client et peut exécuter différentes actions
(créer des dossiers, fichiers, modifier et supprimer, etc.).
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 4: Gestionnaire de données
Espionner les mots de passe
Beaucoup
de Trojans ont des routines insérées, qui demandent au système les mots
de passe qui y sont enregistrés. Avec les systèmes Windows 9x, cela est
particulièrement très simple puisque beaucoup de mots de passe sont
stockés dans le System-Cache. Cela comprend par ex: les mots de passe
pour se connecter à l'Internet et mots de passe de vos emails.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 5: Mots de passe
Afficher les Prozesses
Cette
fonction ressemble au directeur de tâche de Windows NT/2000/XP. On peut
se faire montrer tous les Programtasks qui sont démarrés et si on le
désire, terminer ceux-ci.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 6: Prozesse
Interroger les fenêtres
De
cette façon, un agresseur peut se procurer un aperçu des fenêtres qui
sont ouvertes sur le PC de sa victime. Fenêtres visibles mais aussi
invisibles peuvent être ainsi fermées (p. ex. programmes dans le
System-Tray). Par cela, différentes fonctions lui sont accessibles. Il
peut geler (c.à.d. bloquer momentanément) les fenêtres, désactiver le
"Bouton-Fermer", modifier le titre des fenêtres mettre les focus sur
d'autres fenêtres et envoyer plusieurs séquences de textes dans la
fenêtre.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 7: Les fenêtres
Chat avec la victime
De
cette façon, l'agresseur peut commencer un Chat avec la victime. Cette
fonction surprenante donne à l'utilisateur inexpérimenté du PC une
sensation de crainte, se demandant qui peut bien être la personne à
l'autre bout du fil qui veut parler avec lui.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 8: Chat
Webcam téléguidé
Beaucoup
de particuliers ont aujourd'hui une Webcam. Justement même si celle-ci
n'est pas utilisé par le propriétaire l'agresseur peut l'utiliser pour
surveiller sa victime. La victime ne se doute de rien. Une Webcam offre
une surveillance maximale de la victime.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 9: Webcam
Établir des Screenshots (images d'écran)
Afin
que l'agresseur puisse voir exactement ce que fait sa victime sur son
PC, il peut se faire une photo d'écran. Les Screenshots peuvent être
alors enregistrés séparément.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 10: images d'écran
Keylogger
On
désigne comme "Keylogger" une fonction qui peut noter toutes les
frappes du clavier. De cette manière, par ex: les mots de passe que
l'utilisateur tape sur son clavier, peuvent être interceptés.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 11: Keylogger
Éditer le système du registre
Pour
l'agresseur ses possibilités n'ont pas de limites. Il peut aussi éditer
le registre de Windows. Il peut ainsi, créer de nouvelles sections et
de nouvelles valeurs. Pratique pour par ex: modifier des entrées
Autostart pour le Trojan-Serveur ou pour démarrer automatiquement
d'autres programmes à l'amorçage du système.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 12: Editeur de registre
Plugins
Quelques
Trojan-Serveur plus répandus ont une Interface-Plugin. Ainsi, les
agresseurs peuvent créer leur Serveur avec toutes les fonctions dont ils
ont besoin et même de développer de nouveaux Plugins pour le Trojan.
Ici, la créativité dans le domaine de la destruction, n'a pas de
frontières.
Caractéristiques avancés
Jeu de Cache-Cache
Les
modernes Trojans comme par ex: "Optix" peuvent très bien se cacher sur
le PC atteint. Ils manipulent les appels des Windows-API, qui ont pour
devoir de montrer les fichiers de l'Explorer ou qui sont responsables
pour le registre. L'utilisateur n'a alors plus de possibilité de trouver
le Trojan manuellement, car il est invisible. Seul l'agresseur sait où
se dissimule le Serveur et comment il peut de nouveau l'arrêter.
Désactiver Antivirus et Firewalls
De
même, une méthode fréquemment employée est de mettre hors circuit ou de
désactiver les programmes Anti-Virus et Firewalls pour ne pas être
découvert. Le Trojan-Serveur reste ainsi invisible sur le PC.
Contourner les Personal-Firewalls
Le
Trojan "Assasin 2" fournit dans ce domaine une performance remarquable.
Celui-ci peut contourner les Desktop Firewalls. Le principe du
fonctionnement est relativement simple à expliquer. Le Trojan injecte
(si on peut dire) son module de communication, qui peut sans problème
passer outre le Firewall. Le MS Internet Explorer convient donc
parfaitement pour en être la victime. L'Assasin détourne ainsi le
Browser en le traversant pour pouvoir se connecter vers l'extérieur.
L'utilisateur du PC ne remarque rien et se sent parfaitement en
sécurité.
Remède
Il existe plusieurs façons de garder son PC propre sans Trojan.
Ci-après, trois points importants sur la sécurité vont-être décrits. Une
petite chose auparavant: une protection à 100% contre les Trojans
n'existe pas, ou bien sûr, vous vous passez d'Internet et des réseaux en
géneral.
Les Tools Anti-Trojan
La plus simple des façons que l'utilisateur a pour garder son PC
„propre“, est d'installer un programme Anti-Trojan. Ces programmes
recherchent des fichiers Trojans dans tous les disques durs, de plus, la
plupart d'entre-eux offrent généralement un Gardien d'arrière-plan, qui
surveille qu'aucun Trojan ne se niche dans le PC. Selon les Tools, le
registre sera fouillé pour découvrir si des entrées Autostarts existent
et par la même occasion la mémoire sera également examinée pour garantir
une protection maximale. Les Tools Anti-Virus trouvent aussi des
Trojans, mais ne peuvent pas éliminer ceux-ci comme le font généralement
les programmes Anti-Trojan. Certains Programmes Antivirus échouent en
essayant de nettoyer un fichier Trojan, parce qu'ils cherchent une
signature de Virus, alors qu'elle n'existe pas chez les Trojans, car les
Trojans sont développés comme d'autres programmes le sont. De bons
Tools Anti-Trojan offrent constamment des mises à jour de base de
données de signatures, qui reconnaissent et éliminent les tout derniers
Trojans. De tels Tools ont toutefois un désavantage. Ils ne
reconnaissent que les Trojans qui sont dans leur base de données et que
le programmeur connaît déjà.
Firewalls
Ici, on doit différencier les Firewalls qui par le filtrage des
données transférées empêchent le transfert d'un Trojan de ceux qui
empêchent les communications de ces Trojans vers l'extérieur.
Les
premiers cités, peuvent certes empêcher qu'un Trojan venant de
l'Internet se faufile dans votre réseau local, bloquant par ex: certains
types de fichiers, mais ne vous protègent pas contre les Trojans déjà
actifs dans votre réseau local venus d'ailleurs que de l'Internet.
Les
Portblocker-Firewalls sont basés sur le principe, que premièrement tous
les ports de communication du PC sont bloqués et que petit à petit les
ports dont on à besoin et qui sont nécessaires soient ouverts. Les Ports
les plus importants qu'on ne devrait pas bloquer sont: 21 (FTP), 25
(SMTP), 80 (HTTP), 110 (POP3), etc. En fonction des services que l'on
veut utiliser pour être relié à l'Internet, on doit ouvrir ces Ports.
Ici, au plus tard la chose sur la sécurité est encore une fois relative.
Avec les Trojans les numéros de Ports sont très variables, cela veut
dire qu'un agresseur peut modifier le Trojan, de telle sorte que le Port
80 par exemple soit utilisé. Ainsi les Trojans-Serveurs peuvent aussi
communiquer avec l'agresseur au travers du Firewall.
Les
Portblocker-Firewalls ne peuvent qu'offrir une protection passive contre
les Trojans. Si sur un PC dans un réseau local un Trojan est actif, il
peut malgré tout être utilisé dans le réseau local. Dans les grands
réseaux d'entreprise les Trojans sont de plus en plus utilisés par les
employés eux-même, pour espionner les données protégées.
Proxy-Serveur
ou Serveur-NAT ne protège pas d'un agresseur qui veut se connecter avec
un Trojan déjà installé derrière le Proxy ou bien derrière un
Serveur-NAT. Entre-temps les Trojans sont également Proxy et
NAT-capables et se connectent seuls vers l'extérieur chez l'agresseur.
Protection manuelle contre les Trojans
Naturellement vous pouvez dire maintenant „je n'ai pas besoin de
Tools de protection, j'ai mon système bien en main“. Ceci est
naturellement votre droit, et personne ne peut vous faire changer
d'avis. Toutefois, vous devrez maîtriser alors les règles les plus
importantes qui concernent la sécurité dans l'utilisation d'Internet.
1. Attention avec les fichiers
N'ouvrez
jamais un fichier exécutable qui vient d'Internet, car il pourrait
contenir un Trojan. Ceci n'est pas seulement valable pour les fichiers
.EXE. Il y a toute une palette de types de fichiers, qui tout comme les
fichiers . EXE, peuvent contenir des codes dangereux. Par example: .COM
(DOS), .SCR (Écran de veille), .DOC, .XLS, .MDB (VBA-Macros), .VBS, .JS,
.HTA, .WSF (Scripts), et beaucoup plus encore. Assurez-vous toujours
que la source des fichiers soit digne de confiance. Ceci est valable
pour tous les téléchargements.
Attention avec les attachements
email! Même si ce email vient d'un expéditeur fiable, il peut quand même
contenir un Trojan. Beaucoup de Vers-Email envoient automatiquement des
Trojans à toutes les adresses email présentes dans l'annuaire de
l'utilisateur sans que celui-ci n'en sache rien.
2. Mises à jour
Veillez
toujours à avoir installé les dernières mises à jour et Patches de vos
programmes. Autrement, il peut arriver rapidement que votre PC soit
contaminé sans que vous le remarquiez. Quelques Trojans ont atteint un
degré de diffusion très grand en utilisant les lacunes de sécurité du MS
Internet Explorer et le MS Internet Information Services.
3. Avoir programmes et Ports bien en main
Si
vous ne vous fiez pas aux logiciels de protection, vous devrez
connaître tous les Programtask actifs de votre PC. Vous devrez remarquer
immédiatement, si un programme est en fonction et tient un Port ouvert.
Avec le Tool „netstat“ vous pouvez interroger toutes les connexions
actives et ensuite assigner manuellement ceux-ci aux programmes actifs.
4. Avoir les entrées Autostarts bien en main
Les
Trojans ont besoin d'entrées Autostarts pour être chargés à l'amorçage
du système. Vous devez connaître également tous les programmes, qui sont
chargés automatiquement aux endroits suivants:
Menu Démarrer – Autostart
N'est pratiquement pas employé par les Trojans, parce que facile à trouver.
autoexec.bat
Pratiquement pas employé par les Windows-Trojans, principalement utilisé pour les DOS-Programmes.
config.sys
Également et principalement pour les DOS-Programmes.
system.ini
Par édition du „shell=“ des programmes peuvent-être chargés.
win.ini
Dans les sections „run=“ et „load=“ peuvent-être parfois chargés.
Système du registre Windows (Registry)
Presque
tous les nouveaux Trojans utilisent les Registry pour être chargés
automatiquement. Les positions les plus importantes sont:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ainsi que
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
D'autres
possibilités sont données par des Plugins et Modul-Key. Un Trojan peut
s'inscrire comme par ex: Active-X Control dans le registre de Windows,
pour qu'au démarrage du système différents programmes soient chargés.
Une autre possibilité très raffinée est l'enregistrement d'entrées de
fichiers-types. Avec chaque fichier-type on peut déterminer quels
programmes appellent ce fichier. Quelques Trojans utilisent ce truc pour
appeler ces fichiers et pour qu'ils soient démarrés.
Pour
éliminer sûrement un Trojan, terminez en premier le "Programtask", puis
effacez les fichiers programmes et à la fin éliminez les entrées
Autostart.
Chevaux de Troie en détail
Beaucoup trop souvent, les propriétaires d'ordinateur
deviennent inconsciemment les victimes d'agresseurs qui pénètrent à
l'aide de ces chevaux de Troie dans les PC's, par amusement ou avec une
intention très ciblée . Cet article vous montre, ce qui est possible et
comment on se protège au mieux d'eux.
L'utilisateur
en surfant dans l'Internet est en relation avec de gros problèmes.
Toutefois personne n'en est réellement très conscient. Dans les médias,
il est souvent question de lacunes de sécurité de type technique dans
différents programmes ou services. Toutefois le plus grand problème de
sécurité est généralement la personne qui utilise le PC.
Les
systèmes informatiques sont de nos jours très complexes et ne peuvent
être saisis que difficilement par le profane. C'est justement pour cette
raison, qu'il est de plus en plus important de différencier entre
petits problèmes et véritables dangers. Un de ces véritables dangers
sont les chevaux de Troie, ou encore appelés simplement „Trojan“ .
Brièvement dit, un Trojan est un programme qui se fait passer pour ce
qu'il n'est pas vraiment.
Pourquoi le Nom „Cheval de Troie“?
Tout d'abord un peu d'histoire: Vous vous rappelez éventuellement de
la ville de Troja pendant vos cours d'histoire à l'école. Dans
l'histoire ancienne, il s'agit d'une guerre de plusieurs années entre
Grecs et la forteresse de Troja. Les murs de la ville étaient pour les
Grecs imprenables pendant plus de 10 ans. Alors, ils feignèrent une
retraite et laissèrent un énorme cheval en bois. Les citoyens de Troja
ont considéré cela comme un cadeau et l'ont apporté dans leur ville.
Dans la nuit le cheval s'est avéré être un transporteur de soldats
Grecs, qui ouvrirent les portes de la ville à leurs compagnons restés
cachés au dehors. Par cela, les Grecs gagnèrent la bataille et prirent
enfin la ville.
C'est par ce même principe que fonctionnent les
chevaux de Troie modernes. Quelqu'un vous fait un cadeau qui porte un
contenu dangereux avec lui, dont vous ne pouvez pas vous douter.
Trojans, Backdoors & Virus?
Vous trouverez fréquemment dans l'Internet, la spécification
"Backdoor" pour les Trojans. Les experts en sécurité définissent le
„Trojan“ comme des programmes qui font par ex: autre chose que ce qu'ils
sont sensés faire. Ce peut-être des fichiers programmes (.EXE), qui
sont annoncés comme être un jeu, en réalité c'est pour porter des
dommages à votre PC. En général „Backdoor“ désigne un Trojan, qui ouvre
dans le système d'exploitation une porte arrière, par laquelle
l'attaquant peut pénétrer. Une autre spécification est „RAT“ pour
(Remote Administration Tool). Les Backdoors sont aujourd'hui les plus
répandus des Trojans.
Les Trojans sont définitivement, d'après
des avis compétents, ni Virus ou Vers. Virus et Vers ont la faculté de
se propager soit par un fichier étranger manipulé " infection", soit
s'est copié lui même d'un ordinateur à l'autre. Les Trojans ne possèdent
pas de tels mécanismes de diffusion. Toutefois, il existe déjà des
croisements de Vers-Virus-Trojan (qu'on appelle aussi hybrides) qui en
plus de leurs fonctions destructrices, peuvent installer un Trojan dans
votre système.
Déroulement d'une infection par un Trojan
Il y a différentes possibilités pour les Trojans d'attaquer un
ordinateur. Avec presque tous les Trojans, l'intervention de
l'utilisateur est nécessaire pour activer le Trojan. Ce qui veut dire,
que le fichier programme doit être démarré au moins une fois
manuellement pour qu'il y ait danger. Il existe aussi déjà des Trojans,
qui par des Vers-Virus installent automatiquement ceux-ci sans que
l'utilisateur soit au courant.
Une infection se déroule généralement d'après le schéma suivant:
1. L'attaquant envoi le Trojan
Puisqu'un
Trojan est toujours un fichier programme exécutable (exemple: .EXE),
celui-ci peut par différentes voies arriver facilement sur le PC de la
victime. Cela peut ce faire par ex: en mettant un attachement à l'email
(pièce jointe). Le texte email est généralement trompeur et demande à
l'utilisateur de démarrer le fichier programme en attachement. Pour la
diffusion, on utilise également très souvent aussi l'Instant-Messenger
ou programmes comme MS-Messenger, ICQ, AIM ou autres. Des services de
Filesharing (l'échange de fichiers) représentent une possibilité
relativement nouvelle. De cette façon les Trojans seront camouflés et
mis en circulation comme fichiers de musique (MP3, Ogg, Wavs ect).
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 1: Email-Attachement
Une
indication à cette occasion: Le fait de recevoir un fichier-trojan
n'est pas encore un danger. Aussi longtemps qu'un Trojan inactif est sur
le disque dur de votre ordinateur il ne se passera absolument rien.
2. Le destinataire démarre le fichier reçu
Pour
qu'un Trojan soit dangereux, il doit être premièrement activé. La
plupart du temps, il suffit d'un double-clique sur le fichier concerné.
Aussitôt que cela est arrivé, le Trojan s'installe dans le système et
place des entrées Autostarts pour qu'il puisse se charger à chaque
démarrage du système. Quelques Trojans ont entre-temps développé des
possibilités très effectives afin que le fichier soit automatiquement
exécuté. L'endroit des entrées Autostarts est très souvent difficile à
trouver. La plupart des endroits qu'ils emploient pour leurs entrées
Autostarts sont les sections "Run" du système de registre ou alors,
comme auparavant dans les fichiers autoexec.bat, win.ini, system.ini,
etc. Les modernes Trojans vont plus loin en s'inscrivant dans le
registre comme plugin de programmes différents ou alors comme composants
Active-X. De plus, beaucoup de Trojans suppriment le fichier initial
d'origine démarré à l'amorçage du PC pour déclencher chez l'utilisateur
une confusion totale.
De quoi sont constitués les Trojans?
Un Trojan-Backdoor est toujours composé d'au moins deux parties. Le
dangereux Trojan-Serveur, appelé aussi Host (Hôte), et du Trojan-Client,
avec lequel l'agresseur se connecte au Serveur. Aussitôt qu'un Serveur
est installé, il ouvre un Port (Canal de communication) pour la
connexion sur l'Internet. Par l'ouverture de ce Port, l'agresseur peut
ainsi se connecter avec le PC de la victime pour commencer ses actions
destructrices.
La seule information que l'agresseur ait besoin,
est l'Adresse-IP de sa victime. Une manière de connaitre celle-ci, est
par exemple de se faire envoyer un email par la victime. L'Adresse-IP
peut-être lu sur le Email-Header (en-tête du mail). On peut aussi à
l'aide de Netstat rechercher l'IP, quand celui-ci à une connexion
directe avec l'Instant-Messager.
Les agresseurs qui utilisent les
Trojans sans objectif d'attaque seulement pour s'amuser, utilisent
aussi des scanners de Ports, avec lesquels ils scrutent les différents
secteurs de réseaux si des Trojans-Ports sont ouverts. Les Trojans
utilisent des Ports différents pour que l'on ne les reconnaisse pas tout
de suite. Dans beaucoup de Serveurs, l'agresseur peut modifier aussi
manuellement le Port utilisé, même avec quelques uns ça se fait pendant
la pleine marche du PC.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 2: Scanner de Ports
Mode de travail d'un Trojan
Le Trojan-Serveur est pour le Client une Interface du système
d'exploitation-API (Application Programming Interface) du PC de la
victime. Le Serveur reçoit les instructions du Client, dans lesquelles
est défini ce qu'il doit faire et retourner. Selon la complexité du
Serveur, celui-ci peut plus ou moins exécuter certaines fonctions. La
plupart de ces fonctions utilisées, sont l'espionnage des mots de passe
et documents secrets.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 3: Interface API
Fonctions du Trojan (Exemple)
Les images d'écran suivantes sont du Trojan „NET DEVIL“, Version 1.5.
Fouiller les dossiers et fichiers
Une
fonction standard chez tous les Trojans. De cette façon, l'agresseur
peut rechercher certains fichiers sur l'ordinateur de sa victime et
transférer ensuite ceux-ci sur le sien. L'agresseur peut aussi bien
faire l'inverse, c.à.d. charger des fichiers sur le PC de sa victime. Le
plus souvent l'agresseur à l'illustration totale de la structure des
dossiers sur son programme-Client et peut exécuter différentes actions
(créer des dossiers, fichiers, modifier et supprimer, etc.).
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 4: Gestionnaire de données
Espionner les mots de passe
Beaucoup
de Trojans ont des routines insérées, qui demandent au système les mots
de passe qui y sont enregistrés. Avec les systèmes Windows 9x, cela est
particulièrement très simple puisque beaucoup de mots de passe sont
stockés dans le System-Cache. Cela comprend par ex: les mots de passe
pour se connecter à l'Internet et mots de passe de vos emails.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 5: Mots de passe
Afficher les Prozesses
Cette
fonction ressemble au directeur de tâche de Windows NT/2000/XP. On peut
se faire montrer tous les Programtasks qui sont démarrés et si on le
désire, terminer ceux-ci.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 6: Prozesse
Interroger les fenêtres
De
cette façon, un agresseur peut se procurer un aperçu des fenêtres qui
sont ouvertes sur le PC de sa victime. Fenêtres visibles mais aussi
invisibles peuvent être ainsi fermées (p. ex. programmes dans le
System-Tray). Par cela, différentes fonctions lui sont accessibles. Il
peut geler (c.à.d. bloquer momentanément) les fenêtres, désactiver le
"Bouton-Fermer", modifier le titre des fenêtres mettre les focus sur
d'autres fenêtres et envoyer plusieurs séquences de textes dans la
fenêtre.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 7: Les fenêtres
Chat avec la victime
De
cette façon, l'agresseur peut commencer un Chat avec la victime. Cette
fonction surprenante donne à l'utilisateur inexpérimenté du PC une
sensation de crainte, se demandant qui peut bien être la personne à
l'autre bout du fil qui veut parler avec lui.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 8: Chat
Webcam téléguidé
Beaucoup
de particuliers ont aujourd'hui une Webcam. Justement même si celle-ci
n'est pas utilisé par le propriétaire l'agresseur peut l'utiliser pour
surveiller sa victime. La victime ne se doute de rien. Une Webcam offre
une surveillance maximale de la victime.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 9: Webcam
Établir des Screenshots (images d'écran)
Afin
que l'agresseur puisse voir exactement ce que fait sa victime sur son
PC, il peut se faire une photo d'écran. Les Screenshots peuvent être
alors enregistrés séparément.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 10: images d'écran
Keylogger
On
désigne comme "Keylogger" une fonction qui peut noter toutes les
frappes du clavier. De cette manière, par ex: les mots de passe que
l'utilisateur tape sur son clavier, peuvent être interceptés.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 11: Keylogger
Éditer le système du registre
Pour
l'agresseur ses possibilités n'ont pas de limites. Il peut aussi éditer
le registre de Windows. Il peut ainsi, créer de nouvelles sections et
de nouvelles valeurs. Pratique pour par ex: modifier des entrées
Autostart pour le Trojan-Serveur ou pour démarrer automatiquement
d'autres programmes à l'amorçage du système.
[Vous devez être inscrit et connecté pour voir cette image]
Illustration 12: Editeur de registre
Plugins
Quelques
Trojan-Serveur plus répandus ont une Interface-Plugin. Ainsi, les
agresseurs peuvent créer leur Serveur avec toutes les fonctions dont ils
ont besoin et même de développer de nouveaux Plugins pour le Trojan.
Ici, la créativité dans le domaine de la destruction, n'a pas de
frontières.
Caractéristiques avancés
Jeu de Cache-Cache
Les
modernes Trojans comme par ex: "Optix" peuvent très bien se cacher sur
le PC atteint. Ils manipulent les appels des Windows-API, qui ont pour
devoir de montrer les fichiers de l'Explorer ou qui sont responsables
pour le registre. L'utilisateur n'a alors plus de possibilité de trouver
le Trojan manuellement, car il est invisible. Seul l'agresseur sait où
se dissimule le Serveur et comment il peut de nouveau l'arrêter.
Désactiver Antivirus et Firewalls
De
même, une méthode fréquemment employée est de mettre hors circuit ou de
désactiver les programmes Anti-Virus et Firewalls pour ne pas être
découvert. Le Trojan-Serveur reste ainsi invisible sur le PC.
Contourner les Personal-Firewalls
Le
Trojan "Assasin 2" fournit dans ce domaine une performance remarquable.
Celui-ci peut contourner les Desktop Firewalls. Le principe du
fonctionnement est relativement simple à expliquer. Le Trojan injecte
(si on peut dire) son module de communication, qui peut sans problème
passer outre le Firewall. Le MS Internet Explorer convient donc
parfaitement pour en être la victime. L'Assasin détourne ainsi le
Browser en le traversant pour pouvoir se connecter vers l'extérieur.
L'utilisateur du PC ne remarque rien et se sent parfaitement en
sécurité.
Remède
Il existe plusieurs façons de garder son PC propre sans Trojan.
Ci-après, trois points importants sur la sécurité vont-être décrits. Une
petite chose auparavant: une protection à 100% contre les Trojans
n'existe pas, ou bien sûr, vous vous passez d'Internet et des réseaux en
géneral.
Les Tools Anti-Trojan
La plus simple des façons que l'utilisateur a pour garder son PC
„propre“, est d'installer un programme Anti-Trojan. Ces programmes
recherchent des fichiers Trojans dans tous les disques durs, de plus, la
plupart d'entre-eux offrent généralement un Gardien d'arrière-plan, qui
surveille qu'aucun Trojan ne se niche dans le PC. Selon les Tools, le
registre sera fouillé pour découvrir si des entrées Autostarts existent
et par la même occasion la mémoire sera également examinée pour garantir
une protection maximale. Les Tools Anti-Virus trouvent aussi des
Trojans, mais ne peuvent pas éliminer ceux-ci comme le font généralement
les programmes Anti-Trojan. Certains Programmes Antivirus échouent en
essayant de nettoyer un fichier Trojan, parce qu'ils cherchent une
signature de Virus, alors qu'elle n'existe pas chez les Trojans, car les
Trojans sont développés comme d'autres programmes le sont. De bons
Tools Anti-Trojan offrent constamment des mises à jour de base de
données de signatures, qui reconnaissent et éliminent les tout derniers
Trojans. De tels Tools ont toutefois un désavantage. Ils ne
reconnaissent que les Trojans qui sont dans leur base de données et que
le programmeur connaît déjà.
Firewalls
Ici, on doit différencier les Firewalls qui par le filtrage des
données transférées empêchent le transfert d'un Trojan de ceux qui
empêchent les communications de ces Trojans vers l'extérieur.
Les
premiers cités, peuvent certes empêcher qu'un Trojan venant de
l'Internet se faufile dans votre réseau local, bloquant par ex: certains
types de fichiers, mais ne vous protègent pas contre les Trojans déjà
actifs dans votre réseau local venus d'ailleurs que de l'Internet.
Les
Portblocker-Firewalls sont basés sur le principe, que premièrement tous
les ports de communication du PC sont bloqués et que petit à petit les
ports dont on à besoin et qui sont nécessaires soient ouverts. Les Ports
les plus importants qu'on ne devrait pas bloquer sont: 21 (FTP), 25
(SMTP), 80 (HTTP), 110 (POP3), etc. En fonction des services que l'on
veut utiliser pour être relié à l'Internet, on doit ouvrir ces Ports.
Ici, au plus tard la chose sur la sécurité est encore une fois relative.
Avec les Trojans les numéros de Ports sont très variables, cela veut
dire qu'un agresseur peut modifier le Trojan, de telle sorte que le Port
80 par exemple soit utilisé. Ainsi les Trojans-Serveurs peuvent aussi
communiquer avec l'agresseur au travers du Firewall.
Les
Portblocker-Firewalls ne peuvent qu'offrir une protection passive contre
les Trojans. Si sur un PC dans un réseau local un Trojan est actif, il
peut malgré tout être utilisé dans le réseau local. Dans les grands
réseaux d'entreprise les Trojans sont de plus en plus utilisés par les
employés eux-même, pour espionner les données protégées.
Proxy-Serveur
ou Serveur-NAT ne protège pas d'un agresseur qui veut se connecter avec
un Trojan déjà installé derrière le Proxy ou bien derrière un
Serveur-NAT. Entre-temps les Trojans sont également Proxy et
NAT-capables et se connectent seuls vers l'extérieur chez l'agresseur.
Protection manuelle contre les Trojans
Naturellement vous pouvez dire maintenant „je n'ai pas besoin de
Tools de protection, j'ai mon système bien en main“. Ceci est
naturellement votre droit, et personne ne peut vous faire changer
d'avis. Toutefois, vous devrez maîtriser alors les règles les plus
importantes qui concernent la sécurité dans l'utilisation d'Internet.
1. Attention avec les fichiers
N'ouvrez
jamais un fichier exécutable qui vient d'Internet, car il pourrait
contenir un Trojan. Ceci n'est pas seulement valable pour les fichiers
.EXE. Il y a toute une palette de types de fichiers, qui tout comme les
fichiers . EXE, peuvent contenir des codes dangereux. Par example: .COM
(DOS), .SCR (Écran de veille), .DOC, .XLS, .MDB (VBA-Macros), .VBS, .JS,
.HTA, .WSF (Scripts), et beaucoup plus encore. Assurez-vous toujours
que la source des fichiers soit digne de confiance. Ceci est valable
pour tous les téléchargements.
Attention avec les attachements
email! Même si ce email vient d'un expéditeur fiable, il peut quand même
contenir un Trojan. Beaucoup de Vers-Email envoient automatiquement des
Trojans à toutes les adresses email présentes dans l'annuaire de
l'utilisateur sans que celui-ci n'en sache rien.
2. Mises à jour
Veillez
toujours à avoir installé les dernières mises à jour et Patches de vos
programmes. Autrement, il peut arriver rapidement que votre PC soit
contaminé sans que vous le remarquiez. Quelques Trojans ont atteint un
degré de diffusion très grand en utilisant les lacunes de sécurité du MS
Internet Explorer et le MS Internet Information Services.
3. Avoir programmes et Ports bien en main
Si
vous ne vous fiez pas aux logiciels de protection, vous devrez
connaître tous les Programtask actifs de votre PC. Vous devrez remarquer
immédiatement, si un programme est en fonction et tient un Port ouvert.
Avec le Tool „netstat“ vous pouvez interroger toutes les connexions
actives et ensuite assigner manuellement ceux-ci aux programmes actifs.
4. Avoir les entrées Autostarts bien en main
Les
Trojans ont besoin d'entrées Autostarts pour être chargés à l'amorçage
du système. Vous devez connaître également tous les programmes, qui sont
chargés automatiquement aux endroits suivants:
Menu Démarrer – Autostart
N'est pratiquement pas employé par les Trojans, parce que facile à trouver.
autoexec.bat
Pratiquement pas employé par les Windows-Trojans, principalement utilisé pour les DOS-Programmes.
config.sys
Également et principalement pour les DOS-Programmes.
system.ini
Par édition du „shell=“ des programmes peuvent-être chargés.
win.ini
Dans les sections „run=“ et „load=“ peuvent-être parfois chargés.
Système du registre Windows (Registry)
Presque
tous les nouveaux Trojans utilisent les Registry pour être chargés
automatiquement. Les positions les plus importantes sont:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ainsi que
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
D'autres
possibilités sont données par des Plugins et Modul-Key. Un Trojan peut
s'inscrire comme par ex: Active-X Control dans le registre de Windows,
pour qu'au démarrage du système différents programmes soient chargés.
Une autre possibilité très raffinée est l'enregistrement d'entrées de
fichiers-types. Avec chaque fichier-type on peut déterminer quels
programmes appellent ce fichier. Quelques Trojans utilisent ce truc pour
appeler ces fichiers et pour qu'ils soient démarrés.
Pour
éliminer sûrement un Trojan, terminez en premier le "Programtask", puis
effacez les fichiers programmes et à la fin éliminez les entrées
Autostart.
» oui madame !
» ça pique !!!
» C’est mathématiquement, philosophiquement idiot !
» Le saviez-vous?Au 19ème siècle, la cocaïne était utilisée pour traiter la dépression et les maux de dents !
» gentil toutou
» oh oui !
» bon appétit
» Le saviez-vous?La reconnaissance de soi chez les animaux
» la méprise
» oh oui !
» la dictée
» Le saviez-vous?Le détenteur du record du monde de tir à l’arc n’a pas de bras !
» heureusement qu'elle est la !
» dessous de table !
» c'est très bien
» Le saviez-vous? La plus petite guitare du monde a la taille d’un globule rouge !
» affreux !!!
» le marque-pages
» merci du conseil
» Le saviez-vous?En 2008, une plage a été volée en Jamaïque, tout le sable a été dérobé !
» coooooool
» bonne question !
» chère Dr
» Le saviez-vous?Au 19ème siècle, en Grande-Bretagne, une tentative de suicide était punie par pendaison