Accueil
Téléchargement
Forum
Contact
Autre

Les intrusions

Les intrusions.

 

Depuis quelques années, certaines personnes (hackers) prennent un malin plaisir à essayer de se connecter sur les disques durs des autres.  Rare est celle qui le fait pour le plaisir, mais plus fréquentes sont celles qui le font pour voler de l'information, introduire des virus, lire votre courrier ou voler vos mots de passe pour vos connections Internet.  Il est clair que cela peut aller très loin, c'est pourquoi je vais tenter de vous expliquer comment vous défendre contre les méthodes les plus en vogues pour le moment.  Je vous conseille donc de faire très attention car même si vous n'êtes pas infectés par un de ceux-ci il en existe Tellement d'autres...  Pour chaque type d'intrusion, vous trouverez les symptômes, les risques et les manières de vous en protéger. Ces types d'intrusions sont un peut vieux mais ils sont encore utilisés.

N'oublions pas que une fois qu'un personne entre sur votre ordinateur il peut rendre votre ordinateur un "Pc zombies"! C'est à dire que les hackers peuvent lancer des vagues de spam via votre pc, héberger de faux sites bancaire destinés aux arnaques par phisching, mener des attaques contre des sites commerciaux qui refuseraient de payer pour leur protection, stoker des photos, films a caractère pédophile, voler vos mot de passes, vos numéro de carte de crédits, Le pirates peut aussi se faire passer pour vous et discuter avec vos amis! Il a le contrôle total du PC !

taux

Taux de piratages au niveau mondial.

1 : Intrusion dite du "Socket de Troie"

1.1 : Symptômes.

Lors de l'intrusion via le socket de Troie, on a l'impression que le disque dur gratte sans arrêt et travaille on ne sait pas pourquoi.  Il est possible de contrôler presque complètement votre ordinateur, si il se met à imprimer tout seul, à jouer des sons, si les applications se lancent toute seules, si la lampe send data de votre modem est allumé alors que vous n'envoyer ni mail ni fichiers sur Internet, il y a fort à parier que vous êtes infectés ET en train de vous faire visiter!

 

1.2 : Risques.

Dans ce cas-ci les risques sont totaux, il est possible à n'importe quelle personne qui est connecté à internet et qui dispose du programme de contrôle de se connecter sur votre disque ordinateur.  Vous risquez d'avoir sur votre ordinateur les mêmes dégâts que si vous mettiez devant votre écran votre pire ennemi.  On sait absolument tout faire quand vous êtes infectés par le "Socket de Troie", alors faites attention ...

 

1.3 : Description du cas.

Comme son nom l'indique, cette attaque de votre ordinateur s'inspire de la vieille histoire du "Cheval de Troie".  Ne sachant pas entrer dans la ville, les assaillants de Troie, y laissaient un cheval comme cadeau mais quel cadeau empoisonné.   A la nuit tombée, le cheval ayant été rentré dans la ville, les soldats qui s'y étaient cachés en sortirent quand tout le monde dormait et ouvrirent les portes de la ville.  C'est très exactement le même principe pour ce programme qui se décline déjà en plus de 3 versions toutes plus démentielles les unes que les autres.

Cette intrusion est possible uniquement si vous avez installé un genre de petit serveur sur votre ordinateur.  Ce petit serveur est contenu dans un fichier dont la taille est de 328 K pour la première version, 332 K pour la seconde et indéfini pour la troisième version car il est possible de le cacher dans n'importe quel exécutable...   Alors ce petit serveur c'est très simple, la personne qui veut entrer chez vous ne va pas vous dire ce que c'est mais va vous le présenter comme un programme qui bien souvent et comme par hasard est soit très recherché sur internet soit en rapport direct avec vos Hobbies.  Mais il n'en est rien, si vous exécutez ce programme et si vous ne réagissez pas très très vite, vous êtes perdus.

Dès que vous exécuter ce programme, il va ouvrir un port de communication (dans l'histoire ancienne, c'était les portes de la ville, voyer comme ca ne change pas beaucoup) qui va permettre à n'importe qui, qui est sur Internet de se brancher sur votre disque dur. Comme ce fameux programme ne contient en réalité absolument rien qui ait un quelconque rapport avec ce pour quoi on vous l’avait présenté, les personnes qui l'on conçu on été assez intelligentes et font apparaître un écran comme celui-ci :

setupdll32.gif (1667 octets)

Attention vous verrez ce message d'erreur si la personne qui veut entrer chez vous tente de vous infecter par la première version.  La seconde version de ce programme est bien plus vicieuse et soit vous verrez apparaître une fenêtre comme celle-ci

Socket23error.gif (1720 octets)

Soit carrément rien du tout, vous exécutez les programme et rien ne se passe et pourtant vous êtes infectés...

Sans vouloir choquer personne je dirai que la troisième version est la plus sadique que j'ai jamais vue, en effet, on va vous présentez un fichier qui est par exemple un superbe petit utilitaire de souris.  Non seulement vous allez effectivement recevoir un superbe utilitaire de souris mais en plus, le fameux petit serveur ou cheval de Troie. Il est en effet possible de cacher le serveur dans n'importe quel exécutable.   Non seulement on peut le mettre comme un virus dans un fichier exécutable mais en plus, une fois exécuté sur votre ordinateur il va se multiplier et si vous ne savez pas que vous l'avez vous risquez simplement de le refiler à d'autres et d'ainsi ouvrir les portes des ordinateurs de vos amis au premier venu sans même que vous le sachiez.

Pour un petit aperçu des possibilités de ce programme, je vous invite à voire ces quelques captures d'écran de la console de contrôle, et l'évolution celle-ci au fur à mesure du temps.

 

1.4 : Comment savoir si vous êtes déjà infecté ?

Downloadez Bouffe troyen, ce programme va rechercher en mémoire les troyens de type serveur FTP, socket de Troie et DMSETUP.   Il peut aussi tous les supprimer de votre disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. C’est un utilitaire à avoir ABSOLUMENT.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités

1.5 : Comment se protéger ?

La première règle de sécurité est la prévention, n'acceptez donc pas n'importe quoi de n'importe qui ca peut vous être fatal.  Si vous voulez savoir qui tente de pénétrez votre ordinateur au cas où vous auriez installé le programme, il y a Wolfysoft Notroyen, non seulement il vous prévient mais en plus il reboot la machine de la personne qui a tenté de vous attaquer.  A mettre dans le menu démarrer pour être sur de ne pas l'oublier.  Panda antivirus détecte à présent la plupart des chevaux de Troie aussi.

 

 

2 : Intrusion via les ressources partagées du système.

2.1 : Symptômes.

Difficile à déceler, ce type d'intrusion donne un accès complet en lecture et écriture à vos fichiers.  On peut se trouver en gros face a trois cas : le premier la personne est entré a regardé et est partie, elle a pu voler vos mots de passe Internet, et divers fichiers de données intéressants sur votre disque dur.  Dans le second cas, vous ne trouverez plus vos fichiers, ils auront disparus ou auront été modifiés, bref un casseur informatique est passé par là.  Dans le troisième cas qui est un cas vécu mais dont je ne citerai pas le nom de la victime, on vous dérobe des documents (Dans ce cas-ci une photo de votre copine légèrement vêtue), on la met sur un serveur internet en Belgique bien accessible et bien visité et on a en plus le culot de vous contacter et de demander si vous connaissez la fille en question qui n'est en réalité que votre copine...  Bref une situation extrêmement désagréable mais ici le pirate a commis une grosse erreur à savoir entrer en contact direct avec la victime, ce qui a permis de l'identifier.

 

2.2 : Risques.

Pertes de fichiers, virus, vols de documents, espionnage, bref vous mettez en public ce qui se trouve sur votre disque dur avec possibilité de modification.

 

2.3 : Description du cas.

La plupart des ordinateurs se mettant en petit réseau local à la maison ou s'étant mis un jour en réseau local, ont partagé des ressources telles que les disques durs et les imprimantes et soit celles-ci le sont sans mot de passe soit avec un mot de passe tellement ridicule que le trouver est enfantin.  Il suffit ainsi de taper une commande dos et on verra apparaître le nom de votre ordinateur ainsi que son groupe de travail.  On le rajoute dans un petit fichier de Windows, on met à jour et on recherche ensuite l'ordinateur dans le voisinage réseau.  Dès qu'il apparaît,  on l'ouvre, on fait quelques connections réseau et le tour est joué dans 80% des cas.  Alors pourquoi 80 ? Tout simplement parce que 20% des ordinateurs ont des mots de passe et qu'il est alors plus difficile de passer outre.   Avec ce système, il est même possible d'imprimer n'importe quoi sur votre imprimante, il suffit que la personne qui vous attaque dispose du cd-rom d'installation de 95 ou de NT pour avoir presque tous les drivers d'imprimante sous la main.

 

2.4 : Comment savoir si vous êtes déjà infecté ?

Avec ce type d'intrusion on n'est pas infecté comme dans le cas précédant mais plutôt vulnérable.  Allez dans votre voisinage réseau sur votre ordinateur et regardez tout ce que vous avez partagé sans mot de passe, c'est tout cela qui est potentiellement disponible sur internet lorsque vous vous connectez....

 

2.5 : Comment se protéger ?

La meilleure chose à faire est si on n'est pas en réseau local de désactiver le partage de fichiers et d'imprimantes dans le panneau de configuration du réseau ou si vous devez absolument travailler en réseau, le minimum absolu est de mettre des mots de passe et l'idéal est de prévoir un dossier spécial qui sera le seul partagé et qui servira au transferts de fichiers sur le réseau. Toute personne qui veut envoyer un fichier sur votre ordinateur le fera dans un répertoire spécial et ce sera à vous de le ranger et de l'effacer.  Evidemment ce dossier doit aussi lors de son partage se voire attribuer un mot de passe.  N'oubliez pas non plus de mettre un mot de passe sur votre imprimante au risque de voir sortir une photo de femme dévêtue sans savoir d'où elle vient...

image piratage cmd-windows
3 : Intrusion via un serveur FTP caché sur votre disque dur.

3.1 : Symptômes.

Identiques au cas précédent.

3.2 : Risques.

Identiques au cas précédent.

3.3 : Description du cas.

Ici encore il s'agit de vous faire exécuter un petit fichier zip auto-extractible donc en réalité un petit Exe.  Dès que vous le lancer, il va vous installer un serveur FTP

3.4 : Comment savoir si vous êtes déjà infecté ?

Downloadez Bouffe troyen, ce programme va rechercher en mémoire les troyens de type serveur FTP, socket de Troie et DMSETUP.   Il peut aussi tous les supprimer de votre disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. C’est un utilitaire à avoir ABSOLUMENT.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités

 

3.5 : Comment se protéger ?

La première règle de sécurité est la prévention, n'acceptez donc pas n'importe quoi de n'importe qui ca peut vous être fatal, en cas de doute exécutez le fichier et lancer immédiatement après Bouffe troyen.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités

 

4 : Intrusion ICQTROGEN.

4.1 : Symptômes.

Identiques à l'intrusion via FTP et ressources partagées avec en plus éventuellement des programmes qui se lancent tout seul.

4.2 : Risques.

Identiques a l'intrusion via FTP et ressources partagées en ce qui concerne les fichiers mais comme il est possible de lancer des programmes à distance et de mettre ce que l'on veut dedans, je dirais que les risques sont comme l'intrusion par le cheval de Troie.

4.3 : Description du cas.

Comme presque toujours, il s'agit de vous faire exécuter un programme qui va servir de serveur.  Celui-ci se trouve sur le port 4950 et permet à une personne qui dispose du programme de contrôle de se balader sur votre disque dur et d'y faire ce qu'elle veut.

4.4 : Comment savoir si vous êtes déjà infecté ?

Tapez dans une fenêtre dos la commande suivante : netstat -a et si vous voyez apparaitre une ligne comme celle-ci, alors vous êtes infectés.
TCP    XXXXXXX : 4950  .....................................

Ce fichier peut porter n'importe quel nom en mémoire, a vous de voir lequel vous devez enlever, ensuite quand vous êtes sur d'avoir trouvé le bon, il vous reste à l'effacer du disque dur afin qu'il ne se relance plus.

 

4.5 : Comment se protéger ?

Il n'existe aucune parade contre ce type d'attaque et elle peut être modifiée à souhait, à vous de faire attention donc, si vous avez doute pressez  CTRL-ALT-DEL et regardez si rien de louche ne s'y trouve.  Si vous vous êtes vraiment parano, vous pouvez configurer nuke nabber sur le 4950 en TCP si vous le désirez comme ca vous saurez qui essaye de vous attaquer.

 

5 : Intrusion via Hacker Paradise.

5.1 : Symptômes.

Tout ce qui ne se passe jamais quand votre ordinateur est Off-line : fermeture des fenêtres apparition et disparition de celles-ci, changement du nom des fenêtres, en fait la personne qui contrôle votre ordinateur le fait encore mieux que vous devant votre clavier et votre écran.  Comma d'habitude dans ce genre de programme, il y a un accès disque total.  A se demander pourquoi on sort de nouveaux chevaux de Troie, celui-ci sait presque tout faire.

5.2 : Risques.

Totaux.  Ce programme permet tout faire sur votre ordinateur au delà même de ce que vous pouvez imaginer.  Voler vos mot de passe pour les connections Internet avec votre User Name est un jeu d'enfant, changer le nom de la fenêtre est possible, la masquer la rendre visible tout le temps, la fermer, je ne vous parle pas des accès disque dur que même un gosse de 10 ans serait capable de faire, ni des possibilités de captures d'écran sinon vous allez tous devenir parano.

5.3 : Description du cas.

Comme il s'agit encore du principe du cheval de Troie, il s'agit de vous faire exécuter un programme va donner un accès total à votre ordinateur.  Le programme que l'on essaye de vous faire exécuter s’il n'a pas été modifié a une très jolie petite icône d'ange et son nom original est redemption.exe mais il peut avoir changé.

5.4 : Comment savoir si vous êtes déjà infecté ?

Une seule solution simple, downloader le Bouffe troyen qui va le détecter et le supprimer de votre mémoire.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités.  Tous deux sont disponibles dans la section fichiers de ce site.

5.5 : Comment se protéger ?

La méthode ne change pas, ne rien accepter de personnes inconnues.

 

6 : Intrusion via DMSETUP (IRC).

6.1 : Symptômes.

Le programme se décline déjà en deux versions : le dm setup simple et la dmsetup2.   La première n'est juste qu'un petit virus pas bien méchant qui vous déconnecte quand quelqu’un tape le mot clé message.  La version deux s'inspire des chevaux de Troie etc.  Il y aurait dedans un serveur de fichier et quelques backdoor qui permettraient à la personne qui vous attaque de faire des trucs pas très catholiques avec votre connexion IRC.

6.2 : Risques.

Vol de fichiers, classique finalement la routine comme dirait certains.

6.3 : Description du cas.

Vous devez comme chaque fois exécuter un programme exécutable.  Celui-ci n'est pas très évolué et dans 95% des cas si votre répertoire ne s'appelle pas mirc il ne le trouvera pas.  Dans la version que je possède, il se permet même le luxe d'ajouter une ligne à l'autoexec.bat et d'aller se copier un peu partout. 

6.4 : Comment savoir si vous êtes déjà infecté ?

Downloader le petit utilitaire dmcleanup dans la section fichiers qui va vérifier votre autoexec et les fichiers .ini en cas d'infection il va tout réparer très proprement.  Sinon le désormais très utile et très complet Bouffe troyen le permet aussi bien évidemment.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités.

6.5 : Comment se protéger ?

Ne pas accepter de fichiers de quelqu’un que vous ne connaissez pas et encore moins quand vous êtes sur IRC.

 

7 : Intrusion via Master Paradise.

7.1 : Symptômes.

Tout ce qui ne se passe jamais quand votre ordinateur est Off-line : fermeture des fenêtres apparition et disparition de celles-ci, changement du nom des fenêtres, en fait la personne qui contrôle votre ordinateur le fait encore mieux que vous devant votre clavier et votre écran.  Comma d'habitude dans ce genre de programme, il y a un accès disque total.  A se demander pourquoi on sort de nouveaux chevaux de Troie, celui-ci sait presque tout faire.

7.2 : Risques.

Totaux.  Ce programme permet tout faire sur votre ordinateur au delà même de ce que vous pouvez imaginer.  Voler vos mot de passe pour les connexions Internet avec votre User Name est un jeu d'enfant, changer le nom de la fenêtre est possible, la masquer la rendre visible tout le temps, la fermer, je ne vous parle pas des accès disque dur que même un gosse de 10 ans serait capable de faire, ni des possibilités de captures d'écran sinon vous allez tous devenir parano.

7.3 : Description du cas.

Comme il s'agit encore du principe du cheval de Troie, il s'agit de vous faire exécuter un programme va donner un accès total à votre ordinateur.  Le programme que l'on essaye de vous faire exécuter s’il n'a pas été modifié a une très jolie petite icône d'ange.

7.4 : Comment savoir si vous êtes déjà infecté ?

Faites CTRL-ALT-DEL et regardez si rien d'anormal ne s'y trouve, en cas de doute arrêter le programme dont vous douter er regarder si cela change d'effet.

7.5 : Comment se protéger ?

La méthode ne change pas, ne rien accepter de personnes inconnues.

 

8 : Intrusion via CDC Back Orifice.

8.1 : Symptômes.

Programmes qui s'arrêtent tout seul, fichiers qui disparaissent, programmes qui se lancent tout seul, éteignent de votre ordinateur, blocage de votre ordinateur, espionnage, quelqu'un sait vous dire ce que vous trappez sur votre clavier à la Majuscule près, fenêtre d'erreur avec des messages perso, loufoques ou n'ayant rien à voir avec votre système d'exploitation, bref la totale quoi....

8.2 : Risques.

Dans ce cas-ci les risques sont totaux, il est possible à n'importe quelle personne qui est connecté à internet et qui dispose du programme de contrôle de se connecter sur votre disque ordinateur.  Vous risquez d'avoir sur votre ordinateur les mêmes dégâts que si vous mettiez devant votre écran votre pire ennemi.  On sait absolument tout faire quand vous êtes infectés par le Back Orifice, je dirais même que ce programme contrôle encore mieux votre ordinateur que la personne qui se trouve devant, il autorise en effet l'accès à certaines ressources qui sont inaccessibles directement depuis votre clavier et votre souris tels que les password en mémoire, la possibilité de tuer TOUTES les applications qui tournent en mémoire, dll compris.

8.3 : Description du cas.

Comme presque toujours, il s'agit de vous faire exécuter un programme qui va servir de serveur.  Celui-ci se trouve sur le port 31337 par défaut mais la personne qui vous infecte a la possibilité de le mettre sur n'importe quel port d'ou la difficulté de le détecter de plus, il est possible d'assigner un password ainsi, si vous exécuter le programme et que la personne qui vous l'as envoyé a été assez intelligent pour le modifier, elle seule aura accès à votre ordinateur.  Ce programme peut donc si on cherche vraiment bien être un outil d'administration mais bon ca c'est l'excuse pour ne pas se le faire interdire....

8.4 : Comment savoir si vous êtes déjà infecté ?

La les solutions sont multiples et je dirais même que de solutions simple il en existe beaucoup depuis peu.  Du côté des anti-virus, Panda est un des seuls à détecter le phénomène et à pouvoir le supprimer de la mémoire uniquement.  C'est pourquoi je vous conseille le Bouffe troyen qui dès à présent le détecte et l'éradique complètement ou antigen, un programme spécialement conçu pour l'éradication de ce cheval de Troie. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités.  Tous deux sont disponibles dans la section fichiers de ce site.

8.5 : Comment se protéger ?

La première règle de sécurité est la prévention, n'acceptez donc pas n'importe quoi de n'importe qui ca peut vous être fatal, en cas de doute allez cherchez Panda antivirus, il est un des seul à pouvoir vous prémunir contre ce type d'attaque.

 


9 : Intrusion via Netbus.
 

9.1 : Symptômes.

Cd-Rom qui s'ouvre tout seul, souris qui se déplace toute seule, inversion des boutons de la souris, programmes qui démarrent tout seul, messages, sons qui n'ont rien à voir avec le contexte, écran qui se renverse.....

9.2 : Risques.

Dans ce cas-ci les risques sont moyens, il n'y a pas d'option directe pour effacer vos fichiers ou formater votre disque dur mais ca ne reste pas très difficile à mettre en œuvre.  L'interface en réalité est complexe et ne permette que peu de choses destructrices rapidement.

9.3 : Description du cas.

Comme presque toujours, il s'agit de vous faire exécuter un programme qui va servir de serveur.  Celui-ci se trouve sur le port 12345 de votre ordinateur.

9.4 : Comment savoir si vous êtes déjà infecté ?

Une seule solution simple, downloader le Bouffe troyen qui va le détecter et le supprimer de votre mémoire.  Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffe troyen avec toutes ses possibilités.  Tous deux sont disponibles dans la section fichiers de ce site

9.5 : Comment se protéger ?

La méthode ne change pas, ne rien accepter de personnes inconnues.

 

Pour un petit aperçu des possibilités de ce programme, je vous invite à voire ces quelques captures d'écran de la console de contrôle.

Télécharge ici un pare-feu (Anti-intrusion) !

 

ATTENTION, IL EXISTE DE NOMBREUSES VARIANTES ET AUTRES POSSIBILITES DE S'INTRODUIRE SUR VOTRE DISQUE DUR, NE CROYEZ SURTOUT PAS QUE VOUS SAVEZ TOUT APRES AVOIR LU CETTE PAGE.

Source : http://www.anti-hack.org/