Intrusion HD
Depuis quelques temps, certaines personnes prennent un malin plaisir à essayer de se connecter sur les disques durs des autres. Rare est celle qui le fait pour le plaisir, mais plus fréquentes sont celles qui le font pour voler de l'information, introduire des virus, lire votre courrier ou voler vos passwords pour vos connections Internet. Il est clair que cela peut aller très loin, c'est pourquoi je vais tenter de vous expliquer comment vous défendre contre les méthodes les plus en vogues pour le moment. Je vous conseille donc de faire très attention car même si vous n'êtes pas infectés par un de ceux-ci il en existe certainement d'autres... Pour chaque type d'intrusion, vous trouverez les symtômes, les risques et les manières de vous en protéger.
1 : Intrusion dite du "Socket de Troie"
1.1 : Symtômes.
Lors de l'intrusion via le socket de troie, on a l'impression que le disque dur gratte sans arrêt et travaille on ne sait pas pourquoi. Il est possible de contrôler presque complètement votre ordinateur, si il se met à imprimer tout seul, à jouer des sons, si les applications se lancent toute seules, si la lampe send data de votre modem est allumé alors que vous n'envoyer ni mail ni fichiers sur Internet, il y a fort à parier que vous êtes infectés ET en train de vous faire visiter.
1.2 : Risques.
Dans ce cas-ci les risques sont totaux, il est possible à n'importe quelle personne qui est connecté à internet et qui dispose du programme de contrôle de se connecter sur votre disque ordinateur. Vous risquez d'avoir sur votre ordinateur les mêmes dégâts que si vous mettiez devant votre écran votre pire ennemi. On sait absolument tout faire quand vous êtes infectés par le "Socket de Troie", alors faites attention ...
1.3 : Description du cas.
Comme son nom l'indique, cette attaque de votre ordinateur s'inspire de la vieille histoire du "Cheval de Troie". Ne sachant pas entrer dans la ville, les assaillants de Troie, y laissairent un cheval comme cadeau mais quel cadeau empoisonné. A la nuit tombée, le cheval ayant été rentré dans la ville, les soldats qui s'y étaient cachés en sortirent quand tout le monde dormait et ouvrirent les portes de la ville. C'est très exactement le même principe pour ce programme qui se décline déjà en plus de 3 versions toutes plus démencielles les unes que les autres.
Cette intrusion est possible uniquement si vous avez installé un genre de petit serveur sur votre ordinateur. Ce petit serveur est contenu dans un fichier dont la taille est de 328 K pour la première version, 332 K pour la seconde et indéfini pour la troisieme version car il est possible de le cacher dans n'importe quel exécutable... Alors ce petit serveur c'est très simple, la personne qui veut entrer chez vous ne va pas vous dire ce que c'est mais va vous le présenter comme un programme qui bien souvent et comme par hasard est soit très recherché sur internet soit en rappport direct avec vos Hobbies. Mais il n'en est rien, si vous exécutez ce programme et si vous ne réagissez pas très très vite, vous êtes perdus.
Dès que vous exécuter ce programme, il va ouvrir un port de communication (dans l'histoire ancienne, c'était les portes de la ville, voyer comme ca ne change pas beaucoup ) qui va permettre à n'importe qui qui est sur Internet de se brancher sur votre disque dur. Comme ce fameux programme ne contient en réalité absolument rien qui ait un quelconque rapport avec ce pour quoi on vous l'avais présenté, les personnes qui l'on conçu on été assez intelligentes et font apparaître un écran comme celui-ci :
Attention vous verrez ce message d'erreur si la personne qui veut entrer chez vous tente de vous infecter par la première version. La seconde version de ce programme est bien plus vicieuse et soit vous verrez apparaître une fenêtre comme celle-ci
soit carrément rien du tout, vous exécutez les programme et rien ne se passe et pourtant vous êtes infectés...
Sans vouloir choquer personne je dirai que la troisième version est la plus sadique que j'ai jamais vue, en effet, on va vous présentez un fichier qui est par exemple un superbe petit utilitaire de souris. Non seulement vous allez effectivement recevoir un superbe utilitaire de souris mais en plus, le fameux petit serveur ou cheval de troie. Il est en effet possible de cacher le serveur dans n'importe quel exécutable. Non seulement on peut le mettre comme un virus dans un fichier executable mais en plus, une fois exécuté sur votre ordinateur il va se multiplier et si vous ne savez pas que vous l'avez vous risquez simplement de le refiler à d'autres et d'ainsi ouvrir les portes des ordinateurs de vos amis au premier venu sans même que vous le sachier.
1.4 : Comment savoir si vous êtes déjà infecté ?
Bouffe Troyen ce programme va rechercher en mémoire les troyens de type serveur FTP, socket de troie et DMSETUP. Il peut aussi tous les supprimer de votre disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. Cest un utilitaire à avoir ABSOLUMENT . Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités
1.5 : Comment se protéger ?
La première rêgle de sécurité est la prévention, n'accetpez donc pas n'importe quoi de n'importe qui ca peut vous être fatal. Si vous voulez savoir qui tente de pénétrez votre ordinateur au cas ou vous auriez installé le programme, il y a Wolfysoft Notroyen, non seulement il vous prévient mais en plus il reboot la machine de la personne qui a tené de vous attaquer. A mettre dans le menu démarrer pour être sur de ne pas l'oublier. Panda antivirus détecte à présent laplupart des chevaux de troie aussi.
2 : Intrusion via les ressources partagées du système.
2.1 : Symtômes.
Difficile à déceler, ce type d'intrusion donne un acces complet en lecture et écriture à vos fichiers. On peut se trouver en gros face a trois cas : le premier la personne est entré a regardé et est partie, elle a pu voler vos mots de passe Internet, et divers fchiers de données intéressants sur votre disue dur. Dans le second cas, vous ne trouverez plus vos fichiers, ils auront disparus ou auront été modifiés, bref un casseur informatique est passé par là. Dans le troisième cas qui est un cas vécu mais dont je ne citerai pas le nom de la victime, on vous dérobe des documents (Dans ce cas-ci une photo de votre copine légèrement vêtue), on la met sur un serveur internet en Belgique bien accessible et bien visité et on a en plus le culot de vous contacter et de demander si vous connaissez la fille en question qui n'est en réalité que votre copine... Bref une situation extrêmement désagréable mais ici le pirate a commis une grosse erreur à savoir entrer en contact direct avec la victime, ce qui a permis de l'identifier.
2.2 : Risques.
Pertes de fichiers, virus, vols de documents, espionnage, bref vous mettez en public ce qui se trouve sur votre disque dur avec possibilité de modification.
2.3 : Description du cas.
La plupart des ordinateurs se mettant en petit réseau local à la maison ou s'étant mis un jour en réseau local, ont partagé des ressources telles que les disques durs et les imprimantes et soit celles-ci le sont sans mot de passe soit avec un mot de passe tellement ridicule que le trouver est enfantin. Il suffit ainsi de taper une commande dos et on verra apparaître le nom de votre ordinateur ainsi que son groupe de travail. On le rajoute dans un petit fichier de Windows, on met à jour et on recherche ensuite l'ordinateur dans le voisinage réseau. Dès qu'il apparaît, on l'ouvre, on fait quelques connections réseau et le tour est joué dans 80% des cas. Alors pourquoi 80 ? ?. Tout simplement parce que 20% des ordinateurs ont des mots de passe et qu'il est alors plus difficile de passer outre. Avec ce système, il est même possible d'imprimer n'importe quoi sur votre imprimante, il suffit que la personne qui vous attaque dispose du cd-rom d'installation de 95 ou de NT pour avoir presque tous les drivers d'imprimante sous la main.
2.4 : Comment savoir si vous êtes déjà infecté ?
Avec ce type d'intrusion on n'est pas infecté comme dans le cas précédant mais plutôt vulnérable. Allz dans votre voisinage réseau sur votre ordinateur et regardez tout ce que vous avez partagé sans mot de passe, c'est tout cela qui est potentiellement disponible sur internet lorsque vous vous connectez....
2.5 : Comment se protéger ?
La meilleure chose à faire est si on n'est pas en réseau local de désactiver le partage de fichiers et d'imprimantes dans le panneau de configuration du réseau ou si vous devez absolument travailler en réseau, le minimum absolu est de mettre des mots de passe et l'idéal est de prévoir un dossier spécial qui sera le seul partagé et qui servira au transferts de fichiers sur le réseau. Toute personne qui veux envoyer un fichier sur votre ordinateur le fera dans un répertoire spécial et ce sera a vous de le ranger et de l'effacer. Evidemment ce dossier doit aussi lors de son partage se voire attribuer un mot de passe. N'oubliez pas non plus de mettre un mot de passe sur votre imprimante au risque de voir sortir une photo de femme dévêtue sans savoir d'où elle vient...
3 : Intrusion via un serveur FTP caché sur votre disque dur.
3.1 : Symtômes.
Identiques au cas précédent.
3.2 : Risques.
Identiques au cas précédent.
3.3 : Description du cas.
Ici encore il s'agit de vous faire exécuter un petit fichier zip auto-extractible donc en réalité un petit exe. Dès que vous le lancer, il va vous installer un serveur FTP
3.4 : Comment savoir si vous êtes déjà infecté ?
Bouffe Troyen ce programme va rechercher en mémoire les troyens de type serveur FTP, socket de troie et DMSETUP. Il peut aussi tous les supprimer de votre disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. Cest un utilitaire à avoir ABSOLUMENT . Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités
3.5 : Comment se protéger ?
La première rêgle de sécurité est la prévention, n'accetpez donc pas n'importe quoi de n'importe qui ca peut vous être fatal, en cas de doute exécutez le fichier et lancer immédiatement après Bouffe Troyen.
Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités.
4 : Intrusion ICQTROGEN.
4.1 : Symtômes.
Identiques a l'intrusion via FTP et ressources partagées avec en plus éventuellment des programmes qui se lancent tout seul.
4.2 : Risques.
Identiques a l'intrusion via FTP et ressources partagées en ce qui concerne les fichiers mais comme il est possible de lancer des programmes à distance et de mettre ce que l'on veut dedans, je dirais que les risques sont comme l'intrusion par le cheval de troie.
4.3 : Description du cas.
Comme presque toujors, il s'agit de vous faire executer un programme qui va servir de serveur. Celui-ci se trouve sur le port 4950 et permet à une personne qui dispose du programme de contrôle de se ballader sur votre disque dur et d'y faire ce qu'elle veut.
4.4 : Comment savoir si vous êtes déjà infecté ?
Tappez dans une fenêtre dos la commande suivante : netstat -a et si vous voyez apparaitre un ligne comme celle-ci, alors vous êtes infectés.
TCP XXXXXXX : 4950 .....................................
Ce fichier peut portter n'importe quel nom en mémoire, a vous de voir lequel vous devez enlever, ensuite quand vous êtes sur d'avoir trouvé le bon , il vous reste à l'effacer du disque dur afin qu'il ne se relance plus.
4.5 : Comment se protéger ?
Il n'existe aucune parade contre ce type d'attaque et elle peut etre modifiée à souhait, à vous de faire atteintion donc, si vous avez doute pressez CTRL-ALT-DEL et regardez si rien de louche ne s'y trouve. Si vous vous êtes vraiment parano, vous pouvez configurer NukkeNabber sur le 4950 en TCP si vous le désirez comme ca vous saurez qui essaye de vous attaquer.
5 : Intrusion via Hacker paradise.
5.1 : Symtômes.
Tout ce qui ne se passe jamais quand votre ordinateur est Off-line : fermeture des fenêtres apparition et disparition de celles-ci, changement du nom des fenêtres, en fait la personne qui contôle votre ordinateur le fait encore mieux que vous devant votre clavier et votre écran. Comma d'habitude dans ce genre de programe, il y a un accès disque total. A se demander pourquoi on sort de nouveaux chevaux de troie, celui-ci sait presque tout faire.
5.2 : Risques.
Totaux. Ce programme permet tout faire sur votre ordinateur au delà même de ce que vous pouvez imaginer. Vloer vos mot de passe pour les coonection Internet avec votre User Name est un jeu d'enfant, chnager le nom de la fenêtre est possible, la masquer la rendre visible tout le temps, la fermer, je ne vous parle pas des accès disque dur que même un gosse de 10 ans serait capable de faire, ni des possibilités de captures d'écran sinon vous allez tous devenir parano.
5.3 : Description du cas.
Comme il s'agit encore du principe du cheval de troie, il s'agit de vous faire exécuter un programme va donner un accès total à votre ordinateur. Le programme que l'on essaye de vous faire exécuter si il n'a pas été modifié a une très jolie petite icône d'ange et son nom original est redemption.exe mais il peut avoir changé.
5.4 : Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, le Bouffe Troyen qui va le détecter et le supprimer de votre mémoire. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités.
5.5 : Comment se protéger ?
La méthode ne change pas, ne rien accepter de personnes inconnues.
6 : Intrusion via DMSETUP (IRC).
6.1 : Symtômes.
le programme se décline déjà en deux version : la dmsetup simple et la dmsetup2. Le première n'est juste qu'un petit virus pas bien méchant qui vous déconnecte quand quelqun tape le mot clé message. Le version deux s'inspire des chevaux de troie etc. il y aurait dedans un serveur de fichier et quelques backdoor qui permetterait à la personne qui vous attaque de faire des trucs pas très catholiques avec votre connexion IRC.
6.2 : Risques.
Vol de fichiers, classique finalement la routine comme dirait certains.
6.3 : Description du cas.
Vous devez comme chaque fois exécueter un programme exécutable. Celui-ci n'est pas très évolué et dans 95% des cas si votre repertoire ne s'appelle pas mirc il ne le trouvera pas. Dans la version que je possède, il se permet même le luxe d'ajouter une ligne à l'autoexec.bat et d'aller se copier un peu partout.
6.4 : Comment savoir si vous êtes déjà infecté ?
Le petit utilitaire dmcleanup va vérifier votre autoexec et les fichiers .ini en cas d'infection il va tout réparer très proprement. Sinon le désormais très utile et très complet Bouffe Tryen le permet aussi bien évidemment. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités.
6.5 : Comment se protéger ?
Ne pas accepter de fichiers de quelqun que vous ne connaissez pas et encore moins quand vous êtes sur IRC.
7 : Intrusion via Master Paradise.
7.1 : Symtômes.
Tout ce qui ne se passe jamais quand votre ordinateur est Off-line : fermeture des fenêtres apparition et disparition de celles-ci, changement du nom des fenêtres, en fait la personne qui contôle votre ordinateur le fait encore mieux que vous devant votre clavier et votre écran. Comma d'habitude dans ce genre de programe, il y a un accès disque total. A se demander pourquoi on sort de nouveaux chevaux de troie, celui-ci sait presque tout faire.
7.2 : Risques.
Totaux. Ce programme permet tout faire sur votre ordinateur au delà même de ce que vous pouvez imaginer. Vloer vos mot de passe pour les coonection Internet avec votre User Name est un jeu d'enfant, chnager le nom de la fenêtre est possible, la masquer la rendre visible tout le temps, la fermer, je ne vous parle pas des accès disque dur que même un gosse de 10 ans serait capable de faire, ni des possibilités de captures d'écran sinon vous allez tous devenir parano.
7.3 : Description du cas.
Comme il s'agit encore du principe du cheval de troie, il s'agit de vous faire exécuter un programme va donner un accès total à votre ordinateur. Le programme que l'on essaye de vous faire exécuter si il n'a pas été modifié a une très jolie petite icône d'ange.
7.4 : Comment savoir si vous êtes déjà infecté ?
Faites CTRL-ALT-DEL et regardez si rien d'anormal ne s'y trouve, en cas de doute arreter le programme dont vous douter er regarder si cela change d'effet.
7.5 : Comment se protéger ?
La méthode ne change pas, ne rien accepter de personnes inconnues.
8 : Intrusion via cDc Back Orifice.
8.1 : Symtômes.
Programmes qui s'arrêtent tout seul, fichiers qui disparaissent, programmes qui se lancent tout seul, shut down de votre ordinateur, blocage de votre ordinateur, espionnage, quelqu'un sait vous dire ce que vous tappez sur votre clavier à la Majuscule près, fenêtre d'erreur avec des messages perso, loufoques ou n'ayant rien à voir avec votre système d'exploitation, bref la totale quoi....
8.2 : Risques.
Dans ce cas-ci les risques sont totaux, il est possible à n'importe quelle personne qui est connecté à internet et qui dispose du programme de contrôle de se connecter sur votre disque ordinateur. Vous risquez d'avoir sur votre ordinateur les mêmes dégâts que si vous mettiez devant votre écran votre pire ennemi. On sait absolument tout faire quand vous êtes infectés par le Back Orifice, je dirais même que ce programme contôle encore mieux votre ordinateur que la personne qui se trouve devant, il autorize en effet l'acces à certaines ressources qui sont inaccessibles directement depuis votre clavier et votre souris tels que les password en mémoire, la possibilité de tuer TOUTES les applications qui tournent en mémoire, dll compris.
8.3 : Description du cas.
Comme presque toujors, il s'agit de vous faire executer un programme qui va servir de serveur. Celui-ci se trouve sur le port 31337 par defaut mais la personne qui vous infecte a la possibilité de le mettre sur n'importe quel port d'ou la difficulté de le détecter de plus, il est possible d'assigner un password ainsi, si vous exécuter le programme et que la personne qui vous l'as envoyé a été assez inelligent pour le modifier, elle seule aura accès à votre ordinateur. Ce programme peut donc si on cherche vraiment bien être un outil d'administration mais bon ca c'est l'excuse pour ne pas se le faire interdire....
8.4 : Comment savoir si vous êtes déjà infecté ?
La les solutions sont multiples et je dirais même que de solutions simple il en existe beaucoup depuis peu. Du côté des anti-virus, Panda est un des seul à détecter le phénomène et à pouvoir le supprimer de la mémoire uniquement. C'est pourquoi je vous conseille le Bouffe Troyen qui dès à présent le détecte et l'éradique complètement ou antigen, un programme spécialement concu pour l'éradication de ce chavl de troie. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités.
8.5 : Comment se protéger ?
La première rêgle de sécurité est la prévention, n'accetpez donc pas n'importe quoi de n'importe qui ca peut vous être fatal, en cas de doute allez cherchez Panda Antivirus, il est un des seul à pouvoir vous prémunir contre ce type d'attaque.
9 : Intrusion via Netbus.
9.1 : Symtômes.
Cd-Rom qui s'ouvre tout seul, souris qui se déplace toute seule, inversion des boutons de la souris, programmes qui démarrent tout seuls, messages, sons qui n'ont rien à voir avec le contexte, écran qui se renverse.....
9.2 : Risques.
Dans ce cas-ci les risques sont moyens, il n'y a pas d'option directe pour effacer vos fichiers ou formatter votre disque dur mais ca ne reste pas tres difficile à mettre en oeuvre. L'interface en réalité est complexe et ne permete que peu de choses desctructrices rapidement.
9.3 : Description du cas.
Comme presque toujors, il s'agit de vous faire executer un programme qui va servir de serveur. Celui-ci se trouve sur le port 12345 de votre ordinateur.
9.4 : Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, downloader le Bouffe Troyen qui va le détecter et le supprimer de votre mémoire. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser le bouffetroyen avec toutes ses possibilités
9.5 : Comment se protéger ?
La méthode ne change pas, ne rien accepter de personnes inconnues.