Dossier : Porte dérobées (backdoor), Chevaux de Troie

Portes dérobées



Ces chevaux de Troie sont les plus dangereux et les plus répandus à
l'heure actuelle. Il s'agit d'utilitaire d'administration à distance
qui permettent de prendre les commandes des ordinateurs infectés via un
LAN ou Internet. Ils fonctionnent de la même manière que les programmes
d'administration à distance licites utilisés par les administrateurs
système. Cela complique leur détection.

La seule différence entre un outil d'administration licite et une
porte dérobée est que les portes dérobée sont installées et exécutées
sans le consentement de l'utilisateur de la machine. Une fois que la
porte dérobée a été exécutée, elle surveille le système local à l'insu
de l'utilisateur. Bien souvent elle n'apparaîtra pas dans le journal
des applications actives.

Aussitôt qu'un utilitaire d'administration à distance a été
installé, l'ordinateur est ouvert à tout vent. Parmi les fonctions
d'une porte dérobée, citons :

Envoi/réception de fichiers Lancement/suppression de fichiers Exécution de fichiers Affichage de messages Suppression de données Redémarrage de la machine En d'autres termes, les auteurs de virus utilisent les portes dérobées pour détecter et télécharger des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux bot, etc. En résumé, les portes dérobées combinent les fonctions de la majorité des autres types de chevaux de Troie dans un seul ensemble. Il existe un sous-groupe de portes dérobées qui peut être particulièrement dangereux : les variantes qui se propagent comme des vers. La seule différence est que les vers sont programmés pour se propager en permanence tandis que les portes dérobées "mobiles" se propagent uniquement lorsqu'elles ont reçu la commande de leur « maître ». Chevaux de Troie générique Cette catégorie assez vague regroupe un ensemble de chevaux de Troie qui endommagent les ordinateurs des victimes, qui menacent l'intégrité des données ou nuisent au fonctionnement de l'ordinateur. Les chevaux de Troie à fonctions multiples sont également repris dans ce groupe car certains auteurs de virus les préfèrent aux ensembles de chevaux de Troie. Chevaux de Troie PSW Ces chevaux de Troie volent les mots de passe, en général les mots de passe système, sur l'ordinateur attaqué. Ils recherchent les fichiers système qui contiennent des informations confidentielles telles que les mots de passe ou les numéros de téléphone d'accès à Internet et envoient les infos à une adresse de courrier électronique codée dans le corps du cheval de Troie. Ces infos sont ensuite recueillies par le « maître » ou l'utilisateur du programme illicite. Certains chevaux de Troie PSW volent d'autres types de renseignements comme : Les détails du système (mémoire, espace disque disponible, système d'exploitation) Le client de messagerie local Les adresses IP Les détails d'enregistrement Les mots de passe pour les jeux en ligne Les chevaux de Troie AOL sont des chevaux de Troie qui volent les mots de passe d'AOL (America Online). Leur très grand nombre justifie la création d'un sous-groupe. Chevaux de Troie cliqueurs Ces chevaux de Troie redirigent les ordinateurs vers des sites Web ou d'autres ressources Internet spécifiques. Ils envoient les commandes nécessaires au navigateur ou remplacent les fichiers système dans lesquels les URL standard sont stockées (ex. : les fichiers hôte dans MS Windows). Les cliqueurs sont utilisés pour : Augmenter le nombre de visites sur un site spécifique à des fins publicitaires Organiser une attaque par déni de service sur un serveur ou un site spécifique Conduire l'ordinateur victime vers une ressource infectée où il sera attaqué par d'autres programmes malveillants (virus ou chevaux de Troie) Rootkit - Camoufle leur présence dans le système d'exploitation La notion de rootkit vient de Unix. A l'origine, ce terme désignait une série d'outils utilisés pour obtenir les droits administrateur. Une telle définition des rootkit à l'heure actuelle est obsolète étant donné que les outils de type rootkit se sont adaptés aux autres OS (Windows y compris). Le rootkit d'aujourd'hui est un code ou une technique destinée à cacher la présence dans le système d'objets donnés (procédés, fichiers, clé de registre etc.). Pour ce qui est de définir le comportement des rootkit dans la classification de Kaspersky Lab, une loi d'absorption a été instaurée: un rootkit sera toujours considéré comme le comportement le moins dangereux comparé aux autres programmes malicieux. En d'autres termes, si un programme rootkit présente un composant de Trojan, alors il sera détecté comme Trojan. Chevaux de Troie téléchargeurs Cette famille de chevaux de Troie télécharge et installe des programmes malveillants ou des logiciels publicitaires sur l'ordinateur de la victime. Le téléchargeur procédera ensuite soit au lancement du nouveau programme malveillant ou l'enregistrera pour permettre une exécution automatique en fonction des exigences du système d'exploitation. Tout cela est réalisé sans le consentement de l'utilisateur. Les noms et les emplacements des programmes malveillants à télécharger sont soit codés dans le cheval de Troie, soit téléchargés depuis un site Web spécifique ou une autre ressource internet. Chevaux de Troie droppers Ces chevaux de Troie servent à installer d'autres programmes malveillants à l'insu de l'utilisateur. Les droppers installent leur charge utile sans afficher aucun avertissement ou faux message d'erreur dans un fichier archivé ou dans le système d'exploitation. Le nouveau programme malveillant est déposé dans un endroit spécifié sur le disque local puis il est exécuté. La structure des droppers ressemble généralement à ceci : Fichier principal contient la charge utile du dropper Fichier 1 première charge utile Fichier 2 deuxième charge utile ... autant de fichiers que l'auteur souhaite Le dropper contient un code qui permet l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Dans la majorité des cas, cette charge utile renferme d'autres chevaux de Troie et au moins un canular: blagues, jeux, images, etc. Le canular vise à détourner l'attention de l'utilisateur ou à prouver que l'activité du dropper est bénigne. En fait, il sert à masquer l'installation de la charge utile dangereuse. Les pirates informatiques utilisent ces programmes pour atteindre deux objectifs : Installation masquée d'autres chevaux de Troie ou virus; Jouer un tour aux logiciels antivirus qui ne sont pas en mesure d'analyser tous les composants. Chevaux de Troie proxy Ces chevaux de Troie font office de serveur proxy et offre un accès Internet anonyme depuis les ordinateurs attaqués. A l'heure actuelle, ces chevaux de Troie sont très populaires auprès des spammeurs qui sont toujours à la recherche d'autres ordinateurs pour la diffusion massive de messages électroniques. Les auteurs de virus penseront bien souvent à inclure un cheval de Troie proxy dans un ensemble de chevaux de Troie afin de pouvoir vendre le réseau de machines infectées aux spammeurs. Chevaux de Troie espions Cette famille regroupe des logiciels espion et d'enregistrement des frappes du clavier qui surveillent et enregistrent l'activité de l'utilisateur sur l'ordinateur avant de transmettre ces informations au maître. Les chevaux de Troie espions recueillent les informations suivantes : Frappes de clavier Captures d'écran Journaux des applications actives Autres actions des utilisateurs Ces chevaux de Troie sont bien souvent utilisés pour dérober des informations à caractère financier pour alimenter les fraudes en ligne. Chevaux de Troie notificateurs Ces chevaux de Troie envoient au « maître » des renseignements relatifs à la machine infectée. Ils confirment la réussite de l'infection et envoient des informations relatives à l'adresse IP, aux numéros de ports ouverts, aux adresses de courrier électronique, etc. de l'ordinateur attaqué. Ces informations sont envoyés via courrier électronique au site du maître ou via ICQ. Les notificateurs sont normalement repris dans les ensembles de chevaux de Troie et servent uniquement à informer le maître de la réussite de l'installation d'un cheval de Troie sur l'ordinateur de la victime. Bombes d'archive Ces chevaux de Troie sont des fichiers archivés qui ont été codés pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le fichier archivé infecté. L'explosion de la bombe entraînera le ralentissement ou le plantage de l'ordinateur. Elle peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs, surtout lorsque les donnée entrantes sont traitées automatiquement au départ : dans ce cas, le serveur plantera. Il existe trois types de bombes : en-tête incorrecte dans l'archive, données répétées et série de fichiers identiques dans l'archive. Une archive dont l'en-tête est incorrecte ou dont les données sont corrompues peut entraîner le plantage de l'utilitaire de décompression lors de l'ouverture et du décompactage de l'archive infectée. Un fichier lourd qui contient des données qui se répètent peut devenir une archive très petite : un total de 5 Mo sera ramené à 200 Ko en cas de compression au format RAR et de 480 Ko au format ZIP. De plus, il existent des technologies spéciales pour compacter un très grand nombre de fichiers identiques au sein d'une archive sans que cela n'ait de répercussions sur la taille de l'archive elle-même : par exemple, il est possible de compacter 10100 fichiers identique dans un fichier RAR de 30 Ko ou dans un fichier ZIP de 230 Ko.

Merci methodix pour ces informations.
sujet trés intéressant.