Forum INFOMATH
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

Dossier : Porte dérobées (backdoor), Chevaux de Troie

2 participants

Aller en bas

Dossier : Porte dérobées (backdoor), Chevaux de Troie Empty Dossier : Porte dérobées (backdoor), Chevaux de Troie

Message par methodiX Sam 6 Juin - 20:45

Portes dérobées



Ces chevaux de Troie sont les plus dangereux et les plus répandus à
l'heure actuelle. Il s'agit d'utilitaire d'administration à distance
qui permettent de prendre les commandes des ordinateurs infectés via un
LAN ou Internet. Ils fonctionnent de la même manière que les programmes
d'administration à distance licites utilisés par les administrateurs
système. Cela complique leur détection.

La seule différence entre un outil d'administration licite et une
porte dérobée est que les portes dérobée sont installées et exécutées
sans le consentement de l'utilisateur de la machine. Une fois que la
porte dérobée a été exécutée, elle surveille le système local à l'insu
de l'utilisateur. Bien souvent elle n'apparaîtra pas dans le journal
des applications actives.

Aussitôt qu'un utilitaire d'administration à distance a été
installé, l'ordinateur est ouvert à tout vent. Parmi les fonctions
d'une porte dérobée, citons :


  • Envoi/réception de fichiers
  • Lancement/suppression de fichiers
  • Exécution de fichiers
  • Affichage de messages
  • Suppression de données
  • Redémarrage de la machine


    En d'autres termes, les auteurs de virus utilisent les portes
    dérobées pour détecter et télécharger des informations confidentielles,
    exécuter un code malicieux, détruire des données, inclure l'ordinateur
    dans des réseaux bot, etc. En résumé, les portes dérobées combinent les
    fonctions de la majorité des autres types de chevaux de Troie dans un
    seul ensemble.

    Il existe un sous-groupe de portes dérobées qui peut être
    particulièrement dangereux : les variantes qui se propagent comme des
    vers. La seule différence est que les vers sont programmés pour se
    propager en permanence tandis que les portes dérobées "mobiles" se
    propagent uniquement lorsqu'elles ont reçu la commande de leur « maître
    ».

    Chevaux de Troie générique



    Cette catégorie assez vague regroupe un ensemble de chevaux de Troie
    qui endommagent les ordinateurs des victimes, qui menacent l'intégrité
    des données ou nuisent au fonctionnement de l'ordinateur.

    Les chevaux de Troie à fonctions multiples sont également repris
    dans ce groupe car certains auteurs de virus les préfèrent aux
    ensembles de chevaux de Troie.

    Chevaux de Troie PSW



    Ces chevaux de Troie volent les mots de passe, en général les mots
    de passe système, sur l'ordinateur attaqué. Ils recherchent les
    fichiers système qui contiennent des informations confidentielles
    telles que les mots de passe ou les numéros de téléphone d'accès à
    Internet et envoient les infos à une adresse de courrier électronique
    codée dans le corps du cheval de Troie. Ces infos sont ensuite
    recueillies par le « maître » ou l'utilisateur du programme illicite.

    Certains chevaux de Troie PSW volent d'autres types de renseignements comme :


    • Les détails du système (mémoire, espace disque disponible, système d'exploitation)
    • Le client de messagerie local
    • Les adresses IP
    • Les détails d'enregistrement
    • Les mots de passe pour les jeux en ligne


    Les chevaux de Troie AOL sont des chevaux de Troie qui volent les
    mots de passe d'AOL (America Online). Leur très grand nombre justifie
    la création d'un sous-groupe.

    Chevaux de Troie cliqueurs



    Ces chevaux de Troie redirigent les ordinateurs vers des sites Web
    ou d'autres ressources Internet spécifiques. Ils envoient les commandes
    nécessaires au navigateur ou remplacent les fichiers système dans
    lesquels les URL standard sont stockées (ex. : les fichiers hôte dans
    MS Windows).

    Les cliqueurs sont utilisés pour :


    • Augmenter le nombre de visites sur un site spécifique à des fins publicitaires
    • Organiser une attaque par déni de service sur un serveur ou un site spécifique
    • Conduire l'ordinateur victime vers une ressource infectée où
      il sera attaqué par d'autres programmes malveillants (virus ou chevaux
      de Troie)


    Rootkit - Camoufle leur présence dans le système d'exploitation



    La notion de rootkit vient de Unix. A l'origine, ce terme désignait
    une série d'outils utilisés pour obtenir les droits administrateur.

    Une telle définition des rootkit à l'heure actuelle est obsolète
    étant donné que les outils de type rootkit se sont adaptés aux autres
    OS (Windows y compris).

    Le rootkit d'aujourd'hui est un code ou une technique destinée à
    cacher la présence dans le système d'objets donnés (procédés, fichiers,
    clé de registre etc.).

    Pour ce qui est de définir le comportement des rootkit dans la
    classification de Kaspersky Lab, une loi d'absorption a été instaurée:
    un rootkit sera toujours considéré comme le comportement le moins
    dangereux comparé aux autres programmes malicieux. En d'autres termes,
    si un programme rootkit présente un composant de Trojan, alors il sera
    détecté comme Trojan.


    Chevaux de Troie téléchargeurs



    Cette famille de chevaux de Troie télécharge et installe des
    programmes malveillants ou des logiciels publicitaires sur l'ordinateur
    de la victime. Le téléchargeur procédera ensuite soit au lancement du
    nouveau programme malveillant ou l'enregistrera pour permettre une
    exécution automatique en fonction des exigences du système
    d'exploitation. Tout cela est réalisé sans le consentement de
    l'utilisateur.

    Les noms et les emplacements des programmes malveillants à
    télécharger sont soit codés dans le cheval de Troie, soit téléchargés
    depuis un site Web spécifique ou une autre ressource internet.

    Chevaux de Troie droppers



    Ces chevaux de Troie servent à installer d'autres programmes
    malveillants à l'insu de l'utilisateur. Les droppers installent leur
    charge utile sans afficher aucun avertissement ou faux message d'erreur
    dans un fichier archivé ou dans le système d'exploitation. Le nouveau
    programme malveillant est déposé dans un endroit spécifié sur le disque
    local puis il est exécuté.

    La structure des droppers ressemble généralement à ceci :

    Fichier principal
    contient la charge utile du dropper
    Fichier 1
    première charge utile
    Fichier 2
    deuxième charge utile
    ...
    autant de fichiers que l'auteur souhaite


    Le dropper contient un code qui permet l'installation et l'exécution de tous les fichiers qui constituent la charge utile.

    Dans la majorité des cas, cette charge utile renferme d'autres
    chevaux de Troie et au moins un canular: blagues, jeux, images, etc. Le
    canular vise à détourner l'attention de l'utilisateur ou à prouver que
    l'activité du dropper est bénigne. En fait, il sert à masquer
    l'installation de la charge utile dangereuse.

    Les pirates informatiques utilisent ces programmes pour atteindre deux objectifs :


    1. Installation masquée d'autres chevaux de Troie ou virus;
    2. Jouer un tour aux logiciels antivirus qui ne sont pas en mesure d'analyser tous les composants.


    Chevaux de Troie proxy



    Ces chevaux de Troie font office de serveur proxy et offre un accès
    Internet anonyme depuis les ordinateurs attaqués. A l'heure actuelle,
    ces chevaux de Troie sont très populaires auprès des spammeurs qui sont
    toujours à la recherche d'autres ordinateurs pour la diffusion massive
    de messages électroniques. Les auteurs de virus penseront bien souvent
    à inclure un cheval de Troie proxy dans un ensemble de chevaux de Troie
    afin de pouvoir vendre le réseau de machines infectées aux spammeurs.

    Chevaux de Troie espions



    Cette famille regroupe des logiciels espion et d'enregistrement des
    frappes du clavier qui surveillent et enregistrent l'activité de
    l'utilisateur sur l'ordinateur avant de transmettre ces informations au
    maître. Les chevaux de Troie espions recueillent les informations
    suivantes :


    • Frappes de clavier
    • Captures d'écran
    • Journaux des applications actives
    • Autres actions des utilisateurs


    Ces chevaux de Troie sont bien souvent utilisés pour dérober des
    informations à caractère financier pour alimenter les fraudes en ligne.

    Chevaux de Troie notificateurs



    Ces chevaux de Troie envoient au « maître » des renseignements
    relatifs à la machine infectée. Ils confirment la réussite de
    l'infection et envoient des informations relatives à l'adresse IP, aux
    numéros de ports ouverts, aux adresses de courrier électronique, etc.
    de l'ordinateur attaqué. Ces informations sont envoyés via courrier
    électronique au site du maître ou via ICQ.

    Les notificateurs sont normalement repris dans les ensembles de
    chevaux de Troie et servent uniquement à informer le maître de la
    réussite de l'installation d'un cheval de Troie sur l'ordinateur de la
    victime.

    Bombes d'archive



    Ces chevaux de Troie sont des fichiers archivés qui ont été codés
    pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le
    fichier archivé infecté. L'explosion de la bombe entraînera le
    ralentissement ou le plantage de l'ordinateur. Elle peut également
    noyer le disque avec des données inutiles. Ces bombes sont
    particulièrement dangereuses pour les serveurs, surtout lorsque les
    donnée entrantes sont traitées automatiquement au départ : dans ce cas,
    le serveur plantera.

    Il existe trois types de bombes : en-tête incorrecte dans l'archive,
    données répétées et série de fichiers identiques dans l'archive.

    Une archive dont l'en-tête est incorrecte ou dont les données sont
    corrompues peut entraîner le plantage de l'utilitaire de décompression
    lors de l'ouverture et du décompactage de l'archive infectée.

    Un fichier lourd qui contient des données qui se répètent peut
    devenir une archive très petite : un total de 5 Mo sera ramené à 200 Ko
    en cas de compression au format RAR et de 480 Ko au format ZIP.

    De plus, il existent des technologies spéciales pour compacter un
    très grand nombre de fichiers identiques au sein d'une archive sans que
    cela n'ait de répercussions sur la taille de l'archive elle-même : par
    exemple, il est possible de compacter 10100 fichiers identique dans un
    fichier RAR de 30 Ko ou dans un fichier ZIP de 230 Ko.

  • methodiX
    methodiX
    Admin
    Admin

    Masculin
    Nombre de messages : 1260
    Localisation : Le couloir de l'école polytechnique de Tunis
    Réputation : 68
    Points : 7258
    Date d'inscription : 22/03/2007

    Feuille de personnage
    Capacité linguistique:
    Dossier : Porte dérobées (backdoor), Chevaux de Troie Left_bar_bleue1000/1000Dossier : Porte dérobées (backdoor), Chevaux de Troie Empty_bar_bleue  (1000/1000)

    Revenir en haut Aller en bas

    Dossier : Porte dérobées (backdoor), Chevaux de Troie Empty Re: Dossier : Porte dérobées (backdoor), Chevaux de Troie

    Message par nawel Mer 10 Juin - 12:53

    Merci methodix pour ces informations.
    sujet trés intéressant.
    nawel
    nawel
    Nombre Complexe
    Nombre Complexe

    Féminin
    Nombre de messages : 1185
    Age : 39
    Localisation : tunisie
    Réputation : 30
    Points : 6583
    Date d'inscription : 10/03/2008

    Feuille de personnage
    Capacité linguistique:
    Dossier : Porte dérobées (backdoor), Chevaux de Troie Left_bar_bleue997/1000Dossier : Porte dérobées (backdoor), Chevaux de Troie Empty_bar_bleue  (997/1000)

    Revenir en haut Aller en bas

    Revenir en haut

    - Sujets similaires

     
    Permission de ce forum:
    Vous ne pouvez pas répondre aux sujets dans ce forum