petit renseignement sur le cheval de troie

[moreane]

Bonjour,

J'aurais aimé quelques infos sur le cheval de troie

- ce qu'il fait
- comment il se propage
- comment le détecter
- comment le supprimer

ce genre de choses...

merci beaucoup à ceux qui me feront ce petit cours

[jeanmimigab]

hello princesse,

Un cheval de trois (ou trojan) est un bout de code (un petit programme) qui à l'origine se faisait passer pour un programme légitime mais qui en fait contint un code malveillant.

Aujourd'hui cette définition du trojan ne veux plus dire grand chose, pour preuve la détection des trojan est souvent notifiée comme TRJ.gen (trojan.générique)

Aujourd'hui les code appelés trojan englobes les worms (vers), les dropper (téléchargeur), Backdoor(porte dérodée) etc....

pour les Worms >> il s'insère et se propagent lentement (le but est de ne pas se faire détecter) afin de préparer le terrain à une infection plus grave

pour les Backdoor >> il sont destinés à créer une faille de sécurité sur le pc ou le réseau locale afin de faciliter une intrusion extérieur (installation d'un Keylogger, prise de contrôle du PC etc...)

Et les droppers qui sont à l'heure actuelle 90% des causes d'infections, il sont sous chopés sur des site véreux via une exploite(bout de code HTML insèré en fin de page web dans une balise iframe)
par exemple <iframe:src "http=un/lien/infectieux" style="display:none"></iframe>

le dropper à pour but de se connecter à des IP malveillante afin de rapatrier toutes les daubes connues sur terre. (il utilise en général des processus générique et internet explorer pour ne pas se faire détecter par ton par feu)
un exemple avec un dropper KooBface (quand j'ai tester Koobfix pour Batchman)

http://www.youtube.com/watch?v=Tej5b2JLnPs

j'y exécute les dropper et immédiatement tu voit 6 connexions à internet pointant vers de IP foireuses qui se produisent (de manière invisible si tu n'as pas certain outils de diagnostique)

pour la propagation:

c'est bien souvent des site piégés, le P2P (via des cracks) et les support USB infectés (une clef infectée infecte le pc et inversement)

pour les supprimer, c'est l'équipe de helper du forum (Bernard53, jypalou, moi et tout les autres helpers potentiels )
car aujourd'hui même les tools les plus sophistiqués ne permettent pas cela, du moins il ne répare pas les dégâts causé (patch de fichiers système etc...)

voilà, j'espère que ça suffira car on peut en faire 10 pages

[moreane]

ok, merci beaucoup pour ton aide Jean, c'est très intéressant.

et tu peux m'en dire plus sur les backdoor ?
notamment comment les détecter ?

[Ask to Old Man]

Bonjour Princesse & jmmg,

Je ne dirais que deux mots: Bravo JmmG.

Même pour moi, peu novice, les explications comme celle-ci me convient parfaitement.

[Pac428]

[jeanmimigab]

[cheville]
Houla doucement, je vais rougir
[/cheville]

ok, merci beaucoup pour ton aide Jean, c'est très intéressant.

et tu peux m'en dire plus sur les backdoor ?
notamment comment les détecter ?

Sur un PC sain, le backdoor n'arrive jamais en premier (sauf si installé par une personne physique), ils sont souvent téléchargés par un dropper, ont les assimile souvent à des BOTS (robots) car le but de la plupart d'entre eux n'est pas de pourrir la vie du propriétaire du pc, mais plutôt de créer un espèce d'immense réseaux (plusieurs centaines de milliers de PC pouvant recevoir des ordres d'un PC "Maitre" ) afin de faire tomber un serveur ou de spammer à gogo.
Imagine un million de PC qui essaient chacun de se connecter plusieurs fois de suite à un site marchant qui n'est pas fait pour traiter autant de requêtes, le serveur devient alors inaccessible aux clients potentiels et cela peut durer plusieurs heures le temps que l'administration du site réagisse (et si c'est le weekend au secours Poppey).
Donc tu vois l'enjeu financier de la chose

Pour se prémunir de la plupart des infections, la recette est simple

• Avoir un pc à jours (système et programmes).

Avoir un comportement responsable:

• Ne pas télécharger et installer portnawak sur ton pc.(99% des crack et keygens sont infectés, et je te parle pas du site qui les héberges)
• Ne pas fréquenter des sites cochons (ho zut alors, il est nul mon lecteur WM faut que j'installe un codec proposé pour voir la fifille...et vlan >> blue screen!!!)
• Avoir un PC un minimum protégé (antivirus à jours, un vrais pare-feu si tu n'est pas au cul d'une box etc...)
• Ne pas cliquer sur un lien proposé dans une fenêtre de conversation ou dans un mail sans avoir vérifié si la personne te l'a réellement envoyer.
• et faire attention aux clef USB qui ne t'appartienne pas et qui pourraient transmettre une infection

Si tu respecte ces quelques conseils, tu ne sera jamais embêtée

je t'invite à lire ces quelques pages

• un Compte Utilisateur limité accroît la sécurité de l'ordinateur.
  
• Quelques mesures préventives pour surfer couvert.
  
• Comment éviter les imprudences d'installation.
  
• Reconnaitre et éviter les infections Msn.
  
• Si tu utilises "Face Book", lis >> cet article << afin de ne pas te faire piéger

[moreane]

encore merci, ce petit cours était simple, précis, il a répondu à mes questions.

Tu peux en faire d'autres comme ça sur d'autres sujets, je suis preneuse

[jeanmimigab]

c'était avec plaisir

Sinon, j'ai une super recette pour la tarte aux pommes

[H3bus]

J'ai une question, moi m'sieur, moi m'sieur, moi m'sieur !



Tu disais que les Vers étaient considérés comme des trojans, mais les vers n'ont pas besoin de logiciel hôte pour s'exécuter, et se propagent d'eux même, alors que les trojans sont incapables de se dupliquer d'eux même, et ont besoin d'un logiciel, je me trompes ?

[moreane]

euh je prends aussi la recette de la tarte aux pommes sans les vers

[jeanmimigab]

hello H3

effectivement un vers est autonome, au point qu'il est capable de se reproduire (même sans femelle )

Il sont souvent appeler Worm par les éditeurs d'AV, mais certain worm sont capables de se propagés par les messageries internes par exemple en créant et en greffant un fichier VBS( qui servira de cheval de troie) en pièce jointes aux courriels qui du coup sera un vrais trojan et sera donc identifiés (peut être à tord) comme trojan par certain éditeur.
car ce trojan contiendra obligatoirement la signature du Worm qui l'a crée et sera donc détecté soit comme" Worm", soit comme trojan.gen.

L'exécution de ce fichier par le réceptionnaire du courriel aura comme effet de copier le Worm sur le nouveau pc .

Donc pour résumer, le vers créer et utilise un trojan pour se propager via la messagerie

[H3bus]

Merci pour le cours !