Autour du PC

Chevaux de Troie

Electronique

Trucs et astuces

Sécurité

 

CSS Valide !

Site optimisé en 1024x768



 

Troyens - Principe de fonctionnement

skull4.gif (86379 octets)


Qu'est-ce qu'un cheval de Troie ?
Quel est le but de son utilisation ?
Comment ça marche ?
Méthodes d'infection
Symptômes possibles
Moyens de détection
Erradiquer le cheval de Troie

Qu'est-ce qu'un Cheval de Troie ?
Un Cheval de Troie est un petit programme permettant à un utlisateur via internet ou un réseau local de se connecter sur une machine distante à l'insu du proprietaire de celle-ci. La mise en oeuvre est très simple et redoutablement efficace, de plus, n'importe quel utilisateur basique peut de par ces outils causer des dégats considerables sur les machines infectées.

But de son utilisation :
Le but de son utilisation peut varier en fait, des intensions de l'individu utilisant ces programmes. Celui-ci peut juste par curiosité prendre connaissance du contenu du ou des disques de la victime, éventuellement récuperer des documents personnels, des programmes, pirater les mots de passe quelconques,etc...Il peut aussi harceler la victime en modifiant certains paramètres de Windows, en ouvrant des applications à distance, en prenant le contrôle de la souris ou du clavier.....Puis les gros bourrins ou "pirates des bacs à sable" peuvent pénétrer le systeme, effacer des fichiers sensibles permettant le fonctionnant de Windows et planter le PC de la victime, il est inutile de dire que ces méthodes démontrent bien l'intelligence de certains que l'on peut qualifier de vandales.

Comment ca marche ?
En fait tout se passe le plus simplement du monde, le principe est le suivant :
Un petit programme, que l'on va appeller SERVEUR est caché tranquillement dans le PC infecté, un autre qu'on l'on va appeller CLIENT est lui, installé sur la machine du pirate lui permettant de connecter la bécane distante.
Le fichier SERVEUR est en permanence "à l'écoute" du monde extérieur attendant les demandes de connection d'un éventuel CLIENT.

rx.jpg (23707 octets)tx.jpg (24380 octets)

IP : 192.130.100.1 - Port xxx   IP : 192.130.100.2 - Port xxx

La connection se fait via le protocole TCP/IP, protocole utilisé pour internet ainsi que les reseaux locaux. Il existe par contre plusieurs types de données transitant sur la même connection TCP/IP (vidéo, sons, informations diverses, etc...), pour que le système puisse s'y retrouver, celles-ci utilisent des ports, qui sont en fait des "canaux", il est donc indispensable que serveur et client communiquent sur des ports renseignés aussi bien sur le programme client que serveur, à savoir au passage qu'il y a 65535 canaux utilisables. Il est également à noter qu'il y a un certain nombre de ports importants prédéterminés qui sont généralement utilisés pour divers services. Les principaux ports sont les    suivants:

FTP                   21        Protocole de transfert de fichier - Pour transférer des fichiers
Telnet               23         Pour s'identifier dans un compte sur un hôte à distance
SMTP                25         Protocole de courrier sortant - Pour envoyer du courrier
HTTP                80         Protocole WWW
POP 3               110       Protocole de courrier sortant  - Téléchargement du courrier
NNTP                119       Forums Internet (Newsgroups)
IRC                   6667     Système de dialogue en temps réel
MSN                  569        Microsoft Network

Il est facile de voir que pour que CLIENT et SERVEUR puissent communiquer, il faut qu'ils se connectent entre eux, c'est là que l'adresse IP intervient. A savoir qu'à chaque fois qu'un internaute se connecte sur le Web, son fournisseur d'acces (FAI) lui attribue une adresse IP, c'est à dire une série de chiffres reflétant l'indentité de la personne connectée. Les valeurs du dessin ci-dessus sont données à titre indicatif, trés souvent l'IP change à chaque nouvelle connection, sauf dans certains cas où maintenant avec les connections ADSL les utilisateurs restent connectés pendant de longues durées donc moins de connections chez le FAI et donc moins d'attribution d'adresses. En fait si le CLIENT ne connait pas l'adresse IP de la machine où se trouve LE SERVEUR, celui-ci n'a aucune chance de se connecter...Le but pour un pirate est donc la chasse aux IP, il y a plusieurs moyens de connaitre l'IP d'un utilisateur, il existe aussi des scanners d'IP, mais là, il est très difficile de tomber sur quelqu'un en particulier. En général, le scanner connecte des internautes se trouvant dans la tranche d'IP paramétrée et dont le port de communication du Trojan est ouvert.

 Une fois qu'il a été établie une connection entre Client et Serveur, la machine de la victime est alors sous controle du pirate.

Méthode d'infection :
  Il faut quand même préciser que l'utilisateur infecte souvent son propre PC sans le savoir, à savoir que l'imagination n'a pas de limite concernant les stratagèmes mis en oeuvre afin de refiler le fichier infecté à la victime. Le terrain de prédilection des Trojans sont les sites (suspects) de téléchargement ainsi que les boites aux lettres, c'est donc l'utilsateur qui en executant  "Serveur" ouvrira les portes de sa machine au monde entier.On peut mettre quelques unes de ces méthodes en évidence par échelle de perversité :
- Le nom : A savoir que l'internaute moyen sera souvent méfiant face à un fichier dont l'extention est .EXE , mais comme la majorité des utilisateurs laissent dans Windows les extentions cachées il est possible de télécharger un fichier nommé "photoX.jpg.EXE", à ce moment le systéme cache l'extention EXE et il devient en affichage photoX.jpg, vous me direz "et l'icone du fichier alors ???" et bien je vous repondrais qu'il est très facile de changer celui-ci....Enfin quand un fichier a été executé et ne fait rien du tout, il y a tout lieu de s'inquiéter, mais à ce moment c'est déjà trop tard.
- Le "Bindage" peut être terrible dans la mesure où l'on peut "fusionner" un Trojan avec n'importe quel autre fichier exécutable comme par exemple un petit jeu en Flash, le jeu s'exécute normalement mais en tache de fond, invisible pour l'utilisateur, un autre fichier peut se "détacher" du fichier de base, se copier dans le disque et voire meme s'exécuter.


explic.jpg (31024 octets)

 En conclusion, les fichiers infectés au départ et lors de leur exécution changent de nom et se copient dans des emplacements plus ou moins obcurs, là où la majorité des utilisateurs ne vont pas. Il est alors très difficile de les localiser de facon hasardeuse.

Symptômes possibles :
  Certaines personnes utilisant ces systèmes se contentent de visiter le disque, de télécharger des fichiers, d'autres par contre s'amusent à harceler la victime en exécutant des commandes aboutissant sur des actions visuelles, comme: l'ouverture de la trappe du lecteur CD, le changement de couleur des fenêtres, la prise de controle de la souris, la modification de la configuration de l'écran, la disparition de menus ou de foncionnalités de Windows, etc....
Lorsque la victime rencontre ce genre de problèmes, il est conseillé de se deconnecter du Net et de vérifier la présence éventuelle d'un Cheval de Troie.
Pour un modem type 56K il est possible de voir les leds en pleine activité alors qu'il n'y a pas de raison que des données transitent, le disque dur aussi peut avoir une activité bizarre alors qu'il n'est pas sollicité.

Moyens de detection :
   Il exite sur le Net un grand nombre d'uilitaires permettant de detecter les Chevaux de Troie (voir la section Download), on peut utiliser un Antivirus comme par exemple Norton Anti-Virus, ou mettre en place un FireWall comme Zone Alarme qui filtre les entrées sorties de données en provenance du Web. En ce qui concerne les Anti Virus, il faudra par contre, veiller à effectuer une mise a jour régulière afin qu'il puisse détecter la présence de fichiers hostiles, l'inconvénient est que si demain un individu écrit un programme d'intrusion, il sera alors inconnu de la base de donnée de l'anti virus, par contre les logiciels fonctionnant sur le processus d'écoute des ports ouverts sur la machine sont un peu plus efficaces.

  Ce qu'il est important de savoir c'est que pour fonctionner, le SEVEUR doit être lancé à chaque démarrage de la machine, il est donc en mémoire, c'est ce qu'on apelle un résident. On peut voir les programmes en mémoire dans le gestionnaire des tâches en faisant CTRL-ALT-SUPPR dans Windows, mais celui-ci ne vous montre pas tout car si le Trojan est bien écrit il sera invisible dans cette liste, il faut donc utiliser un logiciel pouvant énumérer TOUTES les applications en mémoire. Les utilisateurs de Win XP peuvent accéder à ce type d'informations en faisant CTRL-ALT-SUPPR et cliquer sur gestionnaire des tâches puis sur Processus. Certains processus sont vitaux au fonctionnement de Windows, le fait de forcer l'arrêt de certains processus peut rendre le système instable. A vous de juger, dans la majorité des cas Win XP vous indiquera qu'il n'est pas possible de terminer tel ou tel  processus.
Il a été notifié plus haut que les applications doivent être lancées au démarrage de la machine, il est interressant des fois d'aller visiter ces endroits, il en existe plusieurs dans Windows :

- Le menu Démarrer/Démarrage (c:\windows\menu démarrer\programmes\démarrage\) : là, faut pas se leurrer trés peu de Trojans viennent créer un raccourci dans ce menu, c'est trop facile et trop repérable donc pas la peine d'aller voir (sinon par curiosité).
- La section de démarrage du fichier Win.ini , dans le dossier Windows, c'est simple à aller voir, c'est un fichier texte, ouvrez-le et cherchez la section [windows], vous trouverez dessous des valeurs run=..., la valeur load=... est aussi une valeur de démarrage.
- Le fichier system.ini (c:\windows\system.ini): Dans la section [boot], vous trouverez la ligne:
"shell=Explorer.exe prog.exe",  prog.exe se lancera aussi a chaque démarrage.
- La base de registre (c:\windows\regedit.exe): les clés à verifier sont :

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command


Attention tout de même, ces clés peuvent contenir des valeurs correspondant à des fichiers utiles pour le système en place ainsi que pour le bon fonctionnement des applications.

Erradiquer le Cheval de Troie :
  Une fois que le fichier a été localisé, il est conseillé de l'effacer, soit en passant par un utilitaire (décrit plus haut), ou tout simplement manuellement. Dans la majeure partie des cas, Windows refusera d'effacer ce fichier, vous indiquant que celui-ci est en marche, il reste juste à rechercher à quel endroit il démarre (voir ci-dessus), effacer la valeur de démarrage, redémarrer la machine, à ce moment, le fichier n'aura pas démarré donc pas en mémoire et on pourra l'effacer sans problème.