Symtômes.
Disque dur qui travaille sans arrêt, des choses arrivent sans raison
apparente (sons, impressions, programmes), lampe send data.
Risques.
Maximum. N'importe qui peut contrôler votre ordinateur comme vous-même.
Description.
Cette attaque de votre ordinateur s'inspire de la vieille histoire du
"Cheval de Troie". Cette intrusion n'est possible que si vous avez
installé un genre de petit serveur sur votre ordinateur. La personne qui
veut entrer va vous présenter un fichier soit très recherché sur internet
soit en rapport direct avec vos Hobbies.
Dès que vous exécuter ce fichier (programme, image, son...), il va ouvrir
un port de communication qui va permettre à n'importe qui d'accéder à
votre disque dur. Comme ce fameux fichier ne contient rien qui ait un
rapport avec ce pour quoi on vous l'avait présenté, celui-ci va faire
apparaitre une fenêtre d'erreur comme celle-ci :
ou celle-là :
Mais il se peut aussi que rien ne se passe, tout simplement, car le fichier
sera vraiment ce qu'on vous a dit, mais avec un "petit plus".
Comment savoir si vous êtes déjà infecté ?
DownloadezThe Cleaner 1.9d
(145Kb), ce programme va rechercher en mémoire les troyens de type serveur
FTP, socket de troie et DMSETUP. Il peut aussi tous les supprimer de votre
disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. Si
vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser l'Antitroyen
avec toutes ses possibilités.
Comment se protéger ?
N'acceptez pas n'importe quoi de n'importe qui.
Pour identifier (et bloquer) toute intrusion, installez Wolfysoft
Notroyen (279Kb) : vous serez averti de l'intrusion et l'intrus
rebootera. Ou un bon antivirus.........
2 : Intrusion via les ressources partagées du système.
Symtômes.
Travail incongru du disque dur, modifications de fichiers/répertoires, vous
retrouvez "ailleurs" des documents vous appartenant.
Risques.
Pertes de fichiers, virus, vols de documents, espionnage. Tout votre disque
dur devient "public".
Description.
Nombre d'ordinateurs se mettant en réseau local à la maison ou s'étant
mis un jour en réseau local, ont partagé des ressources telles que les
disques durs et les imprimantes, bien souvent sans mot de passe. À l'aide
d'une simple commande DOS n'importe qui peut voir apparaître le nom de
votre ordinateur, ainsi que son groupe de travail, dans son "voisinage
réseau". À partir de là, tout est possible...
Comment savoir si vous êtes déjà infecté ?
Cette fois vous n'êtes aucunement "infecté", mais plutôt
"vulnérable" puisqu'il s'agit d'une mauvaise configuration. Vérifiez
votre voisinage réseau et identifiez ce que vous avez partagé sans mot de
passe : tout ceci est potentiellement disponible au public...
Comment se protéger ?
Désactivez le partage de fichiers et d'imprimantes dans le panneau de
configuration. Si vous devez conserver un réseau local, prévoyez un
dossier spécifique (protégé par mot de passe) qui, seul, sera partagé et
autorisera les transferts de fichiers. Vous devrez alors vous-même faire
les rangements nécessaires par la suite. Pensez aussi à adjoindre un mot
de passe à votre imprimante partagée.
3 : Intrusion via un serveur FTP caché sur votre
disque dur.
Symtômes.
Identiques au
cas précédent.
Risques.
Identiques au
cas précédent.
Description.
Ici encore il s'agit de vous faire exécuter un petit fichier
auto-extractible. Dès que vous le lancez, il installe un serveur FTP à
votre insu.
Comment savoir si vous êtes déjà infecté ?
Downloadez The
Cleaner 1.9d (145Kb),
ce programme détecte et supprime les troyens de type serveur FTP, socket de
troie et DMSETUP. Utilisateurs de Windows NT, n'oubliez pas psapi.dll
pour pouvoir utiliser le Bouffetroyen avec toutes ses possibilités.
Comment se protéger ?
Prévention encore ! Attention aux fichiers que vous recevez.
4 : Intrusion ICQTROGEN.
Symtômes.
Identiques à l'intrusion via FTP et via ressources partagées. Petit
"plus" cependant : des programmes qui démarrent seuls.
Risques.
Identiques à ceux d'un cheval de troie.
Description.
Quelqu'un va vous faire exécuter un programme, qui s'avèrera installer un
serveur sur votre ordinateur à votre insu. Celui-ci se trouve sur le port 4950
et permet à toute personne qui dispose du programme de contrôle de lire,
écrire et exécuter n'importe quoi sur votre disque dur.
Comment savoir si vous êtes déjà infecté ?
Ouvrez une fenêtre DOS. Tapez la commande suivante : netstat -a
Si vous voyez une ligne identique à celle-ci :
TCP XXXXXXX : 4950
.....................................
alors vous êtes infecté par l'ICQTrogen. Ce programme peut porter
n'importe quel nom.
Comment se protéger ?
Il n'existe aucune parade contre cette attaque, et elle peut être modifiée
à volonté. Taper CTRL+ALT+SUP et identifiez la présence d'un programme résident
inconnu. Vous pouvez également configurer Nuke
Nabber sur le port (tcp)4950 et ainsi "voir" qui vous
attaque.
5 : Intrusion via Hacker paradise.
Symtômes.
Tout ce qui n'arrive jamais lorsque vous êtes OFF-Line : fermeture de fenêtres,
apparition et/ou disparition de celles-ci, changement de nom des fenêtres...
Risques.
L'accès à votre ordinateur est total.
L'intru peut même effectuer des captures d'écran.
Description.
Selon le principe du cheval de troie, vous exécuterez vous-même le fichier
infecté. Son nom original est redemption.exe mais, bien sûr, ne vous y
attardez pas trop. Son icône, sous réserve de modification, représente
une petite tête d'ange.
Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, downloader le Bouffetroyen
(295Kb) qui va le détecter puis le supprimer (physiquement sur le disque
dur ET dans la base de registre). Utilisateurs de NT, n'oubliez pas psapi.dll.
Comment se protéger ?
Ne rien accepter de personnes inconnues.
6 : Intrusion via DMSETUP (IRC).
Symtômes.
Déconnexion quand quelqu'un envoi un mot-clef prédéfini (dmsetup).
Ceux des troyens (dmsetup2).
Risques.
Vol de fichiers, lecture/écriture... classique !
Description.
Vous devez exécuter un programme. Celui-ci n'est pas très évolué et dans
95% des cas si votre répertoire ne s'appelle pas "mirc" il ne le¸trouvera
pas. Méfiance quand même, il peut se dupliquer.
Comment savoir si vous êtes déjà infecté ?
Downloadez dmcleanup
(191Kb). Celui-ci va vérifier votre autoexec.bat ainsi que vos fichiers .ini.
En cas d'infection il va tout réparer très proprement. Possible aussi avec
The
Cleaner 1.9d (145Kb)
évidemment.
Comment se protéger ?
Ne pas accepter de fichiers provenant d'inconnus, surtout sur IRC.
7 : Intrusion via Master Paradise.
Symtômes.
Tout ce qui ne se passe jamais quand votre ordinateur est OFF-Line.
Risques.
Totaux.
Description.
Identique au Hacker
Paradise.
Comment savoir si vous êtes déjà infecté ?
Faites CTRL-ALT-DEL et regardez si rien d'anormal ne s'y trouve, en cas de
doute fermez le programme et constatez l'effet produit.
Comment se protéger ?
Ne rien accepter de personnes inconnues.
8 : Intrusion via Back Orifice.
Symtômes.
Lancement/arrêts de programmes, vol de fichiers, extinction de votre
ordinateur, bloquage, espionnage, fenêtres d'erreur avec des messages
personnels ou curieux... Quelqu'un vous dit ce que vous tapez à la virgule
près.
Risques.
Ils sont totaux. Imaginez votre pire ennemi(e) à votre place devant
votre écran. Back Orifice permet même l'accès à certaines ressources
auxquelles vous-même n'avez habituellement pas accès (passwords en mémoire,
fermeture des dll...).
Description.
C'est un troyen, vous exécuterez donc vous-même le fichier infecté.
Celui-ci se trouve par défaut sur le port 31337 mais il peut être
modifié. Le hacker peut assigner un mot de passe au serveur, ce qui vous ôtera
toute utilisation de votre ordinateur... Annoncé comme un "outil
d'administration" pour ne pas se faire interdire. L'hypocrisie va loin
parfois...
Comment savoir si vous êtes déjà infecté ?
Les solutions sont multiples. Téléchargez puis exécutez: The
Cleaner 1.9d (145Kb)
Comment se protéger ?
La prévention : attention aux fichiers que vous acceptez.
9 : Intrusion via Netbus.
Symtômes.
CD-Rom qui s'ouvre, souris qui se déplace, inversion des boutons de la
souris, programmes qui démarrent, messages, sons qui n'ont rien à voir
avec le contexte, écran qui se renverse...
Risques.
Moyens, parce qu'il faut un effort relatif pour pouvoir mettre en oeuvre des
moyens vraiment destructeurs.
Description.
C'est un troyen, on va vous faire exécuter un programme qui installera un
serveur. Celui-ci se trouve sur le port 12345 de votre ordinateur.
Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, downloader : The
Cleaner 1.9d (145Kb)
Comment se protéger ?
Ne rien accepter de la part d'inconnus.
10 : Subseven.
Symtômes.
Identiques
à Back Orifice et Back Orifice 2000.
Risques.
Identiques
à Back Orifice et Back Orifice 2000.
Description.
SubSeven est un backdoor pour Windows9x qui permet à un agresseur d'accéder
à une machine infectée sans être détecté. Les machines infectées
peuvent être intégralement contrôlées à distance.
Comment savoir si vous êtes déjà infecté ?
Affecte les systèmes suivants :
Windows 95/98
Dans la base de registre, observez le contenu de la clé :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
et vérifiez les entrées qui ne devraient pas s'y trouver. Typiquement,
les entrées qui ne devraient pas se trouver dans Windows sont :
LoadPowerProfile et SchedulingAgent.
Par défaut, SubSeven utilise une clé nommée KERNEL16, avec pour
valeur KERNL 16.DL. Le nom de fichier et la clé dans la base de
registre utilisés par SubSeven pour démarrer au boot peuvent être
facilement modifiés.
Comment se protéger ?
Encore une fois, attention aux fichiers que vous acceptez sur votre
ordinateur.