Hack

Hack & Intrusions Informatiques

1. Back Orifice.
2. DMSETUP (IRC).
3. Hacker Paradise.
4. ICQTROGEN.
5. Master Paradise.
6. Netbus.
7. Ress. partagées.
8. Serveur FTP.
9. Socket de Troie.
10. Subseven.

1 : Socket de Troie

Symtômes.
Disque dur qui travaille sans arrêt, des choses arrivent sans raison apparente (sons, impressions, programmes), lampe send data.
Risques.
Maximum. N'importe qui peut contrôler votre ordinateur comme vous-même.
Description.
Cette attaque de votre ordinateur s'inspire de la vieille histoire du "Cheval de Troie". Cette intrusion n'est possible que si vous avez installé un genre de petit serveur sur votre ordinateur. La personne qui veut entrer va vous présenter un fichier soit très recherché sur internet soit en rapport direct avec vos Hobbies.
Dès que vous exécuter ce fichier (programme, image, son...), il va ouvrir un port de communication qui va permettre à n'importe qui d'accéder à votre disque dur. Comme ce fameux fichier ne contient rien qui ait un rapport avec ce pour quoi on vous l'avait présenté, celui-ci va faire apparaitre une fenêtre d'erreur comme celle-ci :

ou celle-là :

Mais il se peut aussi que rien ne se passe, tout simplement, car le fichier sera vraiment ce qu'on vous a dit, mais avec un "petit plus".
Comment savoir si vous êtes déjà infecté ?
Downloadez The Cleaner 1.9d (145Kb), ce programme va rechercher en mémoire les troyens de type serveur FTP, socket de troie et DMSETUP. Il peut aussi tous les supprimer de votre disque dur ainsi que nettoyer la base de registre et vos fichiers .INI. Si vous êtes sous NT n'oubliez pas psapi.dll pour pouvoir utiliser l'Antitroyen avec toutes ses possibilités.
Comment se protéger ?
N'acceptez pas n'importe quoi de n'importe qui.
Pour identifier (et bloquer) toute intrusion, installez Wolfysoft Notroyen (279Kb) : vous serez averti de l'intrusion et l'intrus rebootera. Ou un bon antivirus.........

2 : Intrusion via les ressources partagées du système.

Symtômes.
Travail incongru du disque dur, modifications de fichiers/répertoires, vous retrouvez "ailleurs" des documents vous appartenant.
Risques.
Pertes de fichiers, virus, vols de documents, espionnage. Tout votre disque dur devient "public".
Description.
Nombre d'ordinateurs se mettant en réseau local à la maison ou s'étant mis un jour en réseau local, ont partagé des ressources telles que les disques durs et les imprimantes, bien souvent sans mot de passe. À l'aide d'une simple commande DOS n'importe qui peut voir apparaître le nom de votre ordinateur, ainsi que son groupe de travail, dans son "voisinage réseau". À partir de là, tout est possible...
Comment savoir si vous êtes déjà infecté ?
Cette fois vous n'êtes aucunement "infecté", mais plutôt "vulnérable" puisqu'il s'agit d'une mauvaise configuration. Vérifiez votre voisinage réseau et identifiez ce que vous avez partagé sans mot de passe : tout ceci est potentiellement disponible au public...
Comment se protéger ?
Désactivez le partage de fichiers et d'imprimantes dans le panneau de configuration. Si vous devez conserver un réseau local, prévoyez un dossier spécifique (protégé par mot de passe) qui, seul, sera partagé et autorisera les transferts de fichiers. Vous devrez alors vous-même faire les rangements nécessaires par la suite. Pensez aussi à adjoindre un mot de passe à votre imprimante partagée.

3 : Intrusion via un serveur FTP caché sur votre disque dur.

Symtômes.
Identiques au cas précédent.
Risques.
Identiques au cas précédent.
Description.
Ici encore il s'agit de vous faire exécuter un petit fichier auto-extractible. Dès que vous le lancez, il installe un serveur FTP à votre insu.
Comment savoir si vous êtes déjà infecté ?
Downloadez The Cleaner 1.9d (145Kb), ce programme détecte et supprime les troyens de type serveur FTP, socket de troie et DMSETUP. Utilisateurs de Windows NT, n'oubliez pas psapi.dll pour pouvoir utiliser le Bouffetroyen avec toutes ses possibilités.
Comment se protéger ?
Prévention encore ! Attention aux fichiers que vous recevez.

4 : Intrusion ICQTROGEN.

Symtômes.
Identiques à l'intrusion via FTP et via ressources partagées. Petit "plus" cependant : des programmes qui démarrent seuls.
Risques.
Identiques à ceux d'un cheval de troie.
Description.
Quelqu'un va vous faire exécuter un programme, qui s'avèrera installer un serveur sur votre ordinateur à votre insu. Celui-ci se trouve sur le port 4950 et permet à toute personne qui dispose du programme de contrôle de lire, écrire et exécuter n'importe quoi sur votre disque dur.
Comment savoir si vous êtes déjà infecté ?
Ouvrez une fenêtre DOS. Tapez la commande suivante :
netstat -a
Si vous voyez une ligne identique à celle-ci :
TCP XXXXXXX : 4950 .....................................
alors vous êtes infecté par l'ICQTrogen. Ce programme peut porter n'importe quel nom.
Comment se protéger ?
Il n'existe aucune parade contre cette attaque, et elle peut être modifiée à volonté. Taper CTRL+ALT+SUP et identifiez la présence d'un programme résident inconnu. Vous pouvez également configurer Nuke Nabber sur le port (tcp)4950 et ainsi "voir" qui vous attaque.

5 : Intrusion via Hacker paradise.

Symtômes.
Tout ce qui n'arrive jamais lorsque vous êtes OFF-Line : fermeture de fenêtres, apparition et/ou disparition de celles-ci, changement de nom des fenêtres...
Risques.
L'accès à votre ordinateur est total.
L'intru peut même effectuer des captures d'écran.
Description.
Selon le principe du cheval de troie, vous exécuterez vous-même le fichier infecté. Son nom original est redemption.exe mais, bien sûr, ne vous y attardez pas trop. Son icône, sous réserve de modification, représente une petite tête d'ange.
Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, downloader le Bouffetroyen (295Kb) qui va le détecter puis le supprimer (physiquement sur le disque dur ET dans la base de registre). Utilisateurs de NT, n'oubliez pas psapi.dll.
Comment se protéger ?
Ne rien accepter de personnes inconnues.

6 : Intrusion via DMSETUP (IRC).

Symtômes.
Déconnexion quand quelqu'un envoi un mot-clef prédéfini (dmsetup).
Ceux des troyens (dmsetup2).
Risques.
Vol de fichiers, lecture/écriture... classique !
Description.
Vous devez exécuter un programme. Celui-ci n'est pas très évolué et dans 95% des cas si votre répertoire ne s'appelle pas "mirc" il ne le¸trouvera pas. Méfiance quand même, il peut se dupliquer.
Comment savoir si vous êtes déjà infecté ?
Downloadez dmcleanup (191Kb). Celui-ci va vérifier votre autoexec.bat ainsi que vos fichiers .ini. En cas d'infection il va tout réparer très proprement. Possible aussi avec The Cleaner 1.9d (145Kb) évidemment.
Comment se protéger ?
Ne pas accepter de fichiers provenant d'inconnus, surtout sur IRC.

7 : Intrusion via Master Paradise.

Symtômes.
Tout ce qui ne se passe jamais quand votre ordinateur est OFF-Line.
Risques.
Totaux.
Description.
Identique au Hacker Paradise.
Comment savoir si vous êtes déjà infecté ?
Faites CTRL-ALT-DEL et regardez si rien d'anormal ne s'y trouve, en cas de doute fermez le programme et constatez l'effet produit.
Comment se protéger ?
Ne rien accepter de personnes inconnues.

8 : Intrusion via Back Orifice.

Symtômes.
Lancement/arrêts de programmes, vol de fichiers, extinction de votre ordinateur, bloquage, espionnage, fenêtres d'erreur avec des messages personnels ou curieux... Quelqu'un vous dit ce que vous tapez à la virgule près.
Risques.
Ils sont totaux. Imaginez votre pire ennemi(e) à votre place devant votre écran. Back Orifice permet même l'accès à certaines ressources auxquelles vous-même n'avez habituellement pas accès (passwords en mémoire, fermeture des dll...).
Description.
C'est un troyen, vous exécuterez donc vous-même le fichier infecté. Celui-ci se trouve par défaut sur le port 31337 mais il peut être modifié. Le hacker peut assigner un mot de passe au serveur, ce qui vous ôtera toute utilisation de votre ordinateur... Annoncé comme un "outil d'administration" pour ne pas se faire interdire. L'hypocrisie va loin parfois...
Comment savoir si vous êtes déjà infecté ?
Les solutions sont multiples. Téléchargez puis exécutez:
The Cleaner 1.9d (145Kb)
Comment se protéger ?
La prévention : attention aux fichiers que vous acceptez.

9 : Intrusion via Netbus.

Symtômes.
CD-Rom qui s'ouvre, souris qui se déplace, inversion des boutons de la souris, programmes qui démarrent, messages, sons qui n'ont rien à voir avec le contexte, écran qui se renverse...
Risques.
Moyens, parce qu'il faut un effort relatif pour pouvoir mettre en oeuvre des moyens vraiment destructeurs.
Description.
C'est un troyen, on va vous faire exécuter un programme qui installera un serveur. Celui-ci se trouve sur le port 12345 de votre ordinateur.
Comment savoir si vous êtes déjà infecté ?
Une seule solution simple, downloader :
The Cleaner 1.9d (145Kb)
Comment se protéger ?
Ne rien accepter de la part d'inconnus.

10 : Subseven.
1. Symtômes.
  Identiques à Back Orifice et Back Orifice 2000.
2. Risques.
  Identiques à Back Orifice et Back Orifice 2000.
3. Description.
  SubSeven est un backdoor pour Windows9x qui permet à un agresseur d'accéder à une machine infectée sans être détecté. Les machines infectées peuvent être intégralement contrôlées à distance.
4. Comment savoir si vous êtes déjà infecté ?
  Affecte les systèmes suivants :
  Windows 95/98
  Dans la base de registre, observez le contenu de la clé :
  HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  et vérifiez les entrées qui ne devraient pas s'y trouver. Typiquement, les entrées qui ne devraient pas se trouver dans Windows sont :
  LoadPowerProfile et SchedulingAgent.
  Par défaut, SubSeven utilise une clé nommée KERNEL16, avec pour valeur KERNL 16.DL. Le nom de fichier et la clé dans la base de registre utilisés par SubSeven pour démarrer au boot peuvent être facilement modifiés.
5. Comment se protéger ?
  Encore une fois, attention aux fichiers que vous acceptez sur votre ordinateur.

retour - sommaire