-Définition : Bon alors pour tous ceux qui connaîtraient pas les troyens (cheval de troie pour les anglophobes), petite définition : Un troyen est un programme composé de deux parties (une que l'on garde et l'autre que l'on envoie à sa cible) et qui vous permet, une fois que la victime est infecté et que vous avez récupéré son adresse IP, d'avoir plein accès à son PC. A ne pas confondre avec les administrateurs a distance (laplink, pcaniwhere) qui sont "payants". ;-)
Composants d'un troyen :
Le serveur est un virus qui a pour but d'ouvrir un certain port de la machine infectée, dans le but de pouvoir communiquer avec le client (vous). Pour cela le troyen va se reproduire et se planquer dans le répertoire c:/windows/system.
En fait ils ne sont pas cachés mais bon c'est tellement le bordel dans le répertoire système qu'il est très dur de les repérer. Une fois reproduit en nombre suffisant, le virus va essayer de se faire lancer par windows à chaque démarrage du PC, de manière à ne pas devoir réinfecter la victime à chaque fois.
Il y a deux sortes de trojans, ceux de type NetBus : vous envoyez le virus à la cible en le faisant passer pour autre chose (nuker,punter...), et en le lançant, la victime a un message d'erreur du style "vmb400321.dll not found", et là elle est infectée alors qu'elle pense juste que le "prog" marche pas.
Mais il y a une autre version encore plus vicieuse, de type Socket23, là vous avez un infecteur d'.exe. Vous prenez un exécutable (n'importe lequel) et vous l'infectez avec le générateur de virus. En recevant le "prog", la victime le lance et là le il se lance normalement... mais la bec est infecté!
Une fois votre cible infectée, il ne vous reste plus qu'à trouver son adresse IP et vous pourrez vous connecter à son PC et y faire tout ce que vous voudrez (PAS DE CRASHING!!).
ATTENTION!! Il n'y a pas de quoi se prendre pour un hacker si vous vous introduisez sur la bécane de quelqu'un avec un trojan! Ceci n'est pas du Hacking, mais j'ai voulu en parler ici car les trojans pullulent sur le net, et ils peuvent servir pour pas mal de truc si vous avez la flemme d'utiliser une technique plus compliquée (récupérer des passwords etc).
-Comment se protéger :
Il existe de très nombreux progz anti trojans.
Le Bouffe Troyen est un des meilleurs, il détecte beaucoup de trojans. Pour BO (Back Orifice), et seulement BO, il existe une méthode très simple pour vérifier si l'on est infecté : il vous suffit de faire un ping sur l'IP 127.0.0.1 ; si vous voyez apparaître le nom de votre ordinateur... vous êtes infecté :( l'exemple BO2K ou l'admin à distance ;-)
"La menace fantôme" Annoncé par Cult of the Dead Cow (cdc ) à l'occasion du Defcon, BackOrifice 2000 fut le produit vedette tant attendus ( et également craint, rien qu'a voir le nombre de communiqué de presse de Microsoft ).A l'occasion on a assisté a un show de démonstration par les membres deCDC avec distribution gracieuse de CD de démonstration de leur produit Back Orifice 2000 ( avec un bonus le virus CIH :-) ).
Mais c'est quoi Back orifice 2000 ? Crée par le groupe CDC qui disent vouloir démontrer avant tout la vulnérabilité du système d'exploitation de Microsoft Windows 95/ 98/ NT/Windows 2000.BO2K 'est la suite logique de Back Orifice, lancée en juillet 1998. D'après DilDog (membre de CDC ), BO2K a été écrit pour pousser vers l'avant la sécurité informatique : Un cryptage fort (assure la sécurité des données afin d'éviter qu'on intercepte tout transfert de données quand vous êtes en train d'administrer votre PC a distance.
En effet Back Orifice a tout du programme d'administration a distance. Les options disponibles ont les retrouves également dans d'autres excellents programmes d'administration à distance comme PC Anywhere ou Laplink.Il est par mis les plus complet par le nombre des fonctionna lités intégrées. Il permet même grâce à des extensions (plugin) de verrouiller le clavier de la station administré ou d'ajouter d'autres fonctions.Toutes ces fonctionna lités tiennent dans 115 Ko et ne consomme que 2MO de Ram. Un exploit en somme car aussi y comprit un proxy intégré et serveur Web ! ! CDC nous livre tout ça gratuitement. Et pour couronner le tout BO2K est open source tout comme Linux.
Le code source est fournit gracieusement pour vous permettre de le modifier et de vous faire une version personnalisée. Il propose également une architecture extensible grâce aux plugins. L'interface de prise de contrôle est assez simple et même intuitive. On a même entendu dire un membre de CDC qu'un jeune de huit 8 ans pourra faire la différence avec !
Le coté noir de la force : Tout ça est trop beau pour faire de BO2K l'ennemi public n° 1 de nosPC s'il n'y avait cette fonction de mode Stealth (furtif ) qui lui permet de rester invisible sur le poste "contrôlé ".
Microsoft s'est montré préoccupé par cette annonce et a mis une équipe en place pour analyser et évaluer le potentiel de Back Orifice 2000. Là réside toute sa force de nuisance car en se camouflant de la sorte il permet d'espionner discrètement l'utilisateur sur le poste en permettant la consultation des fichiers dans le PC "administré". Et par-dessus le marché cette version peut maintenant se camoufler également au sein de Windows NT et Windows 2000 à l'instar de la version précédente qui se contentait de Windows 95/98.
A l'époque MS avait qualifié "Back Orifice de problème mineur". Mais BO2K a semé la panique cette fois. Tous les éditeurs d'anti-virus se sont hâtés pour avoir une version et analyser la bête et par la suite fournir un anti-dote.
Symantec a fournit pas moins de 3 mises à jours de son anti-virus en une semaine. La menace fut prise au sérieux cette fois et comment ! Selon une source bien informée au Département of defense (DOD), plusieurs officiels se sont décidé à rester à Las Vegas rien que pour voir et évaluer l'application.
En attaquant la plate-forme serveur de MS Windows NT et Windows 2000 BO2K crée une brèche dans la sécurité des entreprises en atteignant l'épine dorsale de leur réseau.
Que faire alors ? Pour éviter de se retrouver victime de back orifice il suffit simplement de se munir d'un anti-virus mis à jour. Un firewall permet également de se protéger. Et par pitié arrêtez les dowloads sauvages comme moi, ne pas se fier a un "directx7frn.exe"et j'en passe (un bo peut être lui même un piège) sachant que la 1 ère version envoyait vos coordonnées directement chez CdC.
Plusieurs méthodes existent:
1.Mise a jour de votre antivirus:
Les anti-virus comme Nav, Virus Scan, F-Prot, Panda le détectent et peuvent l'enlever. donc en mettant a jour votre antivirus vous pouvez l'enlever tout simplement, (certains ne jurant que par pc-cillin, car gratuit et efficace).
2.Manuellement:
Deux cas se présentent Windows 9x ou NT.
Si vous ne disposez pas d'un antivirus qui détecte BO2K effectue cette recherche a l'aide de regedit.exe dans votre base de registre Windows 9x et cherchez cette clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Le nom par défaut du serveur est UMGR32, toutefois il peut être de n'importe quel nom. La valeur de la clé seras:
\windows\system\ suivie par le nom du fichier.
Notez bien le fichier et effacez cette clé de la base des registres. Ensuite démarrer votre systême a partir d'un disquette de démarrage propre et effacez le fichier suspect dans le répertoire \windows\system . Redémarrer votre système et vérifiez dans la base des registre que back orifice 2000 ne s'est pas réinstallé.
Pour les utilisateurs ayant des droits d'administrateur: Faites une recherche manuelle dans la base des registres. Accédez au système avec regedit.exe cherchez les entrée inhabituelle dans la clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
La clé par défaut ajouté est Remote Administration Service, toutefois elle prendra n'importe quel nom. Notez le nom de fichier dans la clé imagepath. Effacez la clé trouvée. Puis aussi détruire toutes les clés dans la base des registres des controlset (exemple :controlset01, controlset02, etc.).Redémarrez Windows NT puis passer en ligne de commande et effacez le fichier trouvé dans la clé imagepath. Redémarrez de nouveau votre système et refaite une recherche pour voir si Back Orifice 2000 ne s'est pas réinstallé.
Pour les utilisateurs n'ayant pas des droits d'administrateur:cherchez, a l'aide de regedit.exe dans la clé
: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
Et localisez toutes entrées suspecte comprenant "\winnt\system32\"Prenez note du nom de fichier qui suit. Ensuite effacez cette valeur de la base des registres et redémarrez votre système. Passez en ligne de commande le fichier figurant dans la clé de la base des registres. Vérifiez de nouveau la base des registres pour s'assurer que Back Orifice ne s'est pas installé de nouveau.
| NetBus 1.x (avoiding Netbuster) | 12346 |
|
Hack'a'tack |
3178 |
| Der Spaeher 3 | 2000 |
| Ambush | 10666 |
| SoftWar | 1207 |
| Transcout 1.1 + 1.2 | 1999 |
| NetMetropolitan 1.04 | 5032 |
| AimSpy | 777 |
| TheThing 1.6 | 6000 |
| Chupacabra | 20203 |
| Schoolbus 1.6 | 54321 |
|
Shitheep |
69 |
|
Logged! |
20203 |
| NeTadmin | 20203 |
| InCommand 1.0 | 9400 |
| Illusion Mailer | 5521 |
| NetMetro 1.0 | 5031 |
| Eclipse 2000 | 12701 |
| Total Eclypse 1.0 | 12701 |
| Maverick's Matrix | 1269 |
| Trojan Spirit 2001 a | 33911 |
| DeltaSource (Submitted by DarkStar) | 6883 |
| Firehotcker NOT in our archive | 5321 |
| Master Paradise | 40423 |
| jammerkillahV | 121 |
| AOLTrojan1.1 | 30029 |
| Hack'a'tack | 31787 |
| The Invasor | 2140 |
| TheSpy | 40412 |
| TrojanCow | 40412 |
| UglyFtp | 40412 |
| WebEx | 1001 |
| FTP99CMP | 1492 |
| Shiva Burka | 1492 |
| Remote Windows Shutdown | 1492 |
| BigGluck | 1492 |
|
NetSpy DK NOT in our archive |
1339 |
| Hack´99 KeyLogger | 12223 |
| iNi-Killer | 9989 |
| ICQKiller | 7789 |
| Portal of Doom | 9875 |
| SpySender | 1807 |
| TheSpy | 9875 |
| TrojanCow | 2001 |
| UglyFtp | 23456 |
| WebEx | 23456 |
| Backdoor | 1999 |
| Phineas | 2801 |
| Psyber Streaming Server | 1509 |
| Indoctrination | 2801 |
| Hackers Paradise | 456 |
| Doly Trojan | 1011 |
| The Unexplained | 29891 |
| ProgenicTrojan | 11223 |
| RemoteWindowsShutdow | 11223 |
| Striker | 2565 |
| RoboHack | 5569 |
| WhackJob | 23456 |
| Phase0 | 555 |
| BladeRunner | 5400 |
| IcqTrojan | 4950 |
| InIkiller | 9989 |
| PortalOfDoom et Progenic trojan | 9872 |
| Silencer | 1001 |
| InIkiller | 9989 |
| PortalOfDoom et Progenic trojan | 9989 |
| ProgenicTrojan | 11223 |
| Kuang | 30999 |
| Senna Spy Trojans | 11000 |
| Prosiak 0.47 | 22222 |
| Kuang | 30999 |
| Senna Spy Trojans | 11000 |
| WhackJob | 23456 |
| Phase0 | 555 |
| BladeRunner | 5400 |
| IcqTrojan | 4950 |
| RemoteWindowsShutdow | 5300 |
| Attack FTP | 666 |
| GirlFriend | 21554 |
| Tiny Telnet Server | 34324 |
| Fore, Schwindler | 5076 |
| Vodoo | 1245 |
| Wincrash | 5742 |
| Wincrash2 | 2583 |
| Netspy | 1033 |
| ShockRave | 1981 |
| Stealth Spy | 555 |
| Pass Ripper | 2023 |
| Tiny Telnet Server | 3432 |
| Socket23 | 3432 |
| Gatecrasher | 6969 |
| Telecommando | 61466 |
| Gjamer | 12076 |
| IcqTrojen | 4950 |
|
Priotrity |
16969 |
| Streaming Audio Trojan | 1170 |
| NetMonitor | 7306 |
| Devil 1.03 | 65000 |
| Millenium | 20000 |
| Silencer | 1001 |
| Master Paradise | 31 |
| Deep Throath 1,2,3.x | 6670 |
| NetSphere | 30100 |
| SubSeven | 1243 |
| BackOriffice | 31337 |
| NetBus Pro | 20034 |
Merci à NOHACKS.TSX.ORG
Malgré toutes vos précautions, il se peut que vous vous fassiez infecter avec un trojen. Je vais vous donner ici les informations qui vous seront nécessaires pour éviter cela.
Le mieux est de savoir reconnaître un trojen quand vous en voyez un, et donc de prévenir le mal.
Si vous ne criez pas sur tous les toîts que vous êtes un hacker, alors ceux qui essaient de vous piéger ne prendront pas énormément de précautions.
Je vais donner ici les caractéristiques de 42 trojens, je décris ici les serveurs c'est à dire les fichiers piégés à envoyer à la victime, pour que vous sachiez les reconnaître si vous avez des doutes.
Vous êtes prêts ? C'est parti :
Acid Shivers : 182 Ko, l'icône des programmes de Setup. Lorsqu'il est runné, un message d'erreur apparait : "Runtime Error '513' Library not found", et là on ne peut que cliquer sur OK. En suivant, l'ordinateur essaie de lancer la connexion à Internet. A chaque fois que vous vous connectez ensuite à INternet, il ouvre un port TCP vide au hasard, et il envoie un mail à votre infecteur pour lui dire lequel.
Backdoor: 76 Ko, une petite icône de parallélogramme blanc avec une bande verte bleue, beaucoup de trojens reprennent cette icône. Lorsqu'il est runné, une fenêtre avec pour titre Yo LaMeR!!! apparait, avec deux cases de texte et les boutons send et clear. Lorsqu'on fait quelque chose, le message d'erreur suivant apparait : "Run-time error '5': Invalid procedure call or argument", puis le programme se ferme.
Blazer 5, reprend le fonctionnement de Socket de Troie, le mot de passe pour le client est juste différent. 328 Ko, l'icône des programmes de setup. Lorsqu'il est runné, le message suivant apparait : "You are patched. You must now restart your computer.", avec pour titre Congrats. Il me semble qu'il se fixe sur le port 5000
Back orifice : le serveur est disponible en plusieurs versions.
1) 122 Ko, pas d'icône. Lorsqu'il est runné, rien ne se passe.
2) 304 Ko, l'icône des programmes de setup. Lorsqu'il est runné, on joue à un petit jeu ou il faut écraser des taupes marrant comme tout, rien ne permet de penser que l'on est infecté !!! Il se fixe sur le port 31666, et il fait une copie de lui même dans le répertoire Windows/System, sous le nom sys.exe.
3) 122 Ko, l'icône des fichiers .txt. C'est juste le premier auquel on a affecté une icône.
4) 472 Ko, une icône de mouton. Il s'agit d'un vrai programme ou un mouton court sur votre bureau, mais là en plus il y a BO... de plus en plus insidieux Il existe sûrement d'autres versions, je ne les connais pas toutes !!!
Coma : 145 Ko, l'icône du parallélogramme blanc. Lorsqu'il est runné, rien ne se passe.
Deep Throat : 479 Ko, une icône du logo de Windows. Lorsqu'il est runné, rien ne se passe.
Devil : comme pour BO, il existe de nombreuses versions.
1) 24 Ko, l'icône d'ICQFlooder. Lorsqu'il est runné, rien ne se passe, et il en est de même pour tous les autres.
2) 60.5 Ko, l'icône de mIRC.
3) 347 Ko, l'icône du client du Socket de Troie
4) 66 Ko, l'icône de WinGenocide 5) 671 Ko, l'icône de Winrar Doly Trojan : 1.95 Mo, l'icône des programmes de setup. Lorsqu'on le runne, un écran d'installation vous propose d'installer Memory Manager v2.0, et tout à l'air normal vous continuez une procédure d'installation classique, mais après le programme ne marche pas, c'est à dire que memmanage, une icône d'ordinateur verte va se mettre dans la barre des taches quand on double clique sur le programme installé, puis l'ordinateur tente de se connecter à internet. Memmanage fait 17 Ko, et il est accompagné d'autres fichiers, comme pour une vraie installation. Evil FTP: 22.5 Ko, la même icône que coma et backdoor. Une fois runné, le message d'erreur suivant apparait : "File not found : MSINFO.VBX", avec pour titre Fixit, puis une autre fenêtre (celle des erreurs chiantes, la blanche) dit "Fixit, unexpected error; quitting". Il se fixe sur le port 23456, il crée une copie de lui même dans le folder Windows/System/msrun.exe. Fatal Error : 208 Ko, il reprend une icône de batiment grec avec un flambeau, déjà utilisée par certains nukers. Une fenêtre apparait et vous donner l'avertissement suivant : "A network error has occoured. PLease re-enter your login information to continue, et vous devez remplir deux cases avec votre Nom d'utilisateur Windows et votre mot de passe. Les informations sont stockées dans le fichier OS32779.txt.
Forced Entry : 124 Ko, l'icône des programmes de setup. Une fois runné, une fenêtre noir apparait avec le texte suivant : "Error ! Corrupt or missing Install.dat. Can't continue setup process."
Gate crasher : 56 Ko, une icône de disquette. Il doit être envoyé dans un zip contenant quelques autres fichiers normalement. Le zip fait 309 Ko. Il fait croire qu'il update le BIOS pour effacer le millenium bug, puis en suivant l'ordinateur tente de se connecter à Internet.
Girlfriend: 323 Ko, une icône de téléphone. Le programme disparait quand on l'ouvre avec un petit bruit, puis il se copie dans le répertoire Windows sous le nom Windll.exe.
Hack 'a' Tack: 235 Ko, la même icône que deep throat. Il ne se passe rien quand on l'ouvre. Il se copie dans le répertoire Windows et est lancé à chaque démarrage, son nom est alors surement Rundll.exe ou Rundll32.exe
INI Killer : 28 Ko, une icône de bande de cinéma avec deux masques qui rient dessus. Il ne se passe rien lors de son exécution.
Master's paradise : 320 Ko, une icône de femme sur fond violet. Cette icône se met dans la barre des tâches, avec une fenêtre disant "Waiting for a connection".
Millenium Trojen: 47 Ko, la même icône que coma et backdoor. Lors de son exécution, une fenêtre apparait disant "Wait while your system is being updated", puis la fenêtre disparait toute seule. Lorsque l'on reclique dessus, un message d'erreur apparait, "Runtime error '10048' adress in use".
Netbus: là encore il existe de nombreux serveurs
1)483 Ko, l'icône des chaînes (la parabole bleue). Il ne se passe rien quand on l'ouvre. Il se copie dans le répertoire de Windows sous le nom ~tmp2.exe, mais cela peut varier selon les versions.
2) 494 Ko, une icône de tourbillon rouge. Il vous propse d'installer TurboSFX, on comprend pas trop de quoi il s'agit, puis on peut jouer à PieGates, le jeu ou il faut envoyer des tartes dans la gueule de notre ami !!! Très discret, d'autant plus quand on s'amuse à tarter Billou...
3) 464 Ko, une icône de pinceau vert peignant dans un tableau. on voit une sale photo avec marqué "I like a big cock of MasterWurm". Et c'est tout. Ca fait un peu bizarre quand même à refiler à ses copains, si un mec vous a bluffé avec ça, il faudra que vous me racontiez son astuce !!!
Netsphere : 621 Ko, pas d'icône (comme pour un des serveurs de BO). Là encore, rien ne se passe lors de son exécution.
Portal of Doom : 111 Ko, une icône de Daffy Duck. Rien ne se passe lors de son exécution. En générale on va vous l'envoyer avec Cswsk32.ocx, qui est nécessaire à son exécution.
Silencer : 33.5 Ko, une icône de panneau triangle rouge avec un point d'exclamation. Un message d'erreur vous dit : "Runtime error '10055' No buffer spave is available" quand vous l'ouvrez.
Socket de Troie : 328 ko, l'icône des programmes d'installation. Un message d'avertissement vous dit : "Un fichier .DLL requis, SETUP32.DLL n'a pas été trouvé".
Sub Seven : 523 Ko, pas d'icône spécifique. Pour changer rien ne se passe lors de son exécution.
Telecommando: 206 Ko, l'icône des fichiers .sys. Deux massages d'erreur apparaissent lors de l'exécution : "Can't change visible in OnShow or OnHide" et "Error 10048 in function in function Bind, adress already in use".
The executor : 226 Ko, une icône avec marqué "SeeK" en orange fluo. Vous allez être floodé de messages d'erreur si le fichier ne s'appelle pas Exec.exe, si c'est le cas il ne se passera rien. Si vous faites ctrl alt suppr vous verrez marqué Telecommando dans la liste des programmes actifs.
The Spy : 28 Ko, une icône de livre vert bleu. Il ne se passe rien lors de l'exécution.
The Thing : 40 Ko, pas d'icône spécifique. L'ordinateur essaie de se connecter à Internet lors de l'exécution, et c'est tout.
Trojen Cow : 329 Ko, l'icône des programmes de setup. Et là il se passe, devinez quoi ? Rien, gagné ! Win crash: le serveur existe en trois versions
1) 178 ko, l'icône représente un carré gris. Un message d'erreur vous dira : "Exception ESocketError in module .exe at 000319A7. Windows socket error: (10055), on API 'listen'"
2) 77.3 Ko, pas d'icône spécifique. OH PUTAIN !!! Quand je l'ai ouvert sous DOS ça m'a donné mon password Xoom en clair, alors qu'en principe je l'ai pas enregistré... oho... Note : je comprend pas ce que c'est que cette version
3) 4.03 Ko, une icône de chèque gris et bleu, ou quelque chose s'approchant. . Ah la bonne blague, il flippe votre écran verticalement ! Re note : mais c'est quoi ce trojen de débile ???
ATTENTION TOUS LES JOURS DES NOUVEAU TROYENS SONT INVENTÉ! SURVEILLER TOUJOURS SES CONNECTIONS POUR REPERER LES TRANSFERTS SUSPECTS
Exemple d'attaque sur PC avec un cheval de Troie
C'est un des hacks les plus simple à réaliser car il ne fait pas appel à de compétences particulières & il vous donne une idée de ce que l'on peut faire comme dégat. D'ailleurs CE N'EST PAS VRAIMENT DU HACK car le logiciel fait tout ou presque à votre place.
Il s'agit d'envoyer a quelqu'un un ptit programme qui va permettre d'infecter sa machine (que nous appelerons la cible).
Les programmeurs de ces chevaux de troie ont en général fait les choses comme il faut. En effet, on greffe le cheval de troie sur un autre programme (style economiseur d'ecran ou jeu bidon). Vous envoyez à la cible le prog infecté et bingo, le mec qui recoit le mail ne controle plus sa becane un soir de surfing sur le net. Dommage!!!
Bref, Une fois qu'il est connecté sur le net, et si vous avez son ip, le reste devient un jeu d'enfant. Vous pouvez controler la quasi integralité de la cible. (copier, effacer, imprimer,recuperer des passwords, des comptes internet...).
Mais l'envers du décor c'est comment ?
Eh bien cette prise de controle se fait par l'intermediaire d'un port (expliqué dans la partie 1).
Pour rappel, lorsque vous lancez une connexion Internet, vous utilisez le protocole de communication TCP/IP qui permet en faite a tout les ordinateurs de parler la meme langue. Le protocole TCP/IP utilise un petit prog qui Permet d'avoir 65000 ports de communications. Qui sont par defauts fermés. Mais le cheval de troie va justement ouvrir un des ports de communications. Cela vous permettra ensuite par l'intermediaire de l'autre programme sur votre PC pilotant à distance le cheval de prendre le controle de la cible. (un peu comme une voiture téléguidé à fil).
Petite note : si vous etes amené à utiliser ce genre de programmes, ayez la delicatesse de ne laisser aucune trace derrière vous, ca vous evitera des problemes potentiels que j'expliquerais plus tard.
En tout cas, il existe heureusement des moyens efficaces de protections.
Bon c'est bien beau tout ca mais comment on fait en realité ?
Bon on va faire ca en 2 parties :
Comment trouver des victimes existantes.
Comment infecter une victime potentielle.
Comment trouver des victimes existantes.
Une fois que vous avez téléchargé sockets de troie (la version 2.5 et 2.3 si possible), installez le. Si vous avez un antivirus avec une base de signature récente, désactivez le, sinon il le detectera et en empêchera l'installation.
Ne vous inquiétez pas, Vous ne risquez rien. Une fois installé, connectez vous sur le net via votre ISP (infonie, Aol, Wanadoo..) favori.
Un ptit tuyau : au moment ou vous vous connectez, votre ip devrait être indiqué. Par exemple sur infonie, la boite de connexion me donne mon ip au moment de la connexion. Cela vous donne un point de départ quant à la zone de scan à parcourir.
Executez maintenant le prog sockets23.exe. Une boite bleue violette apparait. En haut à droite de la boite clickez sur la main pour voir d'autres options.
Cliquez sur l'option IP.
Une autre boite apparait. Cette boite est en fait un scanner qui va scanner des adresses suceptibles d'etre infecté par le cheval de troie.
Rentrez votre plage de scan en fonction de votre propre ip.
Par exemple : si votre ip est 212.240.80.25 alors lancez le scan entre 212.240.70.1 et 212.240.90.255. Et choisissez le port 5000 dans la case port ou laissez OK.
En fait le port 5000 fonctionne avec l'ancienne version de socket de Troie ver 2.3 et le port Ok c'est pour la version 2.5 (y a une confusion la dessus d'ailleurs que je n'arrive pas à saisir).
Une liste d'ip apparaitra sur la colonne de droite. Avant de vous connecter dessus, il faudra vérifier si la bécane n'est pas protegé, sinon vous risquez potentiellement de vous faire tracer et/ou de vous faire rebooter votre bécane.
Tres chiant !
Par ailleurs si vous vous faites tracer, la cible peut porter plainte contre vous. Et ca peut aller très loin. (prison avec sursis, amendes..)
Pour la vérif lancez TELNET. il est ds le rép de win. c:\windows.
Si vous ne le trouvez pas demerdez vous pour le recupérer.
Une fois TELNET lancé il faut faire: Aller dans les préferences du menu de terminal et activer les options suivantes :
-echo local pour que voir ce que vous tapez,
-VT100 pour terminal. (le terminal usuel le plus utilisé)
Après allez dans connexion ; système distant ; mettre l'ip du PC qui vous interèsse (trouvé lors du scan) et en guise de port, mettre 5000.
A partir de là 2 possibilités :
A. Si c'est marqué REMOTE OK 2 fois, c'est bon y a pas de risque à priori. Vous pouvez y aller. Bingo comme au loto quoi.
B. Si c'est marqué // REboot alors laissez tomber, la cible est protegée.
Bon après cette manip que vous devez effectuer sur chaque adr ip potentiel avant d'essayer de vous connecter dessus avec socket, prenons le cas où c'est bon, où on obtient remote OK.
Déconnectez vous de TELNET.
Revenez sur la boite de controledu socket 23.
En haut à gauche il y a une ligne marqué Host/port : mettez l'ip verifiée, et la valeur 5000 dans la case port.
Clickez sur connecter et si dieu le veut, vous etes sur le pc d'un mec que vous ne connaissez pas.
Bon c'est bien tout ca mais quoi faire ensuite ?
Récupérer des comptes et plein d'autre choses. Mais ca je vous laisse vous débrouiller un peu.
Dangereux NON?
Comment infecter une victime potentielle.
Simple.
Avec socketdetroie ver 2.5 vous avez normalment un programme se nommant GENVIRUS. C'est lui qui permet d'infecter un autre prog en lui greffant le cheval de troie.
Vous prenez par exemple un petit executable (jeu à la con, economiseur d'ecran..) puis vous lui greffez le virus.
Cet executable infecté aura logiquement augmenté de taille (300 ko en plus si mes souvenirs sont bons).
Maintenant choisissez votre victime
(et svp ne prenez pas un pote qui bosse en entreprise car ils ont en général les derniers antivirus qui détectent les chevals de troie, donc votre mail se fera refouler à l'entrée).
Bréf votre victime doit etre un particulier qui n'y connait pas grand chose en info.
La victime va alors executer le prog infecté et la pour lui c'est fini.
S'il n' a pas le dernier antivirus il est foutu. Bon maintenant il faut le retrouver mais ca c'est une autre histoire.
Si vous savez de quel ISP il vient, vous pouvez scanner dans la zone qui lui est attribué (l'ISP).
Exemple infonie : 195.242.6x.xxx jusqu'à environ 195.242.8x.xxx.
Et avec un peu de chance un soir vous pourrez le retrouver et voir un peu à quoi il joue, mais je le repète évitez les DEL/ ou les FORMAT/ soyez "gentlemen".........merci pour eux.
3) La configuration et la protection Avec nukenabber
Si vous êtes deja infecté, allez télécharger un bouffetroyen qui élimine sans danger la plupart des chevals de Troie.
Rassurez vous les fichiers infectés ne seront pas effacés mais réparés.
C'est d'ailleurs la seule facon automatique et efficace que je connaisse pour virer les CDT qui ont infecté vos fichiers.
Manuellement c'est faisable mais je ne sais pas faire.
Sinon pour surfer Pervère Pépère, je disais donc qu'il vous faut pour l'instant 2 logiciels :
-Nukenabber ver 2.9
-Norton Antivirus 5.0 ou équivalent.
Pour ce qui est de l'antivirus, je vous laisse installer ca comme des grands. Pensez simplement à télecharger régulièrement la dernière base de signature.
Pour ce qui est de nukenabber ver 2.9 Un certain nombre de ports seront par défaut verifiés constamment. Notamment le port 5000 par lequel passe socket de troie.
Histoire de se protéger convenablement, contre les autres C D T (Cheval de Troie), rajoutez les ports suivants lors de la config de nukenabber en cliquant sur
File / options / Advanced.
Dans le tableau Current slots, prenez un slot "unassigned" (non attribué en francais), et mettez dans la case "Port to Monitor" le port suivant par exemple :
12345, et dans la case "Protocol" : TCP.
Répétez la même démarche en rajoutant les ports suivants :
1234 - port tcp (CDT potentiel Subseven)
12345 - port tcp (CDT potentiel Netbus)
12346 - port tcp (CDT potentiel Netbus)
20034 - port tcp (CDT potentiel Master Paradise ancienne version)
31337 - port tcp (CDT potentiel Back Orifice) 40426 -
port tcp (CDT potentiel Master Paradise ver9.9 beta)
Une fois Nuke nabber configuré, pensez à l'activer systématiquement lors de vos connexions sur le net. Il travaillera en tache de fond et se mettra dans la barre des taches. S'il clignote cela veut dire que quelq'un essaye de vous attaquer. Pour avoir l'ip du mec qui vous attaque pour cela allez dans "View" et clikez sur "intelligence report" ou "log file" pour savoir également par quel port le mec essaye de rentrer chez vous. Précision. Il existe également un moyen encore plus efficace pour se protéger, cela consiste à installer un firewall (voir section IP spoof part1).
NOHACKS.TSX.ORG
ATTENTION TOUS LES JOURS DES NOUVEAU TROYENS SONT INVENTÉ! SURVEILLER TOUJOURS SES CONNECTIONS POUR REPERER LES TRANSFERTS SUSPECTS
