Infos

« Les chevaux de Troie (trojans) sont des programmes qui, de manière larvée, exécutent des actions préjudiciables tout en se présentant à l’utilisateur comme des applications ou des fichiers utiles. Il s’agit souvent de programmes téléchargés depuis l’Internet. Mais des chevaux de Troie peuvent aussi revêtir la forme de morceaux de musique ou de films (ex. dans les formats MP3 ou MPEG). Ils peuvent utiliser les lacunes de sécurité dans différents programmes (ex. Media Player, IE) afin de s’installer subrepticement dans le système. Les chevaux de Troie se répandent également via les fichiers attachés aux courriels ». [Re: Melani].

A la différence d’un ver, le cheval de Troie ne se réplique pas : il peut demeurer inoffensif, à l’intérieur d’un jeu, d’un utilitaire ou programme, jusqu’à une date ou action programmée de son entrée en action.

 
Conséquences et dangers. Accès illicites aux données confidentielles (p. ex. mots de passe pour les services en ligne, codes d’accès ) en enregistrant les touches activées et transmettant ces données aux assaillants (hackers). Accès non autorisé à l’ordinateur, par exemple en installant ou en utilisant une porte dérobée pour communiquer avec son auteur.

Actuellement, les chevaux de Troie les plus répandus et les plus dangereux sont de type Porte Dérobée (backdoor). Ces trojans sont des outils d’administration à distance qui se connectent à des machines infectées et prennent le contrôle externe par l’intermédiaire d’un réseau (LAN) ou de l’Internet. Ils fonctionnent comme des programmes légaux d’administration à distance employés par des Administrateurs de système réseau; par conséquent, ceci les rend parfois difficiles à détecter.

Exemple. Il est relativement facile de créer des chevaux de Troie de type Porte Dérobée. Ce trojan peut même être injecté dans un autre processus, par exemple le logiciel un logiciel de messagerie, et y capter tout ce qui s’y déroule (on trouvera la meilleure référence à ce sujet ici, en anglais). Votre antivirus peut-il aisément détecter les chevaux de Troie? Si la plupart sont capables de le faire pour le trojans programmés avec les techniques connues des antivirus (par exemple celles utilisées par Binder, Hammer Binder ou Poison Ivy ), il en est autrement pour les nouvelles techniques. Les plus futés des pirates savent rendre un cheval de Troie ‘invisible’ pour un certains temps (quelques astuces ici) et seuls les bons antivirus sauront les identifier sans faire erreur.

Maintenant un exemple pratique! L’archive rar proposée en fin de paragraphe cache un cheval de Troie de type Porte Dérobée qui, normalement, s’il se rend sur votre ordinateur pourrait par exemple prendre lieu et fonction de la messagerie MSN et refiler à son auteur tout ce qui est tapé au clavier. Plus encore, il serait capable d’agir comme serveur permettant le contrôle à distance de votre ordinateur. Notez que ce cheval de Troie, en particulier, possède une signature connue de la plupart des antivirus (Beast).

WOh!? – En fait, ce cheval de Troie est complètement inoffensif, incapable de communiquer avec l’extérieur, mais de l’avis des antivirus il a toutes les apparences d’un vilain trojan à cause d’une signature connue par plusieurs. Vous n’avez qu’à laisser votre antivirus le détruire, le mettre en quarantaine (le supprimer vous même), ou refuser tout simplement de le télécharger s’il vous en averti. C’est donc un petit test sans danger. Vous en faites l’expérience en prenant l’archive #***CHEVAL***#

ATTENTION: EN CAS DE PROBLEMES JE NE PRENDS AUCUNE RESPONSABILITE NI EKLABLOG.

Note: à cause de sa signature connue (Beast), ce cheval de Troie, même si complètement inoffensif, est facilement détecté par Nod32 qui le détruit dès le contact avec la souris; j’ai du rendre inactif NOD32 le temps nécessaire pour manipuler le fichier. Compressé dans une archive, l’antivirus est moins rapide à le détecter. Le ‘CHEVAL’ a été compilé avec l’aide d’outils typiques: Hammer Binder (injection) et Poison Ivy (outil d’administration à distance). Un ‘binder’ est un logiciel qui permet de rassembler au moins deux fichier exécutables en un seul, ce qu’on appelle ‘injection’; il s’en trouve des dizaines sur internet tels Hammer Binder et Beast. Comment se comporte votre antivirus en présence de mon cheval?

Bon test – et c’est sans aucun danger.

[Complément] Vous soupçonnez qu’une Porte Dérobée se trouve dans votre ordinateur, peut-être alors qu’une surveillance des communications internet pourra vous révéler sa présence. Voir WinInfoNet, mon logiciel qui dévoile les connexions réseaux, en particulier tout ce qui se rapporte aux connexions internet.