| NOHACKS.TSX.ORG |
|
HOME Bo2k Port troyens Net-tools Ports monitors |
Les troyens et
les exploits
Explications du fonctionnement d'un troyen
Back orifice
Caractéristiques de certains troyens
Port de troyens
Exploit NetBios
Les troyens sont les outils les plus dangereux qui guette l'internaute.Il sont employés la plupart du temps par des newbies(hackers qui debutent dans la matière)
Premiérement,c'est quoi un cheval de Troie ???
Bon, on va quand même procéder par étape : Un cheval de Troie,N'EST PAS UN VIRUS !
Alors voilà, t'es connecté à Internet,tu discute tranquillement avec quelqun grâce a icq et tu surfes en même temps sur le web pendant ce temps ton ordinateur ouvre des ports
Donc chaque programme que tu utilise ouvre un socket(ou port) (ICQ, IRC, FTP, WEB, CDDB, Proxy, etc ...). 1er point.
2eme point : Lorsque tu te connectes sur Internet, tu passes par ton provider, celui ci te donne un numéro, ce numéro t'es attribué à toi tout seul, personne d'autre ne peut avoir le même numéro, c'est ce numéro qui t'identifie sur le réseau, bon,ce numéro s'appelle l'adresse IP Note qu'a chaque connexion, ton adresse IP change, c'est une allocation IP Dynamique, certains providers te fournira une IP dynamique avec un délai plus ou moins grand ...,quand aux abonnés du câbles ils ont toujours la même adresse IP
Donc on résume, si t'a bien compris :
Tu as des ports d'ouverts lorsque tu utilise des programmes.
Tu possède une IP qui t'identifie sur le réseau.
Imagine maintenant que tu possède sur ta bécane un logiciel qui t'ouvre un port : il crée une brèche dans ton système, et tout ca sans que tu t'en rende compte ...
Nous appellerons ce logiciel le serveur A l'autre bout de la planète, un type, normal, sans histoire, connecté lui aussi, lance un logiciel qui va communiquer avec le logiciel sur ce port qui est ouvert, nous appellerons ce logiciel le client.
Bein voilà, c'est tout le principe des chevaux de Troie, t'a tout compris, tu vois c'est pas compliqué hein?
Pour résumer : un cheval de Troie est un programme qui va ouvrir un port de communication sur ta bécane, ce programme va accepter toutes les requêtes qui viennent de l'extérieur.
Un cheval de Troie peut être un Virus, mais ce n'est pas un Virus, je m'explique : l'objectif premier d'un virus est de se propager pour survivre, pour employer l'expression de Marc A. Ludwig : c'est du "code auto propagable" (ACP), un cheval de Troie à pour objectif de créer une brèche dans ton système, il peut éventuellement s'auto-propager mais ce n'est pas son but premier, d'autant plus qu'avec les petits outils qui vont bien on peut détecter les trojans qui tourne en process, alors que les virus non.
Voila une définition exhaustive de ce que peut être un cheval de Troie
Certains vont être étonnés de ce que je vais dire mais c'est entièrement vrai
Une personne qui a le control de votre ordinateur a l'aide dun troyen du genre Subseven peut faire tout ce qu'elle veut sur votre ordinateur et le plus important c'est qu'il peuvent vous voler vos mots de passe et faire des actions illégales a votre nom!
Coment?,trés simplement il prend votre compte internet(mots de passe du provider)et se connecte a votre provider et il se mets a hacker autant qu'il veut,envoyer des messages,parler avec quelqun... et ce en votre nom!
Je vais pas énumérer toutes les fonctions mais on peut noter celle ci qui sont presentes dans la plupart des troyens:
-Voler tous les passwords enregistrés ou en mémoire
-Possibilité de telecharger tout les fichiers de l'ordinateurs victime
-Transformer l'ordi en server web,ftp...
-Informer le hacker lors d'une connection internet de l'ordinateur victime
-Lire,ecrire,supprimer,renommer tous les fichiers de l'ordi victime.
Vous voila prevenus et ca c'est encore une trés petite liste de outes les fonctions du troyen
Certains Troyen dont backorifice2000 sont beaucoup plus efficace que des programmes d'administaration reseau tel que pcanywhere de symantec qui eux sont payants!
Comme je vopus avez expliquer avant,le serveur ouvre un port pour communiquer avec le client(c'est ce qui vous permet de commander le serveur ou server),donc il suffit d'utiliser un programme adequat comme nous le verrons plus loin pour detecter tous les ports ouvert.
Nous allons prendre par ex le troyen le plus connu et le plus repandu comme base.
BackOrifice1.2
Le premier back orifice qui est sorti en 1998et qui a infecté et infeccte toujours beaucoup de gens sur le net .Premierement comme je vous ai expliqué au debut, un serveur ouvre un port qui lui permettra de communiquer avec son client, le serveur de back orifice a l'etat brut porte le nom de boserv.exe et run(marche) au port 31337.
Si quelqun vous envoie un fichier sur ICQ ou sur IRC et que son nom est serv.exe ou quelque chose come ca ne jamais l'accepter car la plupart du temps ce sont des gros debutants qui ne connaisse presque rien au hacking et veulent infecter de maniére idiote des gens aussi ignorants qu'eux. Je n'ai jamais dit qu'il faut toujours accepter les fichiers exe au contraire mais je pense qu'il faut vraiment étre béte pour accepter des fichiers portant des noms comme serv.exe serv32.exe ou des noms comme ca. Mais attention certaines fois l'extension(ce qui a aprés le point par exemple: exe;.jpg;.gif) peut ne pas etre fausse,aller jeter un tour a Bug du send fichier
Revenons a nos moutons,Back Orifice est un programme fait et concu par Cult Dead cOw(cDc) une organiastion de fou d'informatique qui lutte pour les libertés(anti-chinois)constitués de programmeurs talentueux.
Donc voila,comment savoir si vous avez été infectés par back orifice.Premierement essayer de vous rappeler quels programmes vous avez telecharger du net et que vous avez excecutez par ex si vous avez executer un fichier se nommant quake.exe.Le server de back orifice va se loger dans le dossier c:\windows\systemavec pour nom quake.exe
Donc redemarer l'ordinateur (on ne peut effacer directement le server,si vous essayez vous aurez une fenetre qui vous indiquera que ce fichier est utiliser par windows) ,appuyer sur la touche f8 vous aurez un menu. Selectinnez version precedente de Ms-DOs et tapez cd windows,ensuite cd system,et enfin del quake.exe.Apres cela,on va essayer d'eradiquer son demarrage(Le server d'un troyen demarre toujours au declenchement de windows et c'est dans la base de registre que ce trouve les programmes qui travailent en tache de fond)
Dans windows,faites menu executez tapez regedit.La vous aurez le programme pour modifier la base de registre Vous verrez 6 branches,cliquez sur les croix jusqu'a arriver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ent\Version\RunServices
Donc arriver a cette branche vous verrez tous les programmes qui s'excute en tache de fond(c'est a dire continuellement tel que des antivrus...) vous verrez une nouvelle clé qui est apparut avec le nom par defaut qui est boserve.exe donc supprimer cette clé et a ce moment la personne ne pourra dans votre ordi a partir de Bo.
La je pense que vous avez quand meme compris,chaque serveur run(marche)sur un port celui de bo est par default 31337 mais il est configurable du port 1 a 65555 environ.
Telecharger X-netstat,X-netstatpour surveiller tous vos ports et vos connexions.
Chaque server de troyen run a un port precis par default(car je pense que la plupart des hackers ont la flemme de changer le port par default par un autre),donc lorsque vous detectez une activité sur votre ordinateur a un port de troyen par default(voir par ex 31337 c'est que vous étes infectés et la,il faut prendre les mesures appropriés.si c'est le port 31337 je vous ai dit comment vous desinfectés.
Malgré toutes vos précautions, il se peut que vous vous fassiez infecter avec un trojen. Je vais vous donner ici les informations qui vous seront nécessaires pour éviter cela. Le mieux est de savoir reconnaître un trojen quand vous en voyez un, et donc de prévenir le mal. Si vous ne criez pas sur tous les toîts que vous êtes un hacker, alors ceux qui essaient de vous piéger ne prendront pas énormément de précautions.
Je vais donner ici les caractéristiques de 42 trojens, je décris ici les serveurs c'est à dire les fichiers piégés à envoyer à la victime, pour que vous sachiez les reconnaître si vous avez des doutes. Vous êtes prêts ? C'est parti :
---> Acid Shivers : 182 Ko, l'icône des programmes de Setup. Lorsqu'il est runné, un message d'erreur apparait : "Runtime Error '513' Library not found", et là on ne peut que cliquer sur OK. En suivant, l'ordinateur essaie de lancer la connexion à Internet. A chaque fois que vous vous connectez ensuite à INternet, il ouvre un port TCP vide au hasard, et il envoie un mail à votre infecteur pour lui dire lequel.
---> Backdoor : 76 Ko, une petite icône de parallélogramme blanc avec une bande verte bleue, beaucoup de trojens reprennent cette icône. Lorsqu'il est runné, une fenêtre avec pour titre Yo LaMeR!!! apparait, avec deux cases de texte et les boutons send et clear. Lorsqu'on fait quelque chose, le message d'erreur suivant apparait : "Run-time error '5': Invalid procedure call or argument", puis le programme se ferme.
---> Blazer 5, reprend le fonctionnement de Socket de Troie, le mot de passe pour le client est juste différent. 328 Ko, l'icône des programmes de setup. Lorsqu'il est runné, le message suivant apparait : "You are patched. You must now restart your computer.", avec pour titre Congrats. Il me semble qu'il se fixe sur le port 5000
---> Back orifice : le serveur est disponible en plusieurs versions.
1) 122 Ko, pas d'icône. Lorsqu'il est runné, rien ne se passe.
2) 304 Ko, l'icône des programmes de setup. Lorsqu'il est runné, on joue à un petit jeu ou il faut écraser des taupes marrant comme tout, rien ne permet de penser que l'on est infecté !!! Il se fixe sur le port 31666, et il fait une copie de lui même dans le répertoire Windows/System, sous le nom sys.exe.
3) 122 Ko, l'icône des fichiers .txt. C'est juste le premier auquel on a affecté une icône.
4) 472 Ko, une icône de mouton. Il s'agit d'un vrai programme ou un mouton court sur votre bureau, mais là en plus il y a BO... de plus en plus insidieux
Il existe sûrement d'autres versions, je ne les connais pas toutes !!!
---> Coma : 145 Ko, l'icône du parallélogramme blanc. Lorsqu'il est runné, rien ne se passe.
---> Deep Throat : 479 Ko, une icône du logo de Windows. Lorsqu'il est runné, rien ne se passe.
---> Devil : comme pour BO, il existe de nombreuses versions.
1) 24 Ko, l'icône d'ICQFlooder. Lorsqu'il est runné, rien ne se passe, et il en est de même pour tous les autres.
2) 60.5 Ko, l'icône de mIRC.
3) 347 Ko, l'icône du client du Socket de Troie
4) 66 Ko, l'icône de WinGenocide
5) 671 Ko, l'icône de Winrar
---> Doly Trojan : 1.95 Mo, l'icône des programmes de setup. Lorsqu'on le runne, un écran d'installation vous propose d'installer Memory Manager v2.0, et tout à l'air normal vous continuez une procédure d'installation classique, mais après le programme ne marche pas, c'est à dire que memmanage, une icône d'ordinateur verte va se mettre dans la barre des taches quand on double clique sur le programme installé, puis l'ordinateur tente de se connecter à internet. Memmanage fait 17 Ko, et il est accompagné d'autres fichiers, comme pour une vraie installation.
---> Evil FTP : 22.5 Ko, la même icône que coma et backdoor. Une fois runné, le message d'erreur suivant apparait : "File not found : MSINFO.VBX", avec pour titre Fixit, puis une autre fenêtre (celle des erreurs chiantes, la blanche) dit "Fixit, unexpected error; quitting". Il se fixe sur le port 23456, il crée une copie de lui même dans le folder Windows/System/msrun.exe.
---> Fatal Error : 208 Ko, il reprend une icône de batiment grec avec un flambeau, déjà utilisée par certains nukers. Une fenêtre apparait et vous donner l'avertissement suivant : "A network error has occoured. PLease re-enter your login information to continue, et vous devez remplir deux cases avec votre Nom d'utilisateur Windows et votre mot de passe. Les informations sont stockées dans le fichier OS32779.txt.
---> Forced Entry : 124 Ko, l'icône des programmes de setup. Une fois runné, une fenêtre noir apparait avec le texte suivant : "Error ! Corrupt or missing Install.dat. Can't continue setup process."
---> Gate crasher : 56 Ko, une icône de disquette. Il doit être envoyé dans un zip contenant quelques autres fichiers normalement. Le zip fait 309 Ko. Il fait croire qu'il update le BIOS pour effacer le millenium bug, puis en suivant l'ordinateur tente de se connecter à Internet.
---> Girlfriend : 323 Ko, une icône de téléphone. Le programme disparait quand on l'ouvre avec un petit bruit, puis il se copie dans le répertoire Windows sous le nom Windll.exe.
---> Hack 'a' Tack : 235 Ko, la même icône que deep throat. Il ne se passe rien quand on l'ouvre. Il se copie dans le répertoire Windows et est lancé à chaque démarrage, son nom est alors surement Rundll.exe ou Rundll32.exe
---> INI Killer : 28 Ko, une icône de bande de cinéma avec deux masques qui rient dessus. Il ne se passe rien lors de son exécution.
---> Master's paradise : 320 Ko, une icône de femme sur fond violet. Cette icône se met dans la barre des tâches, avec une fenêtre disant "Waiting for a connection".
---> Millenium Trojen : 47 Ko, la même icône que coma et backdoor. Lors de son exécution, une fenêtre apparait disant "Wait while your system is being updated", puis la fenêtre disparait toute seule. Lorsque l'on reclique dessus, un message d'erreur apparait, "Runtime error '10048' adress in use".
---> Netbus : là encore il existe de nombreux serveurs
1) 483 Ko, l'icône des chaînes (la parabole bleue). Il ne se passe rien quand on l'ouvre. Il se copie dans le répertoire de Windows sous le nom ~tmp2.exe, mais cela peut varier selon les versions.
2) 494 Ko, une icône de tourbillon rouge. Il vous propse d'installer TurboSFX, on comprend pas trop de quoi il s'agit, puis on peut jouer à PieGates, le jeu ou il faut envoyer des tartes dans la gueule de notre ami !!! Très discret, d'autant plus quand on s'amuse à tarter Billou...
3) 464 Ko, une icône de pinceau vert peignant dans un tableau. on voit une sale photo avec marqué "I like a big cock of MasterWurm". Et c'est tout. Ca fait un peu bizarre quand même à refiler à ses copains, si un mec vous a bluffé avec ça, il faudra que vous me racontiez son astuce !!!
---> Netsphere : 621 Ko, pas d'icône (comme pour un des serveurs de BO). Là encore, rien ne se passe lors de son exécution.
---> Portal of Doom : 111 Ko, une icône de Daffy Duck. Rien ne se passe lors de son exécution. En générale on va vous l'envoyer avec Cswsk32.ocx, qui est nécessaire à son exécution.
---> Silencer : 33.5 Ko, une icône de panneau triangle rouge avec un point d'exclamation. Un message d'erreur vous dit : "Runtime error '10055' No buffer spave is available" quand vous l'ouvrez.
---> Socket de Troie : 328 ko, l'icône des programmes d'installation. Un message d'avertissement vous dit : "Un fichier .DLL requis, SETUP32.DLL n'a pas été trouvé".
---> Sub Seven : 523 Ko, pas d'icône spécifique. Pour changer rien ne se passe lors de son exécution.
---> Telecommando : 206 Ko, l'icône des fichiers .sys. Deux massages d'erreur apparaissent lors de l'exécution : "Can't change visible in OnShow or OnHide" et "Error 10048 in function in function Bind, adress already in use".
---> The executor : 226 Ko, une icône avec marqué "SeeK" en orange fluo. Vous allez être floodé de messages d'erreur si le fichier ne s'appelle pas Exec.exe, si c'est le cas il ne se passera rien. Si vous faites ctrl alt suppr vous verrez marqué Telecommando dans la liste des programmes actifs.
---> The Spy : 28 Ko, une icône de livre vert bleu. Il ne se passe rien lors de l'exécution.
---> The Thing : 40 Ko, pas d'icône spécifique. L'ordinateur essaie de se connecter à Internet lors de l'exécution, et c'est tout.
---> Trojen Cow : 329 Ko, l'icône des programmes de setup. Et là il se passe, devinez quoi ? Rien, gagné !
---> Win crash : le serveur existe en trois versions
1) 178 ko, l'icône représente un carré gris. Un message d'erreur vous dira : "Exception ESocketError in module
2) 77.3 Ko, pas d'icône spécifique. OH PUTAIN !!! Quand je l'ai ouvert sous DOS ça m'a donné mon password Xoom en clair, alors qu'en principe je l'ai pas enregistré... oho... Note : je comprend pas ce que c'est que cette version
3) 4.03 Ko, une icône de chèque gris et bleu, ou quelque chose s'approchant. . Ah la bonne blague, il flippe votre écran verticalement ! Re note : mais c'est quoi ce trojen de débile ???
ATTENTION TOUS LES JOURS DES NOUVEAU TROYENS SONT INVENTÉ!
SURVEILLER TOUJOURS SES CONNCTIONS POUR REPERER LES CONNECTIONS SUSPECTES
Si vous voulez encore plus de caratéristiques de troyens et scaoir comment les eradiquer voici une page html trés complete faites par Int13 en Anglais,cliqez sur ce lien liste de troyens pour les eradiquer manuellement
Voila aussi les ports utiliser par default par les troyens les plus repandus:
Donc si vous avez des activités sur un de ses ports alors ...
NetBus 1.x (avoiding Netbuster)
12346
NetBus Pro
20034
BackOriffice
31337
SubSeven
1243
NetSphere
30100
Deep Throath
6670
Master Paradise
31
Silencer
1001
Millenium
20000
Devil 1.03
65000
NetMonitor
7306
Streaming Audio Trojan
1170
Socket23
5000
Socket25
30303
Gatecrasher
6969
Telecommando
61466
Gjamer
12076
IcqTrojen
4950
Priotrity
16969
Vodoo
1245
Wincrash
5742
Wincrash2
2583
Netspy
1033
ShockRave
1981
Stealth Spy
555
Pass Ripper
2023
Attack FTP
666
GirlFriend
21554
Fore
50766
DeltaSource (DarkStar)
6883
SennaSpyTrojans
11000
Backdoor
1999
TheSpy
40412
RoboHack
5569
ProgenicTrojan
9872
IcqTrojan
4950
BladeRunner
5400
The tHing
6400
Wingate (Socks-Proxy)
1080
Voila la plupart des troyens et leurs port,et si vous voulez ne pas vous cassez la tete a apprendre,vous pourrez utiliser NukeNaber 2.9 qui bloquera tous vos ports selectionner.
Les exploits
Premierement,on va definir ce qu'est un exploit.
Un exploit est si on le definit dans un language comprehensible est un bug ou une faille de sécurité,il ne faut pas prendre ce mot pour un "exploit", pour chose difficle a accomplir non, mais c'est une faille de sécurité
Ici on ne va s'interesser qu'au faille de windows car on n'est pas administrateurs reseaux et je ne suis pas non plus la pour vous enseigner les techniques du hack mais pour vous apprendre a vous defendre. L'exploit NetBios
L'exploit netbios est une faille presentes dans les versions de win9x qui permet a un utilisteures d'étre root sur l'ordinateur distant(etre le maitre de l'ordi si vous voulez).
Comment cet exploit est activer sur notre ordi?
Simplement,comme je pense la plupart d'entre vous laisse le soin au cd-rom d'installation fournie par le provider de tout configurer donc grace au cd-rom d'installation vous n'avez pas besoin de vous cassez la tete mais le revers de la medaille est que la confiquration reseau est mal configuré.
Pourqoi?Lors de l'installation la partage reseau est activer ce qui permettra a un hacker de rentrer dans votre ordinateur.Le partage reseau est une fonction standart qui vous permet d'administrer votre ordinateur a partir d'un autre ordinateur.
Comment savoir si cette fonction est activer?
Regarder dans le bureau et si vous voyez une icone en forme d'ordinateurs et portant le nom "voisinage reseau" alors vous avez le partage resau installer.
Pour etre plus sur aller dans panneau de configuration,reseau,et regarder bien si vous avez "partage resau clent natware" ou un machin comme ca.
Vous avez compris ce qu'est le partage reseau donc je ne vous conseille pas de supprimer cette fonction qui pourrait influencer votre connexion reseau mais de mettre un mot de passe. L'operation est trés facile,aller dans le poste de travail,cliquez sur le lecteur c avec le bouton droit,sur partager et la vous aurez une fenetre que vous devrez remplir par un mot de passe.
Et la vous mettez votre mot de passe.Ne mettez surtout pas le nom d'une personne de votre famille,de vos loisirs,vos amis,votre age ou tout autre choses que le hacker pourrait connaitre en se renseigant sur vous,cette science du renseigenement et de l'arnaque pour retrouver les mots de passe s'appelle le Social Engeneering.Vous mettrez un mot de passe d'au moins 4 lettres du type ed122nj et je vous assure que c'est impossible pour n'importe quel hacker de trouver ou plutot de deviner votre mot de passe.
Ou sinon pour etre sur vous aller dans panneau de confiquration,reseau,et la, supprimer partage resau.
si pour une quelconque raison vous etes obliger d'utiliser le partage resau et vous ne pouvez mettre de mots de passe
