Introduction aux "Chevaux de Troie"

Moderator: Mod

Introduction aux "Chevaux de Troie"

Postby HackAngel » Fri Mar 28, 2008 11:44 pm

[b:82e456df04]Les chevaux de Troie[/b:82e456df04]

On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom « Cheval de Troie » provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les Grecs.

La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie.

A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en afficher la liste).

Un cheval de Troie peut par exemple

- voler des mots de passe ;
- copier des données sensibles ;
- exécuter tout autre action nuisible ;
- etc.

Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur.

Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" [...]).

Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur les machines infectées !

Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

[b:82e456df04]Les symptômes d'une infection[/b:82e456df04]

Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contaminé contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se traduit par les symptômes suivants :

- activité anormale du modem, de la carte réseau ou du disque: des données sont chargées en l'absence d'activité de la part de l'utilisateur ;
- des réactions curieuses de la souris ;
- des ouvertures impromptues de programmes ;
- des plantages à répétition ;

[b:82e456df04]Principe du cheval de Troie[/b:82e456df04]

Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accèder à votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP. Ainsi :

- soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée
- soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées.

[b:82e456df04]Se protéger contre les troyens[/b:82e456df04]

Pour se protéger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-à-dire un programme filtrant les communications entrant et sortant de votre machine. Un firewall (littéralement pare-feu) permet ainsi d'une part de voir les communications sortant de votre machines (donc normalement initiées par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il n'est pas exclu que le firewall détecte des connexions provenant de l'extérieur sans pour autant que vous ne soyez la victime choisie d'un hacker. En effet, il peut s'agir de tests effectués par votre fournisseur d'accès ou bien un hacker scannant au hasard une plage d'adresses IP.

Pour les systèmes de type Windows, il existe des firewalls gratuits très performant :

- ZoneAlarm
- Tiny personal firewall

[b:82e456df04]En cas d'infection[/b:82e456df04]

Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la connexion aux programmes que vous ne connaissez pas, car il peut très bien s'agir d'un cheval de Troie.

En cas de récidive, il peut être utile de vérifier que votre ordinateur n'est pas infecté par un troyen en utilisant un programme permettant de les détecter et de les éliminer (appelé bouffe-troyen).
C'est le cas de The Cleaner, téléchargeable sur http://www.moosoft.com.
Liste des ports utilisés habituellement par les troyens

Les chevaux de Troie ouvrent habituellement un port de la machine infectée et attendent l'ouverture d'une connexion sur ce port pour en donner le contrôle total à d'éventuels pirates. Voici la liste (non exhaustive) des principaux ports utilisés par les chevaux Troie (origine : Site de Rico) :

[code:1:82e456df04]port Troyen
21 Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23 TTS (Tiny Telnet Server)
25 Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31 Agent 31, Hackers Paradise, Masters Paradise
41 Deep Throat
59 DMSetup
79 FireHotcker
80 Executor, RingZero
99 Hidden port
110 ProMail trojan
113 Kazimas
119 Happy 99
121 JammerKillah
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666 Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911 Dark Shadow
999 Deep Throat, WinSatan
1002 Silencer, WebEx
1010 à 1015 Doly trojan
1024 NetSpy
1042 Bla
1045 Rasmin
1090 Xtreme
1170 Psyber Stream Server, Streaming Audio Trojan, voice
1234 Ultor trojan
1234 Ultors Trojan
1243 BackDoor-G, SubSeven, SubSeven Apocalypse
1245 VooDoo Doll
1269 Mavericks Matrix
1349 BO DLL
1492 FTP99CMP
1509 Psyber Streaming Server
1600 Shivka-Burka
1807 SpySender
1981 Shockrave
1999 BackDoor
1999 TransScout
2000 TransScout
2001 TransScout
2001 Trojan Cow
2002 TransScout
2003 TransScout
2004 TransScout
2005 TransScout
2023 Ripper
2115 Bugs
2140 Deep Throat, The Invasor
2155 Illusion Mailer
2283 HVL Rat5
2565 Striker
2583 WinCrash
2600 Digital RootBeer
2801 Phineas Phucker
2989 RAT
3024 WinCrash
3128 RingZero
3129 Masters Paradise
3150 Deep Throat, The Invasor
3459 Eclipse 2000
3700 portal of Doom
3791 Eclypse
3801 Eclypse
4092 WinCrash
4321 BoBo
4567 File Nail
4590 ICQTrojan
5000 Bubbel, Back Door Setup, Sockets de Troie
5001 Back Door Setup, Sockets de Troie
5011 One of the Last Trojans (OOTLT)
5031 NetMetro
5321 Firehotcker
5400 Blade Runner, Back Construction
5401 Blade Runner, Back Construction
5402 Blade Runner, Back Construction
5550 Xtcp
5512 Illusion Mailer
5555 ServeMe
5556 BO Facil
5557 BO Facil
5569 Robo-Hack
5742 WinCrash
6400 The Thing
6669 Vampyre
6670 DeepThroat
6771 DeepThroat
6776 BackDoor-G, SubSeven
6912 Shit Heep (not port 69123!)
6939 Indoctrination
6969 GateCrasher, Priority, IRC 3
6970 GateCrasher
7000 Remote Grab, Kazimas
7300 NetMonitor
7301 NetMonitor
7306 NetMonitor
7307 NetMonitor
7308 NetMonitor
7789 Back Door Setup, ICKiller
8080 RingZero
9400 InCommand
9872 portal of Doom
9873 portal of Doom
9874 portal of Doom
9875 portal of Doom
9876 Cyber Attacker
9878 TransScout
9989 iNi-Killer
10067 portal of Doom
10101 BrainSpy
10167 portal of Doom
10520 Acid Shivers
10607 Coma
11000 Senna Spy
11223 Progenic trojan
12076 Gjamer
12223 Hack´99 KeyLogger
12345 GabanBus, NetBus, Pie Bill Gates, X-bill
12346 GabanBus, NetBus, X-bill
12361 Whack-a-mole
12362 Whack-a-mole
12631 WhackJob
13000 Senna Spy
16969 Priority
17300 Kuang2 The Virus
20000 Millennium
20001 Millennium
20034 NetBus 2 Pro
20203 Logged
21544 GirlFriend
22222 Prosiak
23456 Evil FTP, Ugly FTP, Whack Job
23476 Donald Dick
23477 Donald Dick
26274 Delta Source
27374 SubSeven 2.0
29891 The Unexplained
30029 AOL Trojan
30100 NetSphere
30101 NetSphere
30102 NetSphere
30303 Sockets de Troie
30999 Kuang2
31336 Bo Whack
31337 Baron Night, BO client, BO2, Bo Facil
31337 BackFire, Back Orifice, DeepBO
31338 NetSpy DK
31338 Back Orifice, DeepBO
31339 NetSpy DK
31666 BOWhack
31785 Hack´a´Tack
31787 Hack´a´Tack
31788 Hack´a´Tack
31789 Hack´a´Tack
31791 Hack´a´Tack
31792 Hack´a´Tack
33333 Prosiak
33911 Spirit 2001a
34324 BigGluck, TN
40412 The Spy
40421 Agent 40421, Masters Paradise
40422 Masters Paradise
40423 Masters Paradise
40426 Masters Paradise
47262 Delta Source
50505 Sockets de Troie
50766 Fore, Schwindler
53001 Remote Windows Shutdown
54320 Back Orifice 2000
54321 School Bus
54321 Back Orifice 2000
60000 Deep Throat
61466 Telecommando
65000 Devil[/code:1:82e456df04]

[b:82e456df04]Ce document intitulé « Virus - Les chevaux de Troie » issu de Comment ??a Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.[/b:82e456df04]

Pour la Liberté...

HackAngel
User avatar
HackAngel
 
Posts: 871
Joined: Tue Dec 25, 2007 11:14 pm
Location: Quelque part entre ici et ailleurs...

Postby hannibal » Sat Mar 29, 2008 12:24 am

Je viens d'apprendre un ta de truc la.....
je ne pensai même pas que l'on avait autant de port....
User avatar
hannibal
Projets
 
Posts: 45
Joined: Wed Mar 26, 2008 9:59 pm
Location: ?????

Postby ANTPIRG » Wed Sep 03, 2008 2:59 pm

Hannibal sur un micro-ordinateur il 65 000 socket et quelque .
ANTPIRG
Projets
 
Posts: 132
Joined: Sat Aug 30, 2008 10:22 am

Postby THE-DEATH » Wed Sep 03, 2008 3:10 pm

65535 ports
User avatar
THE-DEATH
 
Posts: 971
Joined: Wed Jul 23, 2008 10:49 am
Location: 127.0.0.1

Postby ANTPIRG » Wed Sep 03, 2008 6:55 pm

Exact The-death mais bon j'arrondi
ANTPIRG
Projets
 
Posts: 132
Joined: Sat Aug 30, 2008 10:22 am

Postby JMG49 » Thu Sep 11, 2008 3:02 pm

salut je me permet de completer un peu, la liste est bonne mais maintenant la plupart sont obsoletes,

je pense qu'il faut attacher de l'importance aux trojans fwb , ce n'est plus le client qui se

connecte au server mais le contraire, et le tout avec injection de code dans un processus

autorisé par le firewall, iexplore, msnmgr, firefox par exemple et le firewall ne voit rien,

l'utilisateur du trojan ouvre un compte noip pour que le server se connecte à sa machine, (l'ip changeant environ ttes les 24h le server ne trouverait plus le client)

les trojans classiques ouvrant un port en ecoute , ne sont pas joignables derriere un routeur, la plupart des utilisateur ont une box maintenant, le probleme est reglé grace a la reverse connexion

il n'y a qu'un utilisateur par server, pour depanner quelqu'un c'est pratique, faire configurer vnc a un novice par telephonne peut etre long !!
JMG49
Projets
 
Posts: 40
Joined: Tue Jul 22, 2008 10:07 pm


Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 1 guest

cron