nous allons étudier at analyser le phénomène de cheval de Troie, en particulier : ce qui concerne la lutte, et les moyens disponibles pour ce but, et puisque la propagation de ce troyen dans ces derniers temps est prodigieux nous devons tenir ces évolutions en compte.
Nous essayons aussi dans cet article à sensibiliser l'utilisateur aux menaces du cheval de troie et aux des marches des prudences qu’il doit le suivre.
2. . Bentahar.A-Boukhalfa.H 2
1 Introduction
2. Définition
3. Historique
4. La Furtivité De Cheval De Troie
5. Le Mode D’installation Et D’utilisation
6. Symptômes D'une Infection
7. Principe
8. Le Cheval De Troie et RAT ( Remote Administration Tool )
9. Prémunir De Cheval De Troie
10. La Lutte
11. Conclusion
3. 1. Introduction:
Le cheval de Troie est considéré comme un programme
malveillant le plus répandu car sa nature qui semble légitime à
la 1ere fois pour accéder à la machine puis ouvrir les portes
aux différents autres programmes malveillant, contrairement
aux virus qui se détectent par l’ordinateur et rapidement seront
bloqués avant de l’infection.
3. Bentahar.A-Boukhalfa.H
4. 2. Cheval De Troie:
On appelle cheval de troie (trojan horse) tout un programme
malveillant qui s’infiltre aux ordinateurs à l’aide de l’utilisateur
lui-même, il se considère comme un programme intrus dépendant
d’autre programme pour que ce dernier puisse entrer d’une façon
normale et de gré de l’utilisateur via l’Email (Spam) et les sites
Web suspect. Donc le cheval de troie est un programme s’apparait
saint mais il cache des programmes malveillant.
Le cheval de Troie n’est pas un virus fonctionnant par diffusion
mais certains virus peuvent être un cheval de troie, sa tâche
principale est d’ouvrir les portes aux autres virus pour y enter,
mais heureusement il est facile à supprimer.
4. Bentahar.A-Boukhalfa.H
5. 3. Historique:
Selon l’histoire grecque il y avait une guerre qui durait 10 ans dont à
la fin les grecs ont trouvé une nouvelle idée pour pouvoir traverser la
forteresse de Troie après plusieurs échecs. Cette idée consistait à
construire un grand cheval en bois creux où ils se cachaient à
l’intérieur certains guerriers grecs et le reste d’armée faisaient
semblant céder la bataille et reculer. Les troyens ont accepté le cheval
en tant qu’une offre de paix , et un espion grec a réussi de convaincre
le roi de Troie que le cheval n’est qu’un cadeau, le roi a ordonné de le
faire entrer et fêter l’enlèvement de l’embargo . à la profonde nuit les
troyens étaient soûles ce qui permettait aux infiltrés grecs de sortir du
cheval et ouvrir les portes de forteresse de la ville à l’armée.
Nous pouvons assimiler l’ordinateur à cette ville (Troie) possédant un
firewall (forteresse), un utilisateur (le roi), le programme sain
(cheval en bois), le programme malveillant et les virus qui peuvent
entrer à l’aide de ce programme sont assimilés aux guerriers de
l’armée grecque.
5. Bentahar.A-Boukhalfa.H
6. 4. La Furtivité De Cheval De Troie :
Il s’infiltre d’une manière furtive en conjonction avec un
autre programme sain, cette méthode appelée (binding).
Alors le Binding se résume en :
1. Récupération de code source de programme sain.
2. écrire le code source du programme malveillant.
3. Insérer le code malveillant au celui sain.
4. Lors de l’exécution du programme global par l’ordinateur
le code malveillant (intrus) s’exécute aussi.
6. Bentahar.A-Boukhalfa.H
7. 5. Le Mode D’installation Et D’utilisation :
L’installation de cheval de Troie sur la machine ciblée n’est
pas une tâche facile, il nécessite un expert pour qu’il puisse
ouvrir les ports, pour y accéder, et de déterminer les méthodes
d’exploitation de la machine infecté.
Sans elle, la mise à jour de cheval de Troie et le lancement des
applications malveillantes se font automatiquement aussi, le
fait que le cheval de Troie est déjà installé sur la machine
victime.
7. Bentahar.A-Boukhalfa.H
8. 6. Symptômes D'une Infection:
1. Une activité inhabituelle de Modem, carte réseau ou le disque
dur.
2. Téléchargement des fichiers et des applications d’une manière
furtive et sans autorisations d’utilisateur.
3. Réaction anormale de la souris exemple mouvement vibratoire
sur l’écran.
4. Réaction anormale du clavier.
5. Lancement des applications d’une manière impromptues.
6. Redondance des fichiers (copie /coller).
8. Bentahar.A-Boukhalfa.H
9. 7. Principe De Cheval De Troie:
Ceci se déroule en deux étapes principales :
1. Infecter la machine par le troyen.
2. Achever la machine par les ports ouverts.
Le malfaiteur doit connaitre certaines informations et données
pour pouvoir y accéder telle que l’adresse IP dont il se procède
selon deux cas dépendant de type d’adresse :
1. Le cas d’une adresse IP statique (là le malfaiteur peut
facilement la récupérer).
2. Le cas d’une adresse IP dynamique, là le malfaiteur analyse
plusieurs machines possibles jusqu’à localiser les machines
infectées par le troyen.
9. Bentahar.A-Boukhalfa.H
10. . Bentahar.A-Boukhalfa.H 10
Le véhicule qui va
servir le cheval de Troie
La malveillance à
déployer
Le outil qui lâchera la
malveillance (dropper)
Assemblage indétectable a laide d’un binder
On distingue trois étapes principales pour infecter une machine :
1 ère étape :la création d’un cheval de Troie
2 éme étape : la diffusion sur le web
Téléchargement volontaire ou involontaire
L’utilisateur lance l’instalation le binder ,dropper s’exécute et sépare silencieusement
3 eme étape : l’installation sur la machine victime
Création des fichiers de
l’application dans le
système de fichiers.
Création des fichiers de
la malveillance dans le
système de fichiers.
Implémentation en mémoire et 1 ère exécution du processus
11. 8. Le Cheval De Troie et RAT ( Remote Administration Tool ):
A ce jour seul le cheval de Troie qui peut utiliser le RAT( Outil
D’administration à Distance ), cela permet d’administrer et
contrôler la machine infectée à distance, le RAT utilise des outils
légitimes et loyaux tant qu’il est autorisé d’en faire, tandis que le
cheval de Troie s’utilise pour le but d’insérer le RAT dans la
machine.
11. Bentahar.A-Boukhalfa.H
12. 9. Prémunir De Cheval De Troie :
1. Protéger la machine par un antivirus, un Firewall/ pare feu, un
système de détection d’intrusion (IDS)…
2. configurer votre pare feu pour empêcher les scans:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit -
-limit 1/s -j ACCEPT
3. Empêcher les personnes douteuses d’utiliser votre machine car il
est facile d’y installer un serveur pirate.
4. Faire attention aux fichiers attachés aux mails car ils peuvent
contenir le cheval.
5. Faire attention aux sites web piégés qui exécutent des programmes
furtifs .
6. Etre prudent avant de cliquer sur un programme.
7. Etre conscient et ne pas faire confiance.
Remarque : concernant le Windows il existe deux pares feu gratuits
d’haute performance : ZoneAlarm ,Tiny personal firewall .
12. Bentahar.A-Boukhalfa.H
13. 10. La Lutte Contre Cheval De Troie :
1. Pour supprimer le cheval nous utilisons l’anti-virus mais tout
d’abord il faut avoir une signature de cheval de Troie dans la base
des données d’anti-virus.
Généralement l’infection se fait par un fichier contenant le cheval,
donc il est nécessaire de localiser l’emplacement du ce fichier.
2. Nous utilisons des programmes spécifique pour en débarrasser
efficacement, exemple le buffer troyen.
3. Si vous arrivez pas à le supprimer par la méthode (1) il est
recommandé de redémarrer la machine en mode sans échec ou
utiliser un autre système d’exploitation déjà installé en parallèle, ou
dans une autre machine, il est aussi possible de redémarrer la
machine en mode sans échec avec prise en compte de réseau qui
permet de télécharger des fichiers et des programmes aidant à lutter
le cheval de Troie.
13. Bentahar.A-Boukhalfa.H
14. 4. Ce type de Trajan affecte généralement les points de restauration de
votre système ce qui lui permet de revenir même il aurait été supprimé,
c’est pour cela qu’il est recommandé de désactiver la restauration de
système.
5. Désinstaller les programmes Qui ne semblent pas familier. par ce que le
cheval de troie insère des applications furtives sans que vous sachiez.
6. diagnostiquer périodiquement la machine Grâce aux programmes
mentionnés ci-dessus.
7. A l’aide de certains programmes tel que Tcpview nous pouvons vérifier
tous les processus qui ont un port distant Défini dont la connexion est
établie.
nous pouvons aussi terminer le processus on cliquant sur End Process .
Remarque : Terminer le processus Ne signifie pas son suppression, Il
faudra donc bien le localiser et en débarrasser.
10. La Lutte Contre Le Cheval De Troie :
14. Bentahar.A-Boukhalfa.H
16. 11. Conclusion:
L'évolution du cheval dans les dernières années s’est déroulé
d’une façon spectaculaire par rapport à la vigilance de
l'utilisateur, qui reste un élément clé pour la lutte contre ce
phénomène, donc l'utilisateur doit être plus prudent en
suivant les procédures nécessaires que nous avons expliqué
pour maintenir la confidentialité des informations et la
sécurité de la machine.
16. Bentahar.A-Boukhalfa.H