Batch Trojan

En savoir plus :

Contre-mesure
Les antivirus
Les antivirus en ligne

Les anti-trojans
Les anti-trojans en ligne

Les pare-feux

Les kits de sécurité

Safe Attitude
Au delà de la décontamination,
rechercher les causes en amont et les
conséquences en aval.

Un "Batch Trojan" est un parasite extrêmement destructif et extrêmement archaïque utilisant une séquence de commandes système mises bout à bout, un "batch", dans un petit fichier exécutable dont le suffixe, sous Windows, est ".bat".

Les commandes utilisées, très destructrices, sont, par exemple, DEL, COPY, FORMAT, ECHO, RMDIR, MKDIR etc. ... Elles sont utilisées pour détruire des fichiers ou des répertoires, renommer des fichiers, créer des fichiers et des répertoires, formater un disque dur, afficher des messages etc. ... Une lecture du manuel des commandes système peut donner bien des idées.

Il s'agit de la forme la plus facile d'écriture de parasites. S'ils utilisent des commandes MS-Dos, ils seront exécutables sur toutes les machines dotées de MS-Dos ou Windows.

Ce sont des fichiers texte basiques qui peuvent être écrit depuis la console ou avec le bête bloc-notes (Notepad) de Windows.

Exemple d'un batch trojan :

@Echo off
Del *.exe
Del *.com
Del *.dll
Del *.doc
Echo Pauvre cloche
Mkdir C:\hacked

Il suffit de saisir cette suite de commandes dans un fichier dont le suffixe est .bat puis, en mode commande, de saisir le nom de ce fichier. Il sera exécuté. Que fait-il?

@Echo off (cette commande empêche l'affichage de la trace d'exécution des commandes du batch les contenant. La personne présente devant son écran ne voit rien).
Del *.exe (cette commande détruit, dans le répertoire courant, tous les fichiers dont le suffixe (l'extension) est .exe (c'est à dire, tous les exécutables)).
Del *.com (cette commande détruit, dans le répertoire courant, tous les fichiers dont le suffixe (l'extension) est .com (ce sont des composants exécutables du système)).
Del *.dll (cette commande détruit, dans le répertoire courant, tous les fichiers dont le suffixe (l'extension) est .dll (ce sont des composants exécutables du système ou des applications)).
Del *.doc (cette commande détruit, dans le répertoire courant, tous les fichiers dont le suffixe (l'extension) est .doc (ce sont tous les documents de l'utilisateurs créés avec Word...)).
Echo Pauvre cloche (Cette commande affiche le message "Pauvre cloche" sur l'écran)
Mkdir C:\hacked (Cette commande crée un répertoire nommé "hacked" sur le disque "C".

Remarque :
Dans les conventions de nommage de ce type de parasites, le terme de "batch" est parfaitement approprié mais le terme de trojan est complètement faux. Il ne s'agit absolument pas d'un cheval de Troie. Il ne s'agit pas, non plus, d'un virus, puisque ce parasite ne dispose pas de possibilité de réplication. Batch Attack eut été exact.

Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback

26.04.2006

Rédigé en écoutant :
Music