Trojans : fabrication d'un trojan

Trojans : fabrication d'un trojan

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Trojans : fabrication d'un trojan

1er cas - Cheval de Troie par destination
Un "vrai utilitaire" est développé, gratuit (cette condition est la clé du succès). Il a une véritable activité, apparemment utile, mais souvent complètement futile comme ces dizaines de milliers d'économiseurs d'écrans (screen saver), gestionnaires de mots de passe, pseudo utilitaires de sécurité, gestionnaires de rendez-vous, lecteurs de MP3 et de DivX, navigateurs Internet exotiques, outils de recherches, thèmes de Windows, outils de téléchargement, apparences du curseur...

Cette gratuité (mais le piège existe aussi avec des produits commerciaux) doit être la première mise en garde ! Rien n'est gratuit sur le Net. En sus, vous demandez-vous pourquoi et comment une société développerait quelque chose de gratuit ? Comment est-ce qu'elle dégage de l'argent pour payer ses charges et ses salaires ? Donc le truc apparemment gratuit doit rapporter de l'argent. Pour cela, il doit être utilisé en Cheval de Troie. Plus ce programme sera bien fini, plus sa diffusion sera grande.
  • Le produit peut être développé dans le but d'y introduire et de diffuser ses propres parasites : cas de la société Gator dont tous ses produits, ewallet, precision time, date manager..., servent de trojans à ses propres parasites, offercompanion, trickler..., dans le cadre de son réseau d'espionnage Gain.

  • Le produit peut être développé dans le but d'être officiellement loué à des éditeurs de parasites ne disposant pas de bons vecteurs largement difusables pour véhiculer leurs parasites. L'éditeur de l'utilitaire passe des accords commerciaux avec des éditeurs de parasites. C'est le cas d'Audio Galaxy, I-Mesh, Babylon (le dictionnaire multilingue), Go!zilla etc. ... C'est le cas de la Société Sharman Networks qui, avec KaZaA, dispose d'un véhicule locatif qu'elle loue à une quinzaine d'éditeurs de parasites. KaZaA, le meilleur trojan actuel, a fait l'objet d'une usurpation rocambolesque pour tomber dans les griffes de Sharman Networks, tant son potentiel en revenus locatifs est énorme. Lire KaZaA.

  • Le produit peut viser une clientelle captive comme, par exemple, les joueurs en ligne qui doivent installer un outil propriétaire de l'éditeur de jeux en ligne : une société de jeux en ligne cachera, par exemple, un spyware ou un downloader dans le module nécessaire pour jouer en ligne.

Le parasite caché dans le cheval de Troie sera de l'une des classes quelconques de parasites : par exemple, un virus, un adware, un keylogger, un piégeur de mot de passe... Ces utilitaires piégés finissent par être portés à votre connaissance par diverses voies à priori de confiance :
  • distribution gratuite dans les Cd-Rom offerts avec certains revues informatiques qui ne vérifient pas l'inocuité de ce qu'elles mettent sur leurs cd-rom. La vente de revues informatiques, en qui est placée un bon niveau de confiance, est boostée par la présence de Cd-Rom bourrés de ces logiciels gratuits ou en version d'essai.

  • revues qui parlent d'utilitaires et donnent les adresses de téléchargement sans avoir téléchargé et vérifié l'inocuité de ces utilitaires

  • sites spécialisés dans le téléchargement et dont la notoriété se fait sur la quantité de logiciels mis en téléchargement, pas la qualité. Les sites de téléchargement sont, pour l'internaute débutant, des places de confiance et, s'ils ne proposaient pas ces milliers de logiciels, ils n'auraient pas grand chose à proposer. Je veux citer ici un site de téléchargements de confiance pour des logiciels gratuits : http://www.gratilog.net/ de Sylvie Pierrard.

  • etc. ...

2ème cas - Cheval de Troie par exploitation
Un parasite est attaché par une tierce partie à un utilitaire sain, malgrès lui et sans que son éditeur en ait connaissance. C'est un squatte ! C'est le cas de certains sites spécialisés dans le téléchargement de logiciels (sites de download) ainsi que de certains cd-rom gratuits distribués dans la presse écrite. Lorsque vous allez sur un site de téléchargement de programmes, soyez extrèmement attentif, par exemple, à la taille du programme téléchargé : il y a trois cas de figure :

  1. La taille du programme, une fois le téléchargement terminé, correspond exactement à la taille annoncée par le créateur du logiciel - cette taille doit être vérifiée sur le site du créateur (de l'auteur) lui-même, pas sur le site de téléchargement. On peut pensser que le download est sain mais il est toujours plus judicieux de télécharger un utilitaire depuis le site de son éditeur et jamais depuis un site de téléchargement.

  2. La taille du programme, une fois le téléchargement terminé, est suppérieure à ce qu'annonce l'auteur du programme. Le site de téléchargement à accolé un ou des parasites au programme. Effacez immédiatement le download, sans l'ouvrir, sans le décompresser, et chercher ce même programme sur un autre site de téléchargement ou, mieux, directement sur le site de son éditeur.

    Exemple : le 09.12.2003 j'ai observé qu'un site de téléchargements propose l'utilitaire SpyBlocker version 7.2 (la version actuelle) en un format de compression .rar. Ce format de compression est inhabituel et n'est pas utilisé par SpyBlocker ce qui me met la puce à l'oreille. J'observe alors que la taille annoncée est de 4.06 MO alors que la compression .rar donne des résultats légèrement plus compacts que la compression .zip utilisée par SpyBlocker. Le produit d'origine pèse, au même moment, sur le site de l'éditeur, un peu plus de 3 MO. Je décide donc de télécharger les 2 pour les comparer. Le produit d'origine pèse exactement 3 423 760 octets tandis que le même produit sur le site de téléchargement pèse 4 291 745 octets - donc le site de téléchargement accole à SpyBlocker un binder et un backdoor ou un RAT ou un adware.

  3. La taille du programme, une fois le téléchargement terminé, est microscopique et n'a rien à voir avec la taille annoncée par l'auteur. Il s'agit d'un downloader : le site de téléchargement implante un programme sur votre ordinateur et, une fois ce programme lancé, c'est lui qui va prendre en charge le téléchargement de ce que vous cherchiez. Ce comportement est inadmissible, ultra dangereux, inqualifiable... La tâche installée peut avoir tous les comportements malsains imaginables - espionnage complet de l'ordinateur (programmes installés, pirates ou légaux, mp3 et divx copiés et rapportés à des sociétés d'avocats ou d'experts en criminalité digitale, tous vos mots de passe, base de registre, toutes vos traces d'usage de votre ordinateur et de votre navigation, inventaire de tous les composants matériel et logiciel etc. ...), hijack de votre ordinateur (associations des extensions de fichiers avec d'autres utilitaires que ceux choisi par vous, comportement du navigateur et de l'explorateur, lancement de tâches fantômes...). Effacez immédiatement le downloader, (surtout sans l'ouvrir sinon c'est déjà trop tard - malheureusement ce sont souvent des contrôles ActiveX à démarrage automatique et immédiat), et chercher votre programme sur un autre site de téléchargement.

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
15.08.06 Up V4
 
   
Rédigé en écoutant :
Music