Anti Backdoor, Backdoors

Comment lutter et se défendre contre les Backdoors

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Backdoors
Liste de backdoors

Encyclopédie
abc de la sécurité

Contre-mesure
Les 3 contre-mesures de base sont :
  1. Un antivirus
    Les antivirus

    Les antivirus en ligne

  2. Un anti-spywares (anti-trojans)
    Les anti-trojans
    Les anti-trojans en ligne

  3. Un pare-feu (firewall)
    Les pare-feux

Veuillez installer un kit complet
Les kits de sécurité

Safe Attitude
Safe-Computer EXploitation (Safe-CEX)

Au delà de la décontamination,
veuillez rechercher :


Mots clés :
backdoor
 
 
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Changez tous vos mots de passe

Pour aller plus loin
En plus de ce qui précède, naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte

Pour comprendre
Qu'est-ce qu'un BackDoor ?

  1. Les repérer une fois qu'ils sont entrés
    Les Backdoors ont besoin d'ouvrir une ou des portes pour se mettre à l'écoute. C'est par cette activité qu'on peut, quelquefois, les repérer, surtout si les ports ouverts sont inhabituels ou n'ont aucune raison d'être ouverts à un instant T. Voir Anti-trojan pour éradiquer un trojan installé et voir aussi Anti-pirate pour empêcher un nouveau Backdoor de s'implanter ou, en tout cas, de communiquer.

    Certains Backdoors camouflent cette activité en utilisant des ports dont l'usage est fréquent ou n'éveille pas de soupçons a priori (les ports réservés aux services ftp, irc, etc. ...). Un utilisateur attentif (mais averti aussi ce qui n'est pas le cas de l'immense majorité des internautes d'aujourd'hui dont la communauté s'éloigne de plus en plus de la communauté initiale essentiellement faites d'informaticiens) devrait se demander pourquoi tel service est actuellement actif alors qu'il ne devrait pas l'être.

    Pour voir quels sont les ports en écoute maintenant,
    • sous Windows 98 allez dans démarrer > programmes > commandes MS-Dos et tapez "netstat -a" sans les guillemets (même commande sous Linux).

    • sous Windows XP allez à démarrer > Tous les programmes > Accessoires > Invite de commandes et tapez "netstat -a" sans les guillemets
    Avec certains outils analysant les comportements des tâches on peut également détecter un trafic inhabituel sur le réseau.

  2. Les empêcher d'être actifs
    Une fois entrés il faut les empêcher d'ouvrir un port et de se mettre à l'écoute derrière ce port. Windows laissant tous les 65.536 ports sans surveillance, installez un pare-feu (Firewall) qui ferme toutes les portes - OutPost est le meilleur d'entre eux - (il en existe une version gratuite). Une fois installé, il ne connaît encore rien de vous et il ferme toutes les portes pour tous les logiciels installés et tous les protocoles de communication sur votre PC. Si un logiciel essai d'ouvrir une porte vers l'extérieur sa réaction est immédiate : il vous affiche une petite fenêtre en vous disant que tel programme essai d'accéder à l'extérieur et vous demande ce que vous en pensez (il vous propose même de créer les règles de contrôle de cette application automatiquement, à votre place). Il ne vous poseras plus la question par la suite. Vous autorisez les programmes connus mais vous bloquez totalement un programme qui ne vous dit rien, que vous n'avez pas installé ou que vous avez installé mais qui n'a aucune raison de se connecter sur le Net. Vous pourez revenir sur vos réponses par la suite, les manipuler très simplement etc. ...

    Le parefeu (Firewall) de Windows XP ne sert strictement à rien. C'est un pare-feu entrant uniquement - il ne comporte pas de gestion des communications sortantes ! Ne pas l'utiliser.

    Un parasite va essayer de faire croire au pare-feu (FireWall) qu'il a le droit d'écouter et de maintenir une porte ouverte. Le bon Pare-feu ne va, bien entendu, pas autoriser les applications à modifier les règles que vous avez établies (tous les pare-feu s'auto-protègent).

    Un parasite va tenter de bénéficier des droits d'une autre application qui, elle, est autorisée à communiquer, en se faisant lancer par elle ou en s'injectant dans cette autre application. Ici, cela devient beaucoup plus subtil et seuls les bons pare-feu, comme OutPost et quelques autres, sont efficaces.

  3. Les éradiquer

    Il y a 4 méthodes:
    • Eradiquer les backdoors 1 par 1 en cherchant les noms des fichiers sous lesquels ils s'implantent sur nos disques durs et en effaçant ces fichiers, puis en entrant à la main dans la base de registre, les listes de démarrage etc. ... Inutile d'y penser et ce n'est absolument pas le but de ce site.

    • Fermer les ports de communications en utilisant un parefeu (FireWall). Le backdoor sera obligé de demander l'autorisation d'ouvrir un port. A vous de verifier qu'il n'usurpe pas le nom d'un programme licite, qu'il demande l'ouverture d'un port connu, que son emplacement sur votre disque correspond à quelque chose de logique, qu'il ne demande pas des droits de type "serveur" etc. ... Les backdoors étant un des outils privilégiés des pirates, les FireWall sont vus à anti-pirates.

    • Utiliser un mécanisme de blocage d'adresses IPs : en théorie cela fonctionnerait si un pirate avait une IP fixe non masquée et que cette IP ait été identifiée comme celle d'un pirate. Mais un pirate qui s'exposerait ainsi ne serait pas un bon pirate ni bien dangereux et, en sus, nous trouverions son adresse géographique (rue, ville...) et un autre "mécanisme" consisterait à aller lui rendre une petite "visite de courtoisie".

    • Installez et exécutez Le bon Anti-trojans
      Utilisez un ou des anti-trojans génériques. La détection des trojans utilise essentiellement la technique du scanner qui compare le contenu de la base de registre, le contenu des fichiers, les noms des fichiers, les process en mémoire et les ports ouverts à une base de données de règles et signatures. La technique du scanner est utilisée par 2 grandes classes d'outils : les anti-trojans purs et les antivirus. Les antivirus, spécialistes historiques des scanners et des bases de signatures, montent actuellement en puissance dans la détection des trojans par leurs signatures (ils ajoutent des signatures de trojans aux signatures de virus) toutefois, les détections de parasites nécessitent des compétences autres qui ne sont pas dans la culture des antivirus et les anti-trojans sont indispensables, ceux-ci représentant la très grande majorité des attaques actuelles (les virus étant devenus marginaux, le but du jeu des attaquants étant de prendre le contrôle de votre machine pour s'en servir ou de voler discrètement vos données).

Les produits et services anti-backdoors


PestPatrol Le meilleur outil anti-parasites en général avec module en temps réel et scanner en temps différé

 Tauscan Excellent anti-backdoor et anti-trojans - certains tests le place devant PestPatrol

 TDS - Trojan Defence Suite - Excellent anti-trojans générique contre toutes les formes de trojans, lui aussi classé 1er par certains tests.

 Trojan Remover Un très bon produit contre les backdoors et les trojans

 The Cleaner La dernière version le place dans le peleloton de tête des anti-trojans.


HotFix - Appliquer tous les Hotfix, Correctifs contre les failles de sécurité, Patchs, Mises à jour, Bulletins de sécurité et Service packs - Utilisez Mbsa pour faire le point.

 Trojan Hunter Très bon contre les RATs et les Keyloggers

 TrojanScan On-Line Un service gratuit en ligne de GFI bien pratique pour beaucoup


SpyBot Search and Destroy Scanner en temps différé dépolluant uniquement la base de registre et quelques emplacements systèmes. Ne dépollue pas les disques. Base de signatures assez réduite.


A² (A Squared) Un produit très ambitieux par le créateur de ANTS et de Anti-trojan. Avec une telle parentée j'ai un a priori très favorable mais le produit ne m'a pas encore convaincu.


Ad-aware Anti-adware trouvant quelques backdoors. Interface confuse.


PestScan Un service gratuit en ligne de PestPatrol très limité - correspond à un tout petit sous-ensemble de leur excellent produit PestPatrol - en réalité c'est juste le module de scan mémoire et registre sur une base de signatures réduite, offert gratuitement en ligne à titre de démonstration de leur tout nouveau module d'analyse temps réel dont la vitesse est faramineuse.

 Antiy Ghostbusters Professional Edition Lire mon analyse (j'ai reçu une nouvelle version pas encore testée)


NetStat - Tous les trojans ont besoin de communiquer. S'ils ne le font pas, ils sont inutiles. Ils établissent donc une communication qui peut être tracée et utilisée comme un point de faiblesse de la plupart d'entre eux.

La commande disponible dans Windows, Netstat, liste toutes les connexions ouvertes de et vers votre PC. Pour l'utiliser, ouvrir une fenêtre DOS et entrer la commande "netstat" - ceci énumérera toutes les connexions ouvertes de et vers votre PC, avec l'adresse IP de la machine à l'autre bout. Si vous voyez une connexion que vous ne reconnaissez pas, vous devez l'étudier de plus près et dépister le processus qui l'emploie. Pour ceci vous avez besoin d'un autre outil dans votre panoplie, par exemple TCPView de Sysinternals.

 TCPView - TCPView est un utilitaire gratuit de Sysinternals qui énumère non seulement les adresses d'IP communiquant avec votre ordinateur, mais vous dit quel programme emploie cette connexion. Armé de cette information vous pouvez localiser le programme qui envoie des données hors de votre machine et lui régler son compte. Je recommande de renommer le fichier hostile et de redémarrer. Ainsi, si vous faites une erreur, vous pouvez aisément restaurer la manipulation. Si tout va bien, vous pouvez alors détruire le parasite.

Abandonné Ants - A New Trojan Scanner Produit abandonné (qui fut un bon produit) remplacé par a-squared (a²).

Abandonné Anti-Trojan La dernière version de ce produit est Anti-Trojan 5.5. Ce produit est abandonné au profit de a-squared (a²). Anti-Trojan 5.5 était un scanner puissant de trojans. Il comprenait 3 méthodes de scan : scan des ports, scan du registre et scan du disque. Etaient incluses plus de 7000 signatures de trojans.

 Iparmor
Ne pas utiliser.
 BackWork - DANGER - Ce pseudo anti-trojan est un backdoor !

 BPS Spyware and Adware Remover (BulettProof) - Ne pas utiliser ! Danger !

 SpywareNuker de TrekBlue - Ne pas utiliser ! Danger !

Pas testé Anti-Trojan Shield http://www.atshield.com/

Pas testé AVTrojan

Pas testé BOClean: http://www.nsclean.com/boclean.html BOClean protège votre ordinateur contre les intrusions favorisées par les backdoor, les arrête et les enlève après les avoir fermés, à la différence d'un logiciel d'antivirus.

Pas testé BoDetect http://www.cbsoftsolutions.com/

Pas testé CyberSight (pro & light): http://www.cryptic.co.uk/

Pas testé Digital Patrol http://www.fcoder.com/

Pas testé Hacker Eliminator http://lockdowncorp.com/

Pas testé Jammer: http://www.agnitum.com/

Pas testé L2 Anti Trojan Horse http://www.mystictech.net

Pas testé X-Cleaner

Pas testé anti-keylogger de Raytown-Corp (59,95 US$) pour Windows 95 / 98 / 2000 / Me / NT / XP

Pas testé FileMon ( File Monitor ) intercepte toutes les requêtes faites à un système de gestion de fichiers dans un système d'exploitation. Donc le traçage à lieu quelle que soit l'application. Il est ainsi possible de déceler un keylogger en plein travail etc. ...

 LockDown/SwatIt (millenium & pro): http://lockdowncorp.com/ Attention si vous allez sur ce site - mes outils le bloque.
Des tests et commentaires (datant de 1999 et 2000) et un procès perdu ne me font rien présager de bon. Pas de temps à perdre. Il y a assez de bons produits majeurs à tester pour ne pas se perdre dans les méandres de ceux qui veulent embarquer les internautes sur des voies de garrage. Je vérouille à -5.
http://www.nwinternet.com/~pchelp/lockdown/tests/254test.txt
http://www.pc-help.org/www.nwinternet.com/pchelp/index.html
http://www.pc-help.org/
http://www.pc-help.org/www.nwinternet.com/pchelp/lockdown/index.html
http://archives.neohapsis.com/archives/ntbugtraq/2000-q2/0078.html
Merci à Jean-Claude sur nos forums.

Pas testé NetSpyHunter: http://www.netspyhunter.com/

Pas testé Nitrous Anti Spy: http://www.nitrousonline.com

Pas testé NoBackDoors: http://home.swipnet.se/technotel/index.us.html

Pas testé PCDetector/Liberator

Pas testé PC DoorGuard de Trojan Clinic (formellement TrojanClinic) : La version de démonstration, dite version gratuite - scanner gratuit etc. ..., ne fait que de la détection sans éradication. Son éditeur le donne pour un anti-trojans et un antivirus mais avec une base de 8.500 signatures (juin 2004) il est assez loin de la somme des signatures d'un véritable anti-trojans (120.000 signatures pour PestPatrol) + celles d'un véritable antivirus (80.000 à 90.000 signatures dans tous les antivirus).

Pas testé PC Security Guard

Pas testé ProPort http://www.tdupage.com/

Pas testé Protector2k: http://www.protector2k.ch/

Pas testé Purge-IT http://www.purge-it.com/ Limité à Win 95/98. A oublier.

Pas testé Registry Run Guard

Pas testé RegRun3: http://www.greatis.com/regrun3detail.htm
Existe en 3 version : standard, Pro et Gold. C'est un très bon utilitaire de gestion / manipulation de la base de registre qui dispose d'un "analyseur de trojan" dans sa version Gold. Il s'agit d'un sniffer de comportement qui peut signaler un comportement suspicieux. Cet outil n'est pas à mettre entre toutes les mains.


Pas testé SecureTroy http://www.downlinx.com/proghtml/168/16887.htm

Pas testé Spy and Trojan Stopper http://www.members.shaw.ca/FlyYaSoftware/faqs.htm

Pas testé Sub Net http://www.sub-seven.com/

Pas testé SurfinGuard: http://www.finjan.com/products/surfinguard.cfm

Pas testé Swat It: 2 versions, payantes toutes les 2, SwatIt et SwatIt Pro. Une forte promotion sur un usage gratuit des produits.

Pas testé Tiny Trojan Trap http://www.tinysoftware.com/

Pas testé Trojan Check: http://www.trojancheck.de/download.html

Pas testé Trojan First Aid Kit Un bon anti-trojan, surtout à ce prix là (gratuit)

Pas testé Trojan Guarder http://www.your-soft.com/ "Détecte et détruit tous les trojans et les vers, protège votre ordinateur contre des intrus et des programmes illégaux". Cette déclaration est la seule que l'on trouvera à propos de cet utilitaire sur le site de son éditeur. Aucune information sur ce qu'il fait réellement, comment il le fait, sa dernière mise à jour etc. ... Et, en sus, on trouve 3 autres anti-trojan sur le même site, chacun ayant le même droit à 1 ligne et demi pour être décrit ! Une version dite "Golden version", coûtant presque le double, prétant travailler sans mise à jour de sa base de sgnatures.

Pas testé antivirus&Trojan http://www.your-soft.com/ 1 ligne et demi pour être décrit par son éditeur ! On laisse tomber.

Pas testé antivirus&Spyware http://www.your-soft.com/ 1 ligne et demi pour être décrit par son éditeur ! On laisse tomber.

Pas testé TrojanShield: http://www.securetroy.com/

Pas testé Trojan Security http://www.hbci.com/~nsiok/

Pas testé Trojan Uproot http://members.tripodasia.com.sg

Pas testé HackFix - SubSeven Removals - informations détaillées pour enlever toutes les versions du trojan SubSeven.

Pas testé Who's Watching Me (WWM) de Trapware - Il s'agit d'un utilitaire dédié à la détection des parasitess de type espionnage (keylogger, spywares, snooper...). Le produit n'a pas été mis à jour depuis fin 2002, ni en binaire ni en base de signature.

Pas testé Trojan Xplosion Détecte et nettoie les trojans s'attaquant aux mots de passe (classe des PassWord Stealer). Impossible de déterminer qui est l'auteur de cet utilitaire dont on ne trouve trace que sur des sites marchands. Aucun site de sécurité n'en parle ! On laisse tomber.

 Backwork Attention - Danger. C'est un logiciel de Framework Executive qui prétend être un multi anti-trojan.
C'est un trojan. Il est correctement détecté par PestPatrol et par SpyBot S&D (y compris dans une archive zippée).
Autres noms : BackOrifice.rmv [McAfee]. Les fichiers installés sont : backwork.exe · backwork.txt · contents.txt · backwork documentation.doc. Existe en plusieurs versions.



Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music