Anti Dialer
Comment lutter et se défendre contre les dialers
|
||||
| |
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Changez tous vos mots de passe
Pour aller plus loin
En plus de ce qui précède, naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte
Pour comprendre
Qu'est-ce qu'un Dialer ?
Analyse d'un site piégé avec un Dialer : Protégez-votre-PC.com
A moins que vous n'en ayez installé un volontairement (pour accéder à des sites pornographiques, par exemple), aucun dialer ne doit traîner dans une machine
Presque tous les dialers sont installés silencieusement et vous n'avez que très peu de moyens de savoir qu'ils sont là. La plupart du temps, on s'en apperçoit avec l'envolée d'une facture téléphonique. Commencez tout de même par regarder dans votre dossier de communication. Il ne devrait y avoir que votre seule connexion, celle à votre FAI.
Les produits et services anti-dialers
Attention à plusieurs freeware spécialisés anti-dialer, comme Yarner, qui sont, en fait, des Crapuleries, Trojans ou Vers (une forme de virus). Toujours regarder dans la Crapthèque si un logiciel convoité n'est pas une arnaque.
Comme on l'a vu à Dialers, ce sont certaines formes de virus qui peuvent implanter des dialers et donc :
Autres outils anti-dialers :
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Changez tous vos mots de passe
Pour aller plus loin
En plus de ce qui précède, naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte
Pour comprendre
Qu'est-ce qu'un Dialer ?
Analyse d'un site piégé avec un Dialer : Protégez-votre-PC.com
A moins que vous n'en ayez installé un volontairement (pour accéder à des sites pornographiques, par exemple), aucun dialer ne doit traîner dans une machine
- par principe
- parce qu'ils sont ruineux
- parce qu'on ne le leur a pas demandé et que nous sommes et restons maîtres de nos machines
- parce qu'on aime savoir à qui l'on parle et à qui nous donnons de l'argent (si tant est que nous en ayons à "donner").
Presque tous les dialers sont installés silencieusement et vous n'avez que très peu de moyens de savoir qu'ils sont là. La plupart du temps, on s'en apperçoit avec l'envolée d'une facture téléphonique. Commencez tout de même par regarder dans votre dossier de communication. Il ne devrait y avoir que votre seule connexion, celle à votre FAI.
- Sous Windows 98
Cliquez successivement sur : Démarrer > Programmes > Accessoires > Communications > Accès réseau à distance. Vous ne devriez avoir, dans cette fenêtre, que votre connexion et l'outil Windows pour créer une nouvelle connexion. Si vous en trouvez d'autres, détruisez-les sans scrupule. En faisant un clic droit dessus puis en choisissant "propriétés", vous pouvez voir quel est le numéro de téléphone appelé et, généralement, vous verrez qu'il commence par un préfixe international.
- Sous Windows XP
Démarrer > Tous les programmes > Accessoires > Communications > Connexions réseau
Agir dans 3 directions différentes simultanément
La présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de carding (anarchie, carding, cracking, etc. ...)). La réaction ne doit pas se limiter au simple effacement.
Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le virus PEBCAK. Il faut :
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
La présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de carding (anarchie, carding, cracking, etc. ...)). La réaction ne doit pas se limiter au simple effacement.
Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le virus PEBCAK. Il faut :
- Corriger les effets
La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination et supprimant la contamination elle-même mais cela ne suffit pas. Il faut encore :
- Rechercher les causes en amont
Chercher, en amont, les causes de sa présence
- Prévoir les conséquences en aval
Chercher, en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise et nous même
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
- Eradiquer le parasite :
Bien entendu, il convient d'éliminer le parasite.
Il y a deux possibilités :
- Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
- Antivirus
Avast
ou
AVG Antivirus Free
etc. ... Pour plus de choix, voir le tableau des Antivirus
- Anti-spywares (anti-trojans)
AVG Anti_Spyware
Etc. ... Pour plus de choix, voir le tableau des Anti-trojans / Anti-Spywares
- Antivirus
- Exécuter des analyses en ligne de la machine avec deux ou trois outils bien solides.
- Pour la meilleure détection (mais sans correction), utiliser
Kaspersky KAV Antivirus Full en ligne
- Pour une détection avec éradication :
Trend Micro Housecall
ou
Panda Active Scan
ou
Bitdefender en ligne
Nota : la première proposition (Trend Housecall) exploite JAVA et n'est donc pas dépendante de la technologie ActiveX sous Internet Explorer - elle peut être utilisée sous Firefox etc. ...
- Pour la meilleure détection (mais sans correction), utiliser
- Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
- Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.
- Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à Microsoft HotFix, Microsoft MBSA et Microsoft Service Packs. On en fera de même pour les autres éditeurs utilisés.
- Ce peut surtout être une introduction locale du parasite car la faille est, dans la majorité des cas, beaucoup plus proche qu'on ne le pense : on aura donc également un oeil suspicieux sur toutes les personnes pouvant accéder physiquement à cette machine (employé, ami, service technique interne, maintenance technique externe, personnel d'entretien, etc. ...).
- La mise en place d'un keylogger peut être envisagée pour dépister l'attaquant et peut être recherchée comme cause de l'attaque, ces outils ayant 2 usages diamétralement opposés. On regardera également si la surveillance des contrôles ActiveX n'est pas trop laxiste.
- Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à Microsoft HotFix, Microsoft MBSA et Microsoft Service Packs. On en fera de même pour les autres éditeurs utilisés.
- Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple, si le parasite vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité, conséquence de la mise en oeuvre probable du parasite contre la machine infectée et le réseau auquel elle appartient. Il convient donc de tous les changer.
- Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle de l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement.
- Rechercher la présence d'autres parasites.
- Si le parasite concerne le crack de licences internes de logiciels, on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.
- Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même, depuis le mot de passe écrit sur un post-it collé sur l'écran jusqu'au personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).
- En entreprise, on retirera tous les outils matériels susceptibles de permettre une copie. Ils seront disposés en service d'accès contrôlé, sur des machines disposées dans une pièce distincte accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs, lecteurs de disquettes, de bandes, graveurs et même les memory sticks (ports usb...), clés usb etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping).
- Le mot de passe du BIOS sera extrêmement durci sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès aux disquettes et aux lecteurs de CD-ROM, DVD etc. ... seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.
- En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP et les clients et serveurs P2P, les accès aux machines et répertoires du réseau...
- L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour la cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.
Les produits et services anti-dialers
Attention à plusieurs freeware spécialisés anti-dialer, comme Yarner, qui sont, en fait, des Crapuleries, Trojans ou Vers (une forme de virus). Toujours regarder dans la Crapthèque si un logiciel convoité n'est pas une arnaque.
Comme on l'a vu à Dialers, ce sont certaines formes de virus qui peuvent implanter des dialers et donc :
- les antivirus agissent, du moins partiellement, comme des anti-dialers
- les Anti-trojans sont plus portés contre les dialers que les antivirus et ils s'attaquent aussi à certains vecteurs de dialers.
Autres outils anti-dialers :
 |
  |
Les alternatives à Internet Explorer. La première méthode préventive contre les dialers est de changer de navigateur car c'est à causez d'Internet Explorer, le navigateur scélérat et ses technologies propriétaires scandaleuses et hors de tout standard du Net, que des dialers peuvent s'installer à notre insu !. Naviguez avec Firefox, plus confortable, plus rapide et plus sécurisé que Internet Explorer dont nous subissons les innombrables failles par le simple fait du Prince, Microsoft, qui nous l'impose, comme un diktat, dans Windows ! |
|
|
Les anti-ActiveX. La seconde méthode préventive contre les dialers consistera à bloquer une bonne part des installateurs de dialers avec les anti-ActiveX préventifs, Internet Explorer ou pas. Parmi tous les anti-ActiveX on choisira donc ceux dont le comportement est préventif : installez SpywareStopper et SpywareBlaster. |
|
|
Appliquer les anti-failles de sécurité de Windows - La troisième méthode préventive contre les dialers consistera à boucher toutes les failles de sécurité contre lesquelles un correctif à été apporté, Internet Explorer ou pas. Appliquer tous les Hotfix, Correctifs contre les failles de sécurité, Patchs, Mises à jour, Bulletins de sécurité et Service packs - Utilisez Mbsa pour faire le point. |
|
|
Les anti-scripts. La quatrième méthode préventive consistera à analyser le flux entrant en temps réel afin de supprimer les scripts hostiles. On regardera donc, parmis les anti-scripts, ceux qui agissent en proxy local. Installez le meilleur et le plus transparent à l'usage : SpyBlocker. |
|
|
PestPatrol - La méthode curative contre les dialers consiste en l'utilisation d'un anti-trojans. PestPatrol est le meilleur outil dans ce domaine, agissant de plusieurs manières : PPMemCheck, en temps réel pur mais pas en proxy local, va bloquer les tâches hostiles cherchant à monter en mémoire et le scanner en temps différé va agir de manière curative et éliminer les dialers déjà installé ainsi que les pourvoyeurs de dialeurs comme les droppers, les binders, les trojans etc. ... |
 |
|
YAW - Yet Another Warner Un véritable anti-dialers. Il ne fait que ça, mais en Allemand et surtout contre les dialers Allemands. Il existe plusieurs anti-dialer allemand (à croire qu'ils ont un gros problème là-bas) dont YAW qui semble être de très loin de meilleur. Ne connaissant pas un mot de cette langue, je m'abstiendrais d'en parler. Allez voir à http://www.trojaner-info.de/dialer/dialer.shtml. Notons qu'ils ont une FAQ assez bien faite, concernant les dialers et les opérateurs allemands mais aussi des mises en garde et informations d'ordre général, traduite en français. C'est un document à télécharger et dézipper qui se consulte avec votre navigateur Internet préféré. C'est à http://www.trojaner-info.de/trojanerfaq.shtml. |
|
|
AVG anti-Spyware (ex Ewido) - Comporte un bon module anti-dialers. |
|
|
A2 - Comporte un bon module anti-dialers. |
|
|
SpyBot Search and Destroy S'attaque à un petit nombre de dialers mais son auteur est très réactif |
 |
|
Ad-aware S'attaque à quelques dialers |
|
|
Les anti-trojans. D'une manière générale on pourra utiliser un ou des anti-trojans génériques contre les dialers, quelques uns y sont très bons ou exeptionnels, comme PestPatrol céjà cité, TDS-3, A²... mais, pour la majorité des anti-trojans, ce n'est pas leur cible prioritaire. |
 |
|
Les anti-spywares. Eux-aussi s'occupent un peu (très peu) des dialers. Mis à part ceux déjà cités (PestPatrol, SpyBot et Adaware) on pourra, avec plus ou moins de bonheur, essayer un anti-spywares. |
|
|
Les antivirus. Ils ne sont pas très porté sur les dialers. Certains virus peuvent agir en trojan ou dropper pour des dialers. |
| Historique des révisions de ce document : |
|
29.10.2006 Up V4
|
Rédigé en écoutant :
Music
Music