This page has been robot translated, sorry for typos if any. Original content here.

Nous attrapons l'espion ou "Où l'ordinateur envoie du courrier ..."

Maintenant, il est difficile de trouver une personne qui n’ait pas entendu le mot «cheval de Troie». En fait, de nombreux autres programmes envoient silencieusement des informations à son sujet de la part de l’utilisateur. Ensuite, je vous expliquerai comment et à qui (par exemple, vos mots de passe) envoyer tranquillement des programmes comme "Cheval de Troie".

Le principe de fonctionnement de ces programmes est qu'un attaquant accède aux fichiers et aux dossiers du disque dur, peut lancer diverses applications sur votre ordinateur et "prendre des photos" de l'écran. Un cheval de Troie se compose de deux programmes: un serveur et un client, qui s’exécute sur la machine de la victime et exécute les commandes du client. Et l'attaquant a le client avec l'aide duquel il gère le serveur. Lorsqu'il entre dans l'ordinateur, le programme est enregistré en mode d'exécution automatique et démarre de manière invisible avec le système d'exploitation. Un cheval de Troie peut être téléchargé à partir d’Internet avec un programme inoffensif i.e. Les chevaux de Troie sont utilisés très simplement, vous devez faire en sorte que la victime lance le serveur du programme (si vous êtes sur le réseau local, vous pouvez y aller et le lancer vous-même. :) ) puis dans la partie client, entrez l'adresse IP de la victime, cliquez sur Connect .....

Protection: Utilisez de nouveaux antivirus AVP, DrWeb et n’exécutez pas de programmes inconnus (en particulier ceux livrés avec le courrier), ainsi que de programmes comportant une icône dos (carré bleu). Le pare-feu est une autre méthode de sécurité efficace.

Comment les chevaux de Troie envoient vos mots de passe

Comme d’autres programmes de messagerie, les chevaux de Troie utilisent le protocole SMTP (Simple Mail Transfer Protocol), c’est-à-dire Pour envoyer un courrier électronique, le programme se connecte au serveur SMTP et l’envoie, le plus intéressant est que tout ce processus puisse être suivi à l’aide de Sniffer. (Un renifleur est un programme qui "capte" les informations nécessaires transmises à la fois sur le réseau et sur une machine distincte si elle y est installée, c’est-à-dire que vous pouvez surveiller les données que votre ordinateur envoie et reçoit ) Je considérerai le renifleur Network Spy comme un exemple, en général Tout renifleur Windows fera l'affaire. Vous devez d’abord configurer Net Spy de manière à ce que seules les informations dont nous avons besoin soient affichées et que les types de services arp, icmp ... soient ignorés. Pour cela, vous devez exécuter le programme et accéder aux paramètres de filtre: Menu "Options" Dans "Gérer les règles ... "

I.e. seul TCP restera.

Quand le cheval de Troie enverra-t-il des mots de passe? Naturellement, lors de la connexion à Internet, il est possible que seulement lorsqu'une nouvelle connexion apparaît et que de nouveaux mots de passe apparaissent. Nous créons donc une autre connexion dailap avec l’anti-mot de passe Souriez heureux voici ce que le "pirate informatique" recevra dans une lettre de son cheval de Troie :) Ouvrez le renifleur et lancez-le (en cliquant sur la flèche verte), connectez-vous à Internet via l'ancienne connexion et attendez que le serveur de Troie commence à envoyer nos mots de passe. Après environ une minute, vous verrez peut-être davantage ce qui suit:

I.e. NetSpy enregistre tout ce qui est transféré sur le serveur smtp, et il n’est désormais plus difficile de savoir à qui et ce qui a été envoyé à partir des informations disponibles. :) Chaque ligne affiche un paquet: la première colonne indique l'heure, la deuxième adresse IP de l'ordinateur qui a envoyé le paquet et la troisième colonne indique l'adresse IP de destination. Si vous allez dans le menu "Action" et que vous sélectionnez "Résoudre les adresses IP", les adresses IP prendront la forme habituelle et il sera indiqué quel serveur smtp le programme utilise pour envoyer du courrier. Vient ensuite la taille et le type de protocole indiqué à la fin, nous l’avons smtp i.e. il est immédiatement évident que cela envoie du courrier et que si, par exemple, POP3, IMAP4, il s’agit de la remise des lettres du serveur, eh bien, HTTP est clair ... Maintenant, en double-cliquant sur n’importe quelle ligne, vous pouvez "Décoder" ce paquet, la partie entière est indiquée en haut. informations à ce sujet: adresses MAC et IP d'où et où il est dirigé, type de protocole, durée de vie, taille, etc. et au bas de l'information transmise. Sélectionnez les paquets les plus volumineux et cherchez (vous pouvez passer d'un paquet à un autre en utilisant les flèches "suivant", "dans la fenêtre ouverte contenant le paquet décodé) - vous pouvez y trouver l'en-tête du message avec l'adresse du destinataire, ainsi que le texte du message.

Si vous voulez vérifier comment cela "fonctionne" sans attendre les chevaux de Troie, utilisez n'importe quel programme de messagerie.

Comment le cheval de Troie est mis à jour

En plus de l'envoi de mots de passe, de nombreux chevaux de Troie ont une fonction de mise à jour automatique qui, lorsqu'ils téléchargent un fichier sur Internet et l'exécutent, le cas échéant, dans la fenêtre du renifleur, les paquets transmis via le protocole http (port 80) apparaissent toujours. Dans ce cas, vous devez tout enregistrer dans un fichier, puis nous utiliserons à nouveau la recherche dans le texte. Cette fois, nous devrons rechercher le mot "GET" après que l'adresse demandée soit indiquée: