This page has been robot translated, sorry for typos if any. Original content here.

Nous attrapons l'espion ou "Où l'ordinateur envoie du courrier ..."

Il est déjà difficile de trouver une personne qui n'a pas entendu le mot "Trojan", et il y a peu d'autres programmes qui sont envoyés par l'utilisateur inaperçu, quelques informations à son sujet. Ensuite, je vais écrire sur la façon de savoir qui et quoi (par exemple, vos mots de passe) envoient discrètement des programmes comme "Cheval de Troie".

Le principe sur lequel reposent ces programmes est qu'un attaquant accède aux fichiers et aux dossiers d'un disque dur, peut lancer diverses applications sur votre ordinateur et prendre des photos de l'écran. Un cheval de Troie se compose de deux programmes: un serveur et un client. Un serveur est un programme qui s'exécute sur la machine de la victime et exécute les commandes du client. Et le client est avec l'attaquant à l'aide duquel il contrôle le serveur. Lorsque vous frappez l'ordinateur, le programme est enregistré dans l'exécution automatique et démarre de manière invisible avec le système d'exploitation. Le cheval de Troie peut être téléchargé sur Internet avec un programme inoffensif i. Les chevaux de Troie sont utilisés très simplement, vous devez forcer la victime à démarrer le serveur du programme (si vous êtes sur le réseau local, vous pouvez y aller vous-même et :) ) puis dans la partie client, entrez l'adresse IP de la victime, cliquez sur Connect .....

Protection: utilisez de nouveaux antivirus AVP, DrWeb et ne lancez pas de programmes inconnus (en particulier ceux livrés avec le courrier), ainsi que de programmes dotés d’une icône DOS (carré bleu). Le pare-feu est également une méthode de protection efficace.

Comment les chevaux de Troie envoient vos mots de passe

Comme d’autres programmes de messagerie, les chevaux de Troie utilisent le protocole SMTP (Simple Mail Transfer Protocol) pour envoyer des courriels, c.-à-d. pour envoyer une lettre, le programme se connecte au serveur SMTP et l’envoie, le plus intéressant est que tout ce processus puisse être suivi à l’aide de Sniffer. (Un renifleur est un programme qui "capture" les informations nécessaires transmises à la fois sur le réseau et sur une machine distincte si elle y est installée, c’est-à-dire que vous pouvez surveiller les données que votre ordinateur envoie et reçoit . tout renifleur sous Windows fera l'affaire. Vous devez d’abord configurer Net Spy, de sorte que seules les informations dont nous avons besoin soient affichées et que les packages de type de service arp, icmp ... soient ignorés. Pour cela, vous devez démarrer le programme et accéder aux paramètres de filtrage: menu "Options" "Gestion des règles ...". "

C'est à dire il n'y aura que TCP.

Quand le cheval de Troie enverra-t-il des mots de passe? Naturellement, une fois connecté à Internet, il est possible que seulement avec l’apparition d’une nouvelle connexion et avec de nouveaux mots de passe. Nous créons donc une autre connexion dailap, avec le mot de passe Anti- Sourire heureux C’est ce que le "pirate informatique" recevra dans une lettre de son cheval de Troie :) Ouvrez le renifleur et lancez-le (en cliquant sur la flèche verte), connectez-vous à Internet à l'aide de l'ancienne connexion et attendez que le serveur du cheval de Troie commence à envoyer nos mots de passe dans environ une minute. Vous verrez peut-être davantage quelque chose comme ceci:

C'est à dire NetSpy enregistre tout ce qui est envoyé au serveur smtp, et maintenant il n’est pas difficile de savoir à qui et ce qui a été envoyé par les informations disponibles :) Une ligne est affichée sur chaque ligne: la première colonne contient l'heure, la deuxième adresse IP de l'ordinateur qui a envoyé le paquet et la troisième contient l'adresse IP de destination. Si vous entrez dans le menu "Action" et que vous sélectionnez "Résoudre les adresses IP", les adresses IP prendront alors la forme habituelle et il deviendra clair comment le programme est utilisé par le serveur smtp pour envoyer du courrier. Ensuite, il y a la taille et à la fin le type de protocole est indiqué, nous avons ce smtp Immédiatement, il est clair qu’il s’agit d’envoyer du courrier, et si par exemple POP3, IMAP4, il s’agit de la remise des lettres du serveur, eh bien, HTTP est clair .... Maintenant, en double-cliquant sur n’importe quelle ligne, vous pouvez "décoder" ce paquet, dans la partie supérieure tout informations à son sujet: adresses MAC et IP d'où et où il est envoyé, type de protocole, durée de vie, taille, etc. et au bas de l'information transmise. Sélectionnez les paquets les plus volumineux et recherchez-les (vous pouvez passer d'un paquet à un autre en utilisant les flèches "suivant" et "dans la fenêtre ouverte contenant le paquet décodé) - vous pouvez y trouver l'en-tête du message avec l'adresse du destinataire, ainsi que le texte de la lettre.

Si vous voulez vérifier son fonctionnement sans attendre les chevaux de Troie, utilisez n’importe quel programme de messagerie.

Comment le Trojan est-il mis à jour

Outre l'envoi de mots de passe, de nombreux chevaux de Troie ont une fonction "mise à jour automatique": lorsqu'ils téléchargent et lancent un fichier Internet, le cas échéant, les paquets transmis via le protocole http (port 80) s'affichent, tout comme dans la précédente. Si vous devez tout enregistrer dans un fichier, utilisez à nouveau la recherche par texte. Cette fois, vous devez rechercher le mot "GET" une fois l'adresse demandée spécifiée: