This page has been robot translated, sorry for typos if any. Original content here.

Attraper un espion ou "Où l'ordinateur envoie-t-il le courrier ..."

Maintenant, il est difficile de trouver une personne qui n'a pas entendu le mot "Trojan", et il n'y a pas assez d'autres programmes qui sont envoyés de façon imperceptible par l'utilisateur, que ce soit à propos de lui ou de lui. Ensuite, je vais écrire sur la façon de savoir à qui et quoi (par exemple, vos mots de passe) envoient furtivement des programmes tels que le «cheval de Troie».

Le principe de l'action de ces programmes est que l'attaquant accède aux fichiers et dossiers du disque dur, peut exécuter diverses applications sur vous sur votre ordinateur et "prendre des photos" de l'écran. Le cheval de Troie se compose de deux programmes: le serveur et le client, un programme qui s'exécute sur la machine victime et exécute les commandes du client. Et le client est à l'attaquant avec l'aide, dont il gère le serveur. Quand vous arrivez à l'ordinateur, le programme est écrit en autorun et commence invisiblement avec le système d'exploitation. Trojan peut être téléchargé sur Internet avec un programme inoffensif, c'est-à-dire Il est très facile d'utiliser les chevaux de Troie, nous devons faire fonctionner la victime sur le serveur du programme (si vous êtes sur le réseau local, vous pouvez aller le faire vous même :) ) puis dans la partie client entrez l'adresse IP de la victime, cliquez sur connecter .....

Protection: Utilisez les derniers antivirus AVP, DrWeb et n'exécutez pas de programmes inconnus (en particulier ceux fournis avec le courrier), ainsi que des progs avec l'icône DOS (carré bleu). Une méthode efficace de protection est également le pare-feu

Comment les chevaux de Troie envoient vos mots de passe

Comme les autres programmes de messagerie, les chevaux de Troie utilisent le protocole SMTP (Simple Mail Transfer Protocol) pour envoyer des messages. afin d'envoyer un message, le programme se connecte au serveur SMTP et l'envoie, le plus intéressant est que l'ensemble du processus peut être suivi en utilisant Sniffer. ( Sniffer est un tel programme qui "récupère" les informations nécessaires transmises sur le réseau et à partir d'une machine séparée si elle est installée, c'est-à-dire que vous pouvez surveiller les données envoyées et reçues par votre ordinateur. tout renifleur pour Windows fera l'affaire. Vous devez d'abord configurer Net Spy, de sorte que seules les informations dont nous avons besoin soient affichées, et le type de service arp, icmp ... des paquets a été ignoré, pour cela vous devez exécuter le programme et accéder aux paramètres du filtre: Menu "Options". "

Ie. seul TCP restera.

Quand Trojan enverra-t-il des mots de passe? Bien sûr, lors de la connexion à Internet, il est possible que seulement quand une nouvelle connexion apparaît et avec de nouveaux mots de passe. Nous créons donc une autre connexion dalap, avec le mot de passe Anti- Souris heureux c'est ce que le "hacker" recevra dans une lettre de son cheval de Troie :) Ouvrez le renifleur et démarrez-le (en cliquant sur la flèche verte), connectez-vous à Internet sur l'ancienne connexion et attendez que le serveur Trojan commence à envoyer nos mots de passe, dans environ une minute, peut-être plus vous verrez quelque chose comme:

Ie. NetSpy enregistre tout ce qui est passé au serveur smtp, et maintenant il n'est plus difficile, selon les informations disponibles, de savoir qui et quoi a été envoyé :) Chaque ligne affiche un paquet: la première colonne indique l'heure, la deuxième adresse IP de l'ordinateur qui a envoyé le paquet, dans la troisième - l'adresse IP de la destination. Si vous allez dans le menu "Action" et sélectionnez "Resolve IP" ici, alors les adresses IP prendront la forme habituelle et il devient clair quel smtp-serveur le programme utilise pour envoyer le courrier. Puis vient la taille et à la fin indique le type de protocole, nous l'avons smtp ie. immédiatement comprendre que cela envoie du courrier, et si par exemple POP3, IMAP4, alors c'est la livraison de lettres du serveur, eh bien, HTTP est si clair .... Maintenant, en double-cliquant sur n'importe quelle ligne, vous pouvez "décoder" ce paquet, informations à ce sujet: adresses MAC et IP d'où et où aller, type de protocole, TTL, taille, etc. et au bas de l'information transmise. Sélectionnez les plus gros paquets et voyez (vous pouvez passer de l'un à l'autre en utilisant les flèches "vers l'avant", "retour" dans la fenêtre ouverte avec le paquet décodé) en eux, vous pouvez trouver l'en-tête de la lettre.

Si vous voulez vérifier comment cela "fonctionne" sans attendre les chevaux de Troie, alors utilisez n'importe quel programme de messagerie.

Comment le cheval de Troie est mis à jour

En plus de l'envoi de mots de passe, de nombreux chevaux de Troie ont une fonction de "mise à jour automatique" lorsqu'ils téléchargent un fichier sur Internet et le lancent, s'il y a des paquets transmis via le protocole http (80ème port), ainsi que dans le précédent. Dans le cas où vous avez besoin de tout enregistrer dans un fichier, nous utilisons à nouveau la recherche de texte, cette fois nous devons rechercher le mot "GET" après que l'adresse demandée est spécifiée: