This page has been robot translated, sorry for typos if any. Original content here.

Nous attrapons l'espion ou "Où l'ordinateur envoie du courrier ..."

Il est déjà difficile de trouver une personne qui n'a pas entendu le mot "Trojan", et il y a peu d'autres programmes qui sont envoyés par l'utilisateur inaperçu, quelques informations à son sujet. Ensuite, je vais écrire sur la façon de savoir qui et quoi (par exemple vos mots de passe) envoient discrètement des programmes comme "Cheval de Troie".

Le principe d'action de ces programmes est que l'attaquant accède aux fichiers et aux dossiers du disque dur, peut exécuter diverses applications sur votre ordinateur et prendre des photos de l'écran. Un cheval de Troie se compose de deux programmes: un serveur et un client. Un serveur est un programme qui s'exécute sur la machine de la victime et exécute les commandes du client. Et le client est chez le malfaiteur avec l'aide qu'il contrôle le serveur. Lorsque vous frappez l'ordinateur, le programme est enregistré dans l'exécution automatique et démarre invisiblement avec le système d'exploitation. Troyan peut être téléchargé sur Internet avec un programme inoffensif i. Les chevaux de Troie sont utilisés très simplement, vous devez forcer la victime à démarrer le serveur du programme (si vous êtes sur le réseau local, vous pouvez y aller vous-même et :) ) puis dans la partie client, entrez l'adresse IP de la victime, cliquez sur Connect .....

Protection: Utilisez de nouveaux antivirus AVP, DrWeb et ne lancez pas de programmes inconnus (en particulier ceux livrés avec le courrier), ainsi que de programmes dotés d’une icône DOS (carré bleu). Le pare-feu est également une méthode de protection efficace.

Comment les chevaux de Troie envoient vos mots de passe

Comme d’autres programmes de messagerie, les chevaux de Troie utilisent le protocole SMTP (Simple Mail Transfer Protocol) pour envoyer des courriels, c.-à-d. Pour envoyer une lettre, le programme se connecte au serveur SMTP et l’envoie, le plus intéressant est que tout ce processus puisse être suivi à l’aide de Sniffer. ( Sniffer est un programme qui "capte" les informations nécessaires transmises à la fois sur le réseau et sur une machine distincte si elle y est installée, c’est-à-dire que vous pouvez contrôler les données que votre ordinateur envoie et reçoit. ) Je vais utiliser l’exemple du sniffer Network Spy, en général. tout renifleur sous Windows fera l'affaire. Vous devez d’abord configurer Net Spy, de sorte que seules les informations dont nous avons besoin soient affichées et que les packages de type de service arp, icmp ... soient ignorés. Pour cela, vous devez démarrer le programme et accéder aux paramètres de filtrage: menu "Options" "Gestion des règles ...". "

C'est à dire il n'y aura que TCP.

Quand le cheval de Troie enverra-t-il des mots de passe? Naturellement, une fois connecté à Internet, il est possible qu’avec l’apparition d’une nouvelle connexion et de nouveaux mots de passe. Nous créons donc une autre connexion dailap, avec le mot de passe Anti- Souriez heureux C’est ce que le "pirate informatique" recevra dans une lettre de son cheval de Troie :) Ouvrez le renifleur et lancez-le (en cliquant sur la flèche verte), connectez-vous à Internet à l'aide de l'ancienne connexion et attendez que le serveur du cheval de Troie commence à envoyer nos mots de passe dans environ une minute. Vous verrez peut-être davantage quelque chose comme ceci:

C'est à dire NetSpy enregistre tout ce qui est envoyé au serveur smtp, et maintenant il n’est pas difficile de savoir à qui et ce qui a été envoyé :) Une ligne est affichée dans chaque ligne: la première colonne contient l'heure, la deuxième adresse IP de l'ordinateur qui a envoyé le paquet et la troisième a l'adresse IP de destination. Si vous entrez dans le menu "Action" et que vous sélectionnez "Résoudre les adresses IP", les adresses IP prendront alors la forme habituelle et il deviendra clair comment le programme est utilisé par le serveur smtp pour envoyer du courrier. Ensuite, il y a la taille et à la fin le type de protocole est indiqué, nous avons ce smtp c'est à dire Immédiatement, il est clair qu’il s’agit d’envoyer du courrier et si, par exemple, POP3, IMAP4, il s’agit de la remise des lettres du serveur, mais HTTP est clair .... Maintenant, en double-cliquant sur n’importe quelle ligne, vous pouvez "décoder" ce paquet, dans la partie supérieure, vous pouvez voir tout informations à son sujet: adresses MAC et IP d'où et où il est envoyé, type de protocole, durée de vie, taille, etc. et au bas de l'information transmise. Sélectionnez les paquets les plus volumineux et cherchez (vous pouvez passer d'un paquet à un autre en utilisant les flèches "suivant" et "dans la fenêtre ouverte contenant le paquet décodé) - vous y trouverez l'en-tête du message avec l'adresse du destinataire, ainsi que le texte de la lettre.

Si vous voulez vérifier son fonctionnement sans attendre les chevaux de Troie, utilisez un programme de messagerie.

Comment le Trojan est-il mis à jour?

En plus de l’envoi de mots de passe, de nombreux chevaux de Troie ont une fonction de «mise à jour automatique»: lorsqu’ils téléchargent un fichier Internet et le lancent, le cas échéant, les paquets transmis via le protocole http (port 80) apparaîtront, comme dans le cas précédent. Au cas où vous auriez besoin de tout sauvegarder dans un fichier, utilisez à nouveau la recherche par texte. Cette fois, vous devez rechercher le mot "GET" après que l'adresse demandée soit spécifiée: