LES TROJANS  
.

Le cheval de Troie, qu'est ce que c'est? C'est pas un truc en bois construit 
pas des mecs en armure pour prendre une ville fortifiée par la ruse, 
en tout cas, pas là. Si ça s'appelle comme ça, vous 
l'aurez compris, c'est parce que ça reprend la méthode... 
La forteresse c'est le PC, le cheval c'est le prog, l'assaillant c'est 
toi et la victime est dans la merde. Le biz consiste à envoyer à 
un mec le troyen et de lui faire croire qu'il sagit d'autre chose... Le 
mec le lance et là, si vous avez son adresse IP, 
vous pouvez contrôler son ordinateur. Quand je dis contrôler 
c'est tout contrôler, vraiment tout. Vous pouvez imprimer des trucs 
avec son imprimante, lui piquer des fichiers, jouer à ses jeux, 
formater son disque, diriger le pointer de sa sourie, piquer ses passwords 
...etc... C'est en partie pour ça que je considère le troyen 
plus comme un programme de crashers mais j'ai tenu malgré tout à 
le mettre dans cette rubrique. Me demandez pas pourquoi, les lubies du 
Webmaster sans doute. 

Le troyen a existé en trois versions différentes à 
ce que je sache. Les deux premiers étaient des progs que l'on envoyait 
en faisant croire que c'était autre chose (des nukers 
par exemple, ça intéresse tellement de monde sous irc) 
mais dès le lancement du programmes, un message d'erreur s'affichait 
( genre: GT0075FR.dll has not found ) et vous étiez infecté 
alors que vous pensiez juste: "Merde, ça marche pas". Et puis un 
jour, sans savoir pourquoi, alors que vous reveniez sur irc, vous n'avez 
plus le contrôle de votre pc, dommage... 

La troisième version est la plus sadique, elle se compose comme 
les précédentes de deux parties, l'une que l'on envois à 
la victime et l'autre que l'on garde et qui nous permet de contrôler 
l'ordinateur disant. Dans cette version, on garde les deux progs, car ce 
que l'on envois n'est plus un troyen mais un programme sain (la dernière 
version de netscape par exemple) que l'on a infecté avec un troyen. 
Et ce qui est terrible c'est que le programme infecté n'augmente 
même pas de volume (certains disent que le prog augmente de 100 Mo 
mais c'est faux) et qu'il fonctionne très bien. 

Il ne faut pas que ceci vous incite à ne plus revenir sous irc 
ou 
icq car il existe des "bouffe-troyens" 
qui, je vous le donne en mille, ... Ca se trouve très facilement 
d'ailleurs, dans la partie progs de ce site, vous trouverez les différents 
troyens existants ainsi que le bouffe-troyens. Je donne ces informations 
car comme je le disais plus haut, c'est des progs de crashers. Et ces personnes 
donnant une mauvaise image du Hacking... sus. 

A cela des petits futés ont trouvé une parade, un prog 
tout con qui ne peut se faire détecter par un bouffe-troyen car 
il ne ne se met en service que quand un bouffe-troyen vérifie le 
système. Donc jusque là il n'est pas considéré 
comme troyen. Alors la personne très contente de posséder 
ce prog miracle ne se doute pas quelle est contaminée et... 

Alors quand on vous envois un prog par Internet, vous le testez avec 
le bouffe-troyen au moins deux fois de suite et vous avez 99% de chances 
qu'il ne vous arrive rien. Mais bon comme les mecs qui programment ces 
trucs auront toujours une longueur d'avance sur ceux qui essayent de les 
en empêcher... faites gaffe de ne pas accepter des .exe, .bat, .zip 
et .com de tout le monde. Clickez sur le menu Prog pour télécharger un 
bouffe 
troyen. Plusieurs type de progs neutralisent les troyens style: 
rundlls, dmsetup, dmsetup2, sockets de troie , 
control of sockets de troie , hacker's paradise,  
backdoor, ICKiller, backorifice , netbus et icqtrojen et j'en oublie. Car la liste ne cesse de grandir. 

Avec BO (back Orifice) il y a un autre moyen de voir si vous avez été 
infecté mais ça ne marche que pour BO et ça n'empêche 
pas au bouffetroyen d'être efficace. Cette manière c'est de 
faire un ping vers l'ip 127.0.0.1 et si vous y voyez le nom de votre ordinateur 
c'est que vous êtes infesté. :-( 

Comment ça 
marche? : 

Dès que la victime lance la partie virus du troyen (celle qu'on 
lui refile), le programme va chercher a créer plusieurs fichiers 
.exe (généralement 3). La partie virus ne sert qu'à 
créer ces fichiers. Les fichiers sont souvent crées dans 
Windows/System mais ça dépends en fait de troyens. Si ils 
se foutent là c'est pour une bonne raison. Tous les ordinateurs 
ayant windows ont un point commun, ils ont windows (si si). Vous allez 
dire: "merci, ca nous renseigne vachement". Mais ca permet au troyen de 
ne pas a avoir a chercher un emplacement sympa différent dans chaque 
bécane ou il va. Je sais pas si vous êtes déjà 
allé faire un tour dans le répertoire system, mais il y a 
des tas de programme et personne n'est foutu de tous les retenir ou de 
dire a quoi ils servent tous. 

Une fois bien caché et reproduis en suffisamment grand nombre 
pour que vous ne les viriez pas tous, ils vont chercher à se lancer 
au démarrage de la machine. Pour cela, ne croyez pas qu'il vous 
se contenter de se foutre dans Windows/Menu démarrer/Démarrage, 
ce serait trop simple, trop visible et surtout trop facile de les retrouver 
(quoi que je suis persuadé que plusieurs d'entre vous ne connaissaient 
même pas la fonction de ce répertoire ;-) ). Ils vont essayé 
de mettre une ligne de code qui les lancera au démarrage dans l'autoexec.bat 
à un endroit bien caché. C'est sûr que si vous avez 
deux applications qui se lancent au démarrage, vous voyez ces lignes 
tout de suite (et donc le nom et l'endroit où se trouvent les troyens) 
mais ça arrive qu'il y ait des centaines de lignes dans l'autoexec.bat 
et là c'est une autre affaire de les trouver. Encore plus vache, 
ils vont essayer de se mettre ces mêmes lignes dans la base de registre 
de windows. Pour ceux qui ne savent pas ce qu'est la base de registre de 
windows, c'est le coeur de win. C'est la que les informations sur tous 
ce que vous avez sur votre disque est écrit: les passwords, les 
nom des fichiers et leur places, la vitesse de défilement des fenêtres 
quand elles se minimisent... Si tu maîtrises la base de registre, 
tu maîtrises tout. Ces tonnes d'informations sont consultables en 
lançant Regedit dans Exécuter. Allez jeter un coup d'oeil 
et vous comprendrez pourquoi ils se foutent là. Si vous connaissez 
pas l'emplacement où ils se mettent c'est même pas la peine 
d'espérer. Mais les anti troyens les trouvent très bien donc 
il n'est pas nécessaire de connaître l'emplacement mais si 
malgré tout vous voulez la connaître, mailez moi. 

Leur but n'est pas simplement de se lancer au démarrage ou de 
se reproduire. Ils ont fait ca pour leur propre sécurité 
et pour être sûr de pouvoir être opérationnel 
dès que la bécane est allumée. Opérationnel 
pourquoi? Les moyens de rentrer sur une bécane sont les ports 
et pour y rentrer il faut qu'ils soient ouverts. Les programmes crées 
sur la bécane de la victime servent à ça. Le port 
le plus souvent utilisé est le telnet (port 23) mais d'autre comme 
le ftp peuvent aussi servir. Ces programmes se camouflent de manière 
à ce que vous ne puissiez pas voir s'ils sont lancés et donc 
ne pas les interrompre. ex: Alt + Ctrl + Suppr n'est pas efficace pour 
les stopper puisque leur nom ne se trouve pas dans la fenêtre de 
win. 

La deuxième partie du troyen, celle que vous n'avez pas envoyé 
a la victime vous sert de poste de contrôle en quelque sorte et permet 
de communiquer avec les programmes crées sur le disque de la victimes. 
C'est pour ça qu'ils doivent rester opérationnel, pour que 
vous ne puisiez pas perdre la connection avec le pc de la victime (si bien 
sûr elle est connectée). 

J'espère que le fonctionnement d'un troyen est plus clair à 
présent pour vous. Ne vous considérez pas hacker car vous 
utilisez un troyan horse car la faudrait pas abuser non plus mais dites 
vous que si vous connaissez la manière dont il marche, c'est déjà 
ça de gagné et ça vous aidera pour la suite...