ACCUEIL

Défin.Malware

Vers-Réseau

Virus-Classique

Trojan

Autre Malware

Non-Malware

Articles-News

Contact

Les Trojans peuvent être classifiés selon les actions qu'ils effectuent sur les machines des victime.

• Backdoors
• General Trojans
• PSW Trojans
• Trojan Clickers
• Trojan Downloaders
• Trojan Droppers
• Trojan Proxies
• Trojan Spies
• Trojan Notifiers
• ArcBombs

Aujourd'hui les Backdoors sont le type de Trojans les plus répandus et les plus dangereux. Ces Trojans sont des outils d'administration à distance qui se connectent à des machines infectées et prennent le contrôle externe par l'intermédiaire d'un réseau (LAN) ou de l'Internet. Ils fonctionnent comme des programmes légaux d'administration à distance employés par des Administrateurs de système réseau. Par conséquent, ceci les rend difficiles à détecter.

La seule différence entre un outil d'administration légal et un Backdoor, est que les Backdoors sont installés et lancés à l'insu et sans le consentement de l'utilisateur de la machine qui en est victime. Une fois que le Backdoor est lancé, il surveille le système local à l'insu de l'utilisateur; très souvent le Backdoor ne sera pas visible dans la log des programmes en cours d'utilisation.

Une fois que l'outil d'administration à distance (Backdoor) a été installé avec succès et puis lancé, la machine de la victime est grande ouverte pourrait on dire. Les fonctions du Backdoor peuvent inclure:

• Envoi/réception des fichiers
• Lancement/suppression des fichiers
• Exécution des fichiers
• Affichage de messages
• Suppression des données
• Rebooter (redémarrer) l'ordinateur

En d'autres termes, les Backdoors sont employés par des auteurs de Virus pour détecter et télécharger des informations confidentielles, exécuter un code malveillant, détruirent des données, incluent les PC's dans les réseaux et ainsi de suite. En bref, les Backdoors combinent en un tout la fonctionnalité de la plupart des autres types de Trojans.

Les Backdoors ont une sous-classe particulièrement dangereuse: variantes qui peuvent propager par ex: des Vers. La seule différence est que les Vers sont programmés pour se propager constamment, tandis que les 'mobiles' Backdoors se lance seulement après une commande spécifique du pirate.

Cette catégorie sournoise inclut une variété de Trojans qui endommagent les machines des victimes ou menacent l'intégrité des données, ou altère le fonctionnement de la machine de la victime.

Les Trojans multi-objets sont également inclus dans ce groupe, car quelques auteurs de virus préfèrent créer des Trojans multifonctionnels plutôt que des paquets de Trojans.

Cette famille de Trojans volent les mots de passe, normalement les mots de passe de système des PC's. Ils recherchent les fichiers de système qui contiennent des informations confidentielles telle que des mots de passe et des numéros de téléphone d'accès Internet et puis envoient ces informations à une addresse email codé dans le corps du Trojan. Il sera récupéré par le 'Master' ou par l'utilisateur du programme illégal.

Quelques PSW Trojans volent d'autres types d'information comme par ex:

• Détails du système (mémoire, espace disque, détails du logiciel d'exploitation)
• Email-client local
• Addresse-IP
• Détails d'enregistrement
• Mots de passe pour des jeux en ligne

Les Trojans-AOL sont des PSW Trojans qui volent des mots de passe pour AOL (American Online), ils appartiennent à des sous-groupes parce qu'ils sont si nombreux.

Cette famille de Trojans réorientent des PC's victimes vers des sites spécifiques ou vers d'autres ressources d'Internet. Les Trojans Clicker envoient les commandes nécessaires au browser (navigateur) ou remplacent les fichiers de système où les urls standards d'Internet sont stockés (par ex: le fichier 'host' dans le répertoire WINDOWS).

Les Trojans Clicker sont employés:

• Pour augmenter le Hit-Count d'un site spécifique pour but de publicité
• Pour organiser une attaque DoS sur un serveur ou un site
• Pour mener la victime à une ressource infectée où la machine sera attaquée par d'autres malwares (Virus ou Trojans)

Cette famille de Trojans téléchargent et installent un nouveau malware ou adware sur la machine de la victime. Le "Downloader" lance alors le nouveau malware ou l'enregistre pour permettre qu'il se lance automatiquement (Autorun) selon les conditions locales du logiciel d'exploitation. Tout ceci ce fait naturellement sans connaissance ou consentement de l'utilisateur du PC.

Les noms et les endroits du malware à télécharger sont codés dans le Trojan ou téléchargés depuis un site spécifié ou de tout autre endroit d'Internet.

Ces Trojans sont employés pour installer d'autres malwares sur des machines victimes sans que l'utilisateur le sache. Les Trojans Dropper installent leur charge sans afficher un message, ou affiche un faux message d'erreur dans un fichier archivé ou dans le logiciel d'exploitation. Le nouveau malware est déposé à un endroit indiqué sur un disque et puis lancé.

Les Droppers sont normalement structurés de la façon suivante:

La fonctionnalité du Dropper contient le code pour installer et exécuter tous les fichiers de la charge.

Dans la plupart des cas, la charge utile contient d'autres Trojans et au moins un hoax: Jokes, jeux, graphiques et ainsi de suite. Le hoax est censé distraire l'utilisateur pour prouver que l'activité provoquée par le Trojan Dropper est inoffensive, tandis qu'elle sert à masquer réellement l'installation dangereuse de la charge utile.

Les pirates employent de tels programmes pour atteindre deux objectifs:

1. cachée ou masquée l'installation d'autres Trojans ou Virus
2. dupé les solutions d'antivirus qui ne peuvent pas analyser tous les composants

Ces Trojans fonctionnent comme un Proxy-Server et fournissent aux pirates un accès anonyme à l'Internet à partir de l'ordinateur de la victime. Aujourd'hui ces Trojans sont très populaires chez les spammers qui ont toujours besoin de machines supplémentaires pour les envois de mails en masse (Mass mailing). Les codeurs de Virus incluent souvent des Trojans-proxies dans les paquets de Trojans et vendent ensuite des réseaux de machines infectées aux spammers.

Cette famille inclut une variété de Trojans Spy (programmes espion) et key loggers, qui dépistent et enregistrent l'activité de l'utilisateur sur la machine victime et puis envoie cette information au 'master'. Les Trojan-Spies amassent toute une gamme d'information comprenant:

• Frappes des touches du clavier (Keystrokes)
• Copies d'écran (Screenshots)
• Logs des applications actives
• D'autres actions de l'utilisateur

Ces Trojans sont le plus souvent employés pour voler des opérations bancaires et toutes autres informations financières pour soutenir la fraude en ligne.

Ces Trojans informent le 'master' qu'une machine est infectée. Le Trojan Notifier confirme qu'une machine a été infectée avec succès et envoient des informations comme l'Adresse-IP, le nombres de Ports ouverts, l'addresse-email etc. de l'ordinateur de la victime. Cette information peut-être envoyée par email sur le site 'master' ou par ICQ.

Les Trojans Notifier sont habituellement inclus dans un 'paquet' Trojan et employés pour informer seulement le 'master' qu'un Trojan a été installé avec succès sur la machine de la victime.

Ces Trojans sont des fichiers codés archivés pour saboter le programme de de-compression quand il essayera d'ouvrir le fichier archivé infecté. La machine victime ralentira ou se plantera quand la bombe de Trojan éclatera, ou le disque sera rempli de données de non-sens. Les Trojans ArcBombs sont particulièrement dangereux pour les serveurs, en particulier quand des données entrantes sont traitées automatiquement au début: dans ces cas-ci, un Trojan ArcBomb peut planter le serveur.

Il y a trois types de Trojans ArcBombs: en-tête incorrect dans les archives, des données répétées, des séries de fichiers identiques dans les archives.

Une en-tête d'archive incorrect ou des données corrompues tous deux peuvent causées le plantage du programme de de-compression en ouvrant et en décompressant les archives infectées.

Un gros fichier contenant des données répétées peut être comprimé dans des archives très petites: 5 gigaoctets comprimé en utilisant RAR, aura que 200Kbs et sera de 480Kbs au format ZIP.

D'ailleurs, des technologies spéciales existent pour compresser un énorme nombre de fichiers identiques dans une seule archive sans affecter de manière significative la taille des archives elle-même: par exemple, il est possible de compresser 10¹⁰⁰ de fichiers identiques et aura une taille de 30Kb au format RAR et 230Kb au format ZIP.