Détection de Trojan : une manipulation simple

Soumis par Tris Acatrinei le Lundi 27 août 2012 à 11:10

*Le texte qui va suivre s’adresse aux débutants, utilisateurs de Windows.*

Il suffit d’avoir visité un site un peu douteux ou avoir fait une manipulation un peu hasardeuse pour qu’un doute s’installe : la machine que j’utilise est-elle infectée par un Trojan ?

Un Trojan est un malware, également appelé cheval de Troie. Il s’agit d’un bout de code malveillant, parfois inséré dans un programme légitime ou paraissant légitime. Le but de ce malware est de collecter des informations sur l’utilisateur d’une machine. Il peut capturer des conversations de messageries instantanées, archiver les sites Web visités, il peut également détruire ou corrompre certaines données. Les vecteurs d’infection sont diverses : en visitant un site Web, en ouvrant une pièce jointe reçue par email, voire en connectant une clef USB dans une machine.

Le malware va ouvrir un port sur la machine infectée afin que celui qui a conçu et envoyé le Trojan puisse en prendre le contrôle. Un port informatique est un point d’entrée dans la machine, c’est ce qui lui permet de communiquer avec l’extérieur, par exemple Internet.

Avant de se lancer dans un scan minutieux de la machine, ce qui peut prendre du temps, il existe une manipulation assez simple à faire, à savoir la commande netstat qui existe également sur Linux.

Tout d’abord, il convient de fermer l’ensemble des programmes et des navigateurs afin de ne laisser que l’anti-virus fonctionner. On ouvre ensuite un terminal de commande. Dans Windows XP, il s’agit de la fenêtre « exécuter ». Dans Windows Seven, taper « cmd » dans la barre de recherche du menu démarrer. Faites un clic droit sur « cmd » et cliquez sur exécuter en tant qu’administrateur.

Vous aurez alors un terminal de commande qui va s’ouvrir.

Invite de commande sous Windows

Tapez alors netstat –b. Vous aurez alors une liste qui va vous indiquez le protocole utilisé et donc les ports ouverts et actifs, le programme, l’adresse et l’état du fonctionnement.

La commande Netstat sous Windows

En l’espèce, on voit que Chrome, XChat ainsi qu’Avast fonctionnent au même moment où je fais la manipulation, que le port utilisé est TCP ce qui est également normal, vu les programmes qui sont utilisés au moment de cette manipulation. En consultant toute la liste fournie par cette commande, je ne retrouve que des éléments qui sont effectivement en train de fonctionner.

Les Trojan peuvent potentiellement utiliser tous les ports disponibles et ils sont nombreux. Dans la mesure où ce texte s’adresse aux débutants, il est en effet plus simple lorsque l’on a un doute de procéder à la fermeture de tous les programmes afin de rendre le résultat de l’opération plus évident.

Par exemple, si toutes les pages Web, les logiciels de messagerie instantanées, le client IRC sont fermés et que vous obtenez une connexion que vous ne reconnaissez, vous avez potentiellement un malware qui s’est introduit dans la machine. Mais avant de lancer un scan minutieux, faites d’abord une recherche. En effet, certains programmes de messageries instantanées, s’ils tournent « en fond » peuvent utiliser certains ports spécifiques. Vous trouverez ici une liste des ports utilisés par les Trojan.

Lancez alors un scan minutieux de votre anti-virus, redémarrez la machine si besoin est et avant de lancer n’importe quel programme, refaites la manipulation netstat –a. Normalement la ligne suspecte devrait avoir disparu.

[MAJ du 27/10/212] : Pour voir les ports ouverts grâce aux rootkits et qui sont invisibles avec la commande netstat, vous pouvez vous aider de ceci.

Commentaires

Sangui (non vérifié)

Monday 27 August 2012 à 13:18

Formulaire de recherche

Détection de Trojan : une manipulation simple

Commentaires

Ajouter un commentaire