Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dany52

Cheval de Troie envoyé par Zebulon ??

Messages recommandés

Suivant le conseil de papo, j'ouvre un sujet dans "Sécurité" pour y reposer ma question restée sans réponse ailleurs.

 

Hier, après formatage et réinstallation complète, donc avec un PC 100% clean, je fais un test de sécurité en ligne sur la home page de Zebulon.

Après 1 minute, l'antivirus, celui qu'on n'aime pas ici, Norton 2005, m'envoit une alerte et me dit qu'un ordinateur distant essaye de rentrer en utilisant le cheval de Troie "netspy" !

Il bloque le site durant 30 minutes après quoi je refais un test d sécurité et je reçois la même alerte.

 

netspygp0.jpg

 

Pouvez-vous me dire ce que cela signifie ?

Car là, vraiment je ne comprends pas...

Zebulon tente-t-il vraiment d'envoyer un tel cheval de troie pour tester la sécurité de l'ordinateur ?

Parce que si oui, ça équivaut à tester un gilet pare-balle sur un type en lui tirant une balle dans le coeur. Si le gillet est bon, il s'en sortira sinon...

 

Et apparement "netspy" n'est quand même pas un petit truc de rien du tout, voici un petit aperçu de ses capacités:

 

When Spyware.NetSpy is installed it does the following:

 

Displays the product information.

 

 

Creates the following files:

%System%\nsys.exe: Main logger. Detected as Spyware.NetSpy.

%System%\nconfig.exe: Main configuration file. Detected as Spyware.NetSpy.

%System%\nsutil.exe: Component that resets password and uninstalls. Detected as Spyware.NetSpy.

%System%\Faq.fil: Frequently Asked Questions.

%System%\MSVBVM60.DLL: Microsoft Visual Basic Virtual Machine Library.

%System%\kbhook.dll: Visual Basic keyboard hook library.

%System%\CaptureScreen.ocx: Screenshot capturing library.

%System%\Ijl11.dll: Intel JPEG Library.

%System%\Richtx32.ocx: Microsoft RichText Library.

%System%\file.txt: Log file.

%System%\file_keys.txt: Log file.

Additional JPEG and text files for logging are located in %System%.

 

Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

 

 

Adds the value:

 

"nsys" = "nsys.exe"

 

to the registry key:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

so that the Spyware runs when you start Windows.

 

 

Adds the values:

 

"%System%\nsys.exe" = "0x1"

"%System%\nconfig.exe" = "0x1"

"%System%\nsutil.exe" = "0x1"

"%System%\Faq.fil" = "0x1"

"%System%\kbhook.dll" = "0x1"

"%System%\CaptureScreen.ocx" = "0x1"

"%System%\Ijl11.dll" = "0x1"

"%System%\Richtx32.ocx" = "0x1"

 

to the registry key:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs

 

 

Creates the following registry keys/values:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\nsys.exe\Path = "%System%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\nsys.exe\(Default) = "%System%\nsys.exe"

 

HKEY_CURRENT_USER\Software\S7000\Key

HKEY_CURRENT_USER\Software\S7000\String1

HKEY_CURRENT_USER\Software\S7000\String2

 

 

Creates the registry key:

 

HKEY_CURRENT_USER\Software\NetSpy

 

and places the configuration settings as values in that key.

 

 

Modifies the value to:

 

"DisableTaskMgr" = "0x0"

 

in the registry key:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

 

so that the Spyware can enable and disable the Task Manager.

 

Alors, qu'en est-il ?

Merci de répondre.

Partager ce message


Lien à poster
Partager sur d’autres sites

le principe du test de sécurité est de tester l'ouverture des ports donc il interroge le pc local sur une liste de pb connus et visiblement norton réagit (en gros ce qu'il faut) mais le resultat du scan donne quoi après ? il est impossible a cause du blocage, ou il dit qqch ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Il est impossible à cause du bloquage.

Avec Avast(avant format) ou sans aucun anti virus, le test se faisait sans problème.

Seul N2005 signale ce cheval de Troie.

 

Mais tu trouves normal et logique d'envoyer un cheval de Troie pour tester l'ouverture d'un port ?

Je ne suis pas spécialiste mais ça me semble étrange car si le port est ouvert, le cheval passe...

Modifié par Dany52

Partager ce message


Lien à poster
Partager sur d’autres sites

Effectivement, nous sommes là pour apprendre et c'est bien ce qui m'intéresse le plus.

Mais, rassure-toi, je ne crains pas d'être infecté suite à cette affaire.

Par contre, j'aimerais savoir comment faire le test de sécurité sur Zebulon puisque Norton l'empêche.

Et si je débranche Norton, forcément le test me dira que je suis en danger car non-protégé...

 

Bien à toi.

:P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Forcément puisqu'il a été arrêté par l'anti-virus.

Finalement, c'est l'AV ou le pare-feu de Norton qui a bloqué l'intrus?

 

Amicalement.

Modifié par Sacles

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Les chevaux de Troie sont souvent associés à des ports déterminés. Une tentative d'intrusion sur un des ports, peut faire réagir le pare-feu en signalant le troyen associé.

 

Par exemple, le port 1024 est associé à NetSpy.

 

Amicalement.

Partager ce message


Lien à poster
Partager sur d’autres sites

Un cheval de troie est une application serveur qui met en écoute un port de manière illégitime.

 

Il s'avère que le trojan Netspy se met en écoute sur le port 1024 sur la machine infectée.

Pour contrôler une machine infectée à distance, il faut établir une connexion sur ce port (TCP Syn entrant).

 

Un test de sécurité tel celui de zebulon envoie des requêtes TCP Syn pour déterminer s'il existe des ports ouverts sur la machine testée. Le firewall, en fonction de ses réglages, bloque ou autorise telle ou telle connexion, point.

Le champ data des paquets est nul ou aléatoire, j'aimerai bien savoir sur quelle base Norton a déterminé que le paquet est spécifique de la partie cliente du trojan (il fait de l'analyse des trames protocolaires des paquets échangés ou il se base sur une pauvre signature : TCP Syn dport 1024 = Trojan.Netsky :P)

 

La routine de Norton raconte encore une fois n'importe quoi: il a simplement bloqué une requête entrante sur le port en question. Qu'y a-t-il d'étonnant à celà puisque c'est le rôle d'un pare-feu....

C'est hallucinant comme ils peuvent exploiter la paranoïa des gens.

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×