Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ordinateur zombie

rimbaut

Par rimbaut
dans Analyses et éradication malwares

 Partager

Messages recommandés

rimbaut Extrem Member

rimbaut

Posté(e)
Posté(e)

bonsoir à tous,

il est souvent question de l'utilisation d'ordinateurs zombie par les pirates, concretement comment font ces pirates pour "domicilier" un ordinateur d'un individu lambda ?

merci pour vos reponses

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir rimbaut, bonsoir à tous,

 

Il y a des sortes de malwares qui sont des "backdoors", d'autres des "chevaux de Troie", d'autres des "Keyloggers", etc. ces malwares sont capables de communiquer avec leur commanditaire !

 

En réalité, les malwares s'installent en plusieurs fois : au début, il convient surtout de passer inaperçu puis au fil des redémarrage", il y a téléchargement de compléments qui ajoutent des fonctions... jusqu'à organiser la prise de contrôle à distance ou l'utilisation en serveurs...

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)
bonsoir à tous,

il est souvent question de l'utilisation d'ordinateurs zombie par les pirates, concretement comment font ces pirates pour "domicilier" un ordinateur d'un individu lambda ?

merci pour vos reponses

516644[/snapback]

..d'apres ce que je sais,souvent le nombre elevé de logiciels espions et parfois de vers et trojans embourbent et rallentissent le systeme......souvent ces merdes entrent par Internet explorer(plus à risque )seulement en naviguant sur des sites à risques(XXX,sites de jeux gratuits,sites de warezs/sites de cracks).......et ces logiciels communiquent avec l'extérieur...amenant fenetres intempestives et /ou pourriels...changements de toutes sortes(toolbars,casino,favoris imposés,etc....)ou parfois attachés à des téléchargements de logiciels....qui nous imposent ces items....

http://www.olf.gouv.qc.ca/ressources/bibli...es/8357332.html

Modifié par Zonk
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir rimbaut, Zonk, rebonsoir à tous,

 

En relisant le message initial, je pense avoir mal compris, alors, je continue !

 

Pour repérer un ordinateur bon pour l'opération, les pirates, scannent l'Internet à la recherche de failles et aussi, à la recherche des chevaux ce Troie déjà installés par l'internaute lui même lorsqu'il a cliqué sur le fichier joint à un email à accédé à un site ad'hoc.

Le backdoor a alors ouvert les ports souhaités facilitant l'accès !

rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)

pardon j'ai oublié une question,

est ce que 1 seul pirate peut il à lui tt seul corrompre plusieurs milliers d'ordinateurs et ainsi constituer un botnet ?

si oui comment le pirate synchronise t'il toutes ces machines ?

merci

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir rimbaut, megataupe, rebonsoir à tous,

 

est ce que 1 seul pirate peut il à lui tt seul corrompre plusieurs milliers d'ordinateurs et ainsi constituer un botnet ?
Bien sûr ! Le pirate ne fait pas çà à la main, il a des ordinateurs (des zombies LOL)
si oui comment le pirate synchronise t'il toutes ces machines ?
avec l'heure des UC ! Si je me souviens bien, lors des grandes attaques en DDoS contre Microsoft, etc. il y avait eu des noeuds, la synchronisation n'avait pas été bien faite ! Il faut connaitre la géographie aussi ! :P
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Je crois que la description du célébre virus sasser devrait répondre à ta question :

 

Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP.

 

Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés,

 

Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.

 

Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :

 

*

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

 

ou

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

avserve.exe -> C:\%WINDIR%\avserve.exe

 

Le virus appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa désactivation) par l'utilisateur ou par d'autres virus,

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...