Aujourd’hui, sur le World Wide Web, on trouve tellement de récifs sous-marins sous forme de virus qu’on ne peut même pas les compter. Naturellement, toutes les menaces sont classées selon la méthode de pénétration dans le système, les dommages causés et les méthodes de suppression. Malheureusement, l'un des plus dangereux est le virus cheval de Troie (ou cheval de Troie). Nous allons essayer de considérer quelle est cette menace. En fin de compte, nous découvrirons également comment supprimer en toute sécurité cette merde d’un ordinateur ou d’un appareil mobile.

"Cheval de Troie" - qu'est-ce que c'est ?

Les virus chevaux de Troie sont du type autocopiant avec leurs propres codes exécutables ou intégrés dans d'autres applications, ce qui constitue une menace assez sérieuse pour tout ordinateur ou système mobile.

Pour la plupart, les systèmes Windows et Android sont les plus concernés. Jusqu'à récemment, on pensait que ces virus n'affectaient pas les systèmes d'exploitation de type UNIX. Cependant, il y a quelques semaines à peine, les gadgets mobiles Apple ont également été attaqués par le virus. On pense que le cheval de Troie constitue une menace. Nous allons maintenant voir ce qu'est ce virus.

Analogie avec l'histoire

La comparaison avec les événements historiques n’est pas fortuite. Et avant de comprendre cela, tournons-nous vers l’œuvre immortelle d’Homère « L’Iliade », qui décrit la capture de Troie rebelle. Comme vous le savez, il était impossible d'entrer dans la ville de la manière habituelle ou de la prendre d'assaut. Il a donc été décidé de donner aux habitants un énorme cheval en signe de réconciliation.

Il s'est avéré qu'à l'intérieur se trouvaient des soldats qui ont ouvert les portes de la ville, après quoi Troie est tombée. Le programme cheval de Troie se comporte exactement de la même manière. Le plus triste est que ces virus ne se propagent pas spontanément, comme certaines autres menaces, mais délibérément.

Comment la menace pénètre-t-elle dans le système ?

La méthode la plus couramment utilisée pour pénétrer dans un ordinateur ou un système mobile consiste à se déguiser en une sorte de programme attrayant, voire standard, pour l'utilisateur. Dans certains cas, un virus peut intégrer ses propres codes dans des applications existantes (il s'agit le plus souvent de services système ou de programmes utilisateur).

Enfin, le code malveillant peut pénétrer dans les ordinateurs et les réseaux sous la forme d'images graphiques ou même de documents HTML, soit en pièce jointe à un courrier électronique, soit copiés à partir d'un support amovible.

Avec tout cela, si le code est intégré dans une application standard, il peut encore partiellement remplir ses fonctions ; le virus lui-même est activé au lancement du service correspondant. C'est pire lorsque le service est au démarrage et démarre avec le système.

Conséquences de l'exposition

Concernant l'impact du virus, il peut en partie provoquer des pannes du système ou une interruption de l'accès à Internet. Mais ce n’est pas son objectif principal. La tâche principale du cheval de Troie est de voler des données confidentielles afin de les utiliser par des tiers.

Vous trouverez ici les codes PIN des cartes bancaires, les identifiants avec mots de passe pour accéder à certaines ressources Internet, ainsi que les données d'enregistrement de l'État (numéros et numéros d'identification personnels, etc.), en général, tout ce qui n'est pas soumis à divulgation, selon l'avis de le propriétaire de l'ordinateur ou de l'appareil mobile (bien entendu, à condition que ces données y soient stockées).

Malheureusement, lorsque ces informations sont volées, il est impossible de prédire comment elles seront utilisées à l’avenir. D’un autre côté, vous n’avez pas à être surpris si un jour on vous appelle d’une banque et vous dit que vous avez une dette d’emprunt, ou que tout l’argent disparaîtra de votre carte bancaire. Et ce ne sont que des fleurs.

sous Windows

Passons maintenant à la chose la plus importante : comment faire cela n'est pas aussi simple que le pensent certains utilisateurs naïfs. Bien sûr, dans certains cas, il est possible de trouver et de neutraliser le corps du virus, mais comme, comme mentionné ci-dessus, il est capable de créer ses propres copies, et pas seulement une ou deux, les retrouver et les éliminer peut devenir un véritable défi. mal de tête. Dans le même temps, ni un pare-feu ni une protection antivirus standard ne seront utiles si le virus a déjà été manqué et infiltré dans le système.

Dans ce cas, il est recommandé de supprimer le cheval de Troie à l'aide d'utilitaires antivirus portables et, en cas de capture de RAM, à l'aide de programmes spéciaux chargés avant de démarrer le système d'exploitation à partir d'un support optique (disque) ou d'un périphérique USB.

Parmi les applications portables, il convient de noter des produits comme Dr. Web Cure It et outil de suppression de virus Kaspersky. Parmi les programmes de disque, Kaspersky Rescue Disc est le plus fonctionnel. Il va sans dire que leur utilisation n’est pas un dogme. Aujourd'hui, vous pouvez trouver n'importe quelle quantité de ces logiciels.

Comment supprimer un cheval de Troie d'Android

Quant aux systèmes Android, les choses ne sont pas si simples. Les applications portables n'ont pas été créées pour eux. En principe, en option, vous pouvez essayer de connecter l'appareil à un ordinateur et d'analyser la mémoire interne et externe avec un utilitaire informatique. Mais si vous regardez l’envers de la médaille, où est la garantie qu’une fois connecté, le virus ne pénétrera pas dans l’ordinateur ?

Dans une telle situation, le problème de la suppression d'un cheval de Troie d'Android peut être résolu en installant le logiciel approprié, par exemple depuis Google Market. Bien sûr, il y a tellement de choses ici que vous ne savez tout simplement pas quoi choisir exactement.

Mais la plupart des experts et spécialistes dans le domaine de la protection des données sont enclins à penser que la meilleure application est 360 Security, capable non seulement d'identifier les menaces de presque tous les types connus, mais également de fournir une protection complète pour l'appareil mobile à l'avenir. Il va sans dire qu'il restera constamment bloqué dans la RAM, créant une charge supplémentaire, mais, voyez-vous, la sécurité est encore plus importante.

À quoi d'autre vaut-il la peine de prêter attention

Nous avons donc traité du sujet « Cheval de Troie : qu'est-ce que ce type de virus ? » Par ailleurs, je voudrais attirer l'attention des utilisateurs de tous les systèmes, sans exception, sur quelques points supplémentaires. Tout d’abord, avant d’ouvrir les pièces jointes d’un e-mail, analysez-les toujours avec un antivirus. Lors de l'installation de programmes, lisez attentivement les propositions d'installation de composants supplémentaires tels que des modules complémentaires ou des panneaux de navigateur (le virus peut également y être déguisé). Ne visitez pas de sites douteux si vous voyez un avertissement antivirus. N'utilisez pas les antivirus gratuits les plus simples (il est préférable d'installer le même package Eset Smart Security et de l'activer à l'aide de clés gratuites tous les 30 jours). Enfin, stockez les mots de passe, les codes PIN, les numéros de cartes bancaires et tout le reste sous forme cryptée exclusivement sur des supports amovibles. Ce n'est que dans ce cas que vous pouvez être au moins partiellement sûr qu'ils ne seront pas volés ou, pire encore, utilisés à des fins malveillantes.

L'un des plus gros problèmes pour un internaute est le « cheval de Troie » - un virus propagé sur le réseau par des attaquants. Et même si les développeurs de logiciels antivirus modifient constamment leurs programmes pour les rendre plus fiables, le problème demeure, car les pirates informatiques ne restent pas les bras croisés non plus.

Après avoir lu cet article, vous apprendrez comment protéger votre ordinateur contre la pénétration d'un cheval de Troie, ainsi que comment supprimer ce virus s'il se retrouve sur votre appareil.

Qu'est-ce qu'un cheval de Troie ?

Le nom de ce virus est tiré d'une légende selon laquelle les Grecs fabriquaient un cheval de bois avec des guerres cachées à l'intérieur.

Cette structure fut ensuite transportée jusqu'aux portes de Troie (d'où son nom), soi-disant en signe de réconciliation. La nuit, les soldats grecs ont ouvert les portes de la ville ennemie et ont infligé une défaite écrasante à l'ennemi.

Un virus informatique fonctionne de la même manière. Un cheval de Troie est souvent déguisé par les attaquants en programme ordinaire qui, une fois téléchargé, introduit des logiciels malveillants sur votre ordinateur.

Ce virus diffère des autres en ce sens qu'il ne se reproduit pas spontanément, mais qu'il vous parvient à la suite d'une attaque de pirate informatique. Dans la plupart des cas, vous téléchargez un cheval de Troie sur votre appareil sans le savoir.

Un cheval de Troie est un virus qui peut causer beaucoup de problèmes à l'utilisateur. Lisez la suite pour découvrir quelles peuvent être les conséquences.

Signes d'infection

Si votre ordinateur a été attaqué par un cheval de Troie, vous pouvez le savoir grâce aux modifications suivantes sur votre ordinateur :

• Tout d'abord, l'appareil commencera à redémarrer sans votre commande.
• Deuxièmement, lorsqu’un cheval de Troie pénètre dans un ordinateur, les performances de l’appareil sont considérablement réduites.
• Troisièmement, le spam est envoyé depuis votre boîte de réception e-mail.
• Quatrièmement, des fenêtres inconnues s'ouvrent sur de la pornographie ou la publicité d'un produit.
• Cinquièmement, le système d'exploitation ne démarre pas et si le téléchargement réussit, une fenêtre apparaît vous demandant de transférer de l'argent sur le compte spécifié pour déverrouiller le système.

En plus de tous les problèmes ci-dessus, il en existe un autre : la perte d'argent d'un portefeuille électronique ou d'informations confidentielles. Si vous remarquez que cela vous est arrivé, après avoir supprimé le cheval de Troie, vous devez immédiatement modifier tous les mots de passe.

Cheval de Troie (virus). Comment le supprimer de votre ordinateur ?

Bien entendu, la pénétration d'un cheval de Troie peut causer des dommages importants à l'utilisateur (par exemple, financièrement), mais comme il s'agit d'un type de virus assez courant, vous pouvez vous en débarrasser à l'aide de n'importe quel antivirus populaire (Kaspersky, Avast, Avira). etc.).

Si vous pensez que votre ordinateur est attaqué par un cheval de Troie, démarrez l'appareil en mode sans échec et analysez le système avec un programme antivirus. Mettez en quarantaine tout logiciel malveillant détecté ou supprimez-le immédiatement. Après cela, ouvrez la section « Programmes et fonctionnalités » et débarrassez-vous des applications suspectes que vous n'avez pas installées.

Parfois, le programme antivirus est bloqué par un cheval de Troie. Ce virus est constamment modernisé, ce qui fait que des situations comme celle-ci se produisent. Dans ce cas, vous pouvez utiliser l'un des utilitaires spéciaux, par exemple SuperAntiSpyware ou Spyware Terminator. En général, trouvez un programme qui vous convient, puis utilisez-le pour supprimer le cheval de Troie.

Conclusion

Alors maintenant, vous savez ce qu'est un cheval de Troie. Vous pouvez supprimer vous-même le virus évoqué dans cet article s’il pénètre sur votre ordinateur.

Bien sûr, il est préférable que de tels problèmes ne vous arrivent pas, mais pour cela, vous devez installer un bon programme antivirus, mettre régulièrement à jour sa base de données, surveiller attentivement les avertissements du programme et ne pas visiter ou télécharger quoi que ce soit à partir de ressources suspectes.

Avant de décompresser une archive téléchargée, assurez-vous de l'analyser avec un antivirus. Vérifiez également les lecteurs flash - ils ne devraient contenir aucun fichier caché. N'oubliez pas : un cheval de Troie peut causer de nombreux problèmes, alors prenez toutes les mesures nécessaires pour l'identifier de manière responsable.

Programme cheval de Troie. (également - cheval de Troie, cheval de Troie, cheval de Troie) est un programme malveillant utilisé par un attaquant pour collecter des informations, les détruire ou les modifier, perturber le fonctionnement d'un ordinateur ou utiliser ses ressources à des fins inconvenantes. L'effet d'un cheval de Troie n'est peut-être pas réellement malveillant, mais les chevaux de Troie ont gagné leur notoriété grâce à leur utilisation dans l'installation de programmes tels que Backdoor. Basé sur le principe de distribution et d'action, un cheval de Troie n'est pas un virus, puisqu'il n'est pas capable de s'auto-propager.

Le cheval de Troie est lancé manuellement par l'utilisateur ou automatiquement par un programme ou une partie du système d'exploitation exécuté sur l'ordinateur victime (en tant que module ou programme utilitaire). Pour ce faire, le fichier programme (son nom, l'icône du programme) est appelé un nom de service, déguisé en un autre programme (par exemple, l'installation d'un autre programme), un fichier d'un type différent, ou simplement doté d'un nom attrayant, d'une icône, etc. Un exemple simple de cheval de Troie peut être le programme Waterfalls.scr, dont l'auteur prétend être un économiseur d'écran gratuit. Une fois lancé, il charge des programmes, des commandes et des scripts cachés avec ou sans le consentement ou la connaissance de l'utilisateur. Les chevaux de Troie sont souvent utilisés pour tromper les systèmes de sécurité, rendant le système vulnérable, permettant ainsi un accès non autorisé à l'ordinateur de l'utilisateur.

Un programme cheval de Troie peut, à un degré ou à un autre, imiter (voire même remplacer complètement) la tâche ou le fichier de données sous lequel il se présente (programme d'installation, programme d'application, jeu, document d'application, image). Un attaquant peut notamment assembler un programme existant avec des composants de cheval de Troie ajoutés à son code source, puis le faire passer pour l'original ou le remplacer.

Des fonctions malveillantes et de camouflage similaires sont également utilisées par les virus informatiques, mais contrairement à eux, les chevaux de Troie ne peuvent pas se propager par eux-mêmes. En même temps, un cheval de Troie peut être un module antivirus.

Étymologie

Le nom "Programme Troyen" vient du nom "Cheval de Troie" - un cheval de bois, selon la légende, donné par les anciens Grecs aux habitants de Troie, à l'intérieur duquel se cachaient les guerriers qui ouvrirent plus tard les portes de la ville aux conquérants. Ce nom reflète tout d'abord le secret et le caractère potentiellement insidieux des véritables intentions du développeur du programme.

Diffusion

Les chevaux de Troie sont placés par l'attaquant sur des ressources ouvertes (serveurs de fichiers, lecteurs inscriptibles de l'ordinateur lui-même), sur des supports de stockage ou envoyés via des services de messagerie (par exemple, e-mail) dans l'espoir qu'ils seront lancés sur un site spécifique. membre d’un certain cercle, ou « ordinateur cible arbitraire ».

Parfois, l'utilisation de chevaux de Troie n'est qu'une partie d'une attaque planifiée en plusieurs étapes contre certains ordinateurs, réseaux ou ressources (y compris des tiers).

Types de corps de chevaux de Troie

Les corps des programmes de chevaux de Troie sont presque toujours conçus à diverses fins malveillantes, mais peuvent également être inoffensifs. Ils sont répartis en catégories en fonction de la manière dont les chevaux de Troie s'infiltrent et nuisent à un système. Il en existe 6 types principaux :

1. accès à distance ;
2. destruction des données ;
3. chargeur de démarrage ;
4. serveur ;
5. désactivateur du programme de sécurité ;
6. Attaques DoS.

Objectifs

L'objectif du programme cheval de Troie peut être :

* téléchargement et téléchargement de fichiers ;
* copier de faux liens menant vers de faux sites Web, salons de discussion ou autres sites d'inscription ;
* interférer avec le travail de l'utilisateur (pour plaisanter ou pour atteindre d'autres objectifs) ;
* vol de données de valeur ou secrètes, y compris des informations d'authentification, pour un accès non autorisé à des ressources (y compris des systèmes tiers), la pêche de détails sur des comptes bancaires pouvant être utilisés à des fins criminelles, des informations cryptographiques (pour le cryptage et les signatures numériques) ;
* cryptage de fichiers lors d'une attaque de virus de code ;
* distribution d'autres programmes malveillants tels que des virus. Ce type de cheval de Troie s'appelle Dropper ;
* vandalisme : destruction de données (effacement ou écrasement de données sur un disque, dommages difficilement visibles sur des fichiers) et d'équipements, mise hors service ou non-service de systèmes informatiques, de réseaux, etc., y compris dans le cadre d'un botnet (un groupe organisé d'ordinateurs zombies), par exemple, pour organiser une attaque DoS sur l'ordinateur (ou le serveur) cible simultanément à partir de plusieurs ordinateurs infectés ou envoyer du spam. À cette fin, des hybrides d'un cheval de Troie et d'un ver de réseau sont parfois utilisés - des programmes capables de se propager rapidement sur les réseaux informatiques et de capturer les ordinateurs infectés dans un réseau zombie.
* collecter des adresses e-mail et les utiliser pour envoyer du spam ;
* contrôle informatique direct (permettant l'accès à distance à l'ordinateur de la victime) ;
* espionner l'utilisateur et communiquer secrètement des informations à des tiers, comme, par exemple, ses habitudes de visite sur le site Web ;
* enregistrement des frappes au clavier (Keylogger) dans le but de voler des informations telles que des mots de passe et des numéros de carte de crédit ;
* obtenir un accès non autorisé (et/ou gratuit) aux ressources de l'ordinateur lui-même ou à des ressources de tiers accessibles via celui-ci ;
* Installation de porte dérobée ;
* utiliser un modem téléphonique pour passer des appels coûteux, ce qui entraîne des factures de téléphone importantes ;
* désactiver ou interférer avec le fonctionnement des programmes antivirus et des pare-feu.

Symptômes d'une infection par un cheval de Troie

* apparition de nouvelles applications dans le registre de démarrage ;
* afficher de faux téléchargements de programmes vidéo, de jeux, de vidéos pornographiques et de sites pornographiques que vous n'avez pas téléchargés ou visités ;
* prendre des captures d'écran ;
* ouvrir et fermer la console CD-ROM ;
* jouer des sons et/ou des images, démontrer des photographies ;
* redémarrer l'ordinateur pendant le démarrage d'un programme infecté ;
* arrêt aléatoire et/ou aléatoire de l'ordinateur.

Méthodes de suppression

Étant donné que les chevaux de Troie se présentent sous de nombreux types et formes, il n’existe pas de méthode unique pour les supprimer. La solution la plus simple consiste à nettoyer le dossier Temporary Internet Files ou à rechercher le fichier malveillant et à le supprimer manuellement (le mode sans échec est recommandé). En principe, les programmes antivirus sont capables de détecter et de supprimer automatiquement les chevaux de Troie. Si l'antivirus ne parvient pas à trouver le cheval de Troie, le téléchargement du système d'exploitation à partir d'une autre source peut permettre au programme antivirus de détecter le cheval de Troie et de le supprimer. Il est extrêmement important de mettre régulièrement à jour la base de données antivirus pour garantir une plus grande précision de détection.

Déguisement

De nombreux chevaux de Troie peuvent se trouver sur l'ordinateur d'un utilisateur à son insu. Parfois, les chevaux de Troie sont enregistrés dans le registre, ce qui entraîne leur lancement automatique au démarrage de Windows. Les chevaux de Troie peuvent également être combinés avec des fichiers légitimes. Lorsqu'un utilisateur ouvre un tel fichier ou lance une application, le cheval de Troie est également lancé.

Comment fonctionne le cheval de Troie

Les chevaux de Troie se composent généralement de deux parties : client et serveur. Le serveur s'exécute sur la machine victime et surveille les connexions du client utilisé par la partie attaquante. Lorsque le serveur est en cours d'exécution, il surveille un ou plusieurs ports pour une connexion à partir d'un client. Pour qu'un attaquant se connecte au Serveur, il doit connaître l'adresse IP de la machine sur laquelle le Serveur s'exécute. Certains chevaux de Troie envoient l'adresse IP de la machine victime à l'attaquant par courrier électronique ou par d'autres moyens. Dès qu'une connexion est établie avec le Serveur, le Client peut lui envoyer des commandes que le Serveur exécutera sur la machine victime. Actuellement, grâce à la technologie NAT, il est impossible d'accéder à la plupart des ordinateurs via leur adresse IP externe. Et désormais, de nombreux chevaux de Troie se connectent à l'ordinateur de l'attaquant, qui est configuré pour accepter les connexions, au lieu que l'attaquant lui-même tente de se connecter à la victime. De nombreux chevaux de Troie modernes peuvent également facilement contourner les pare-feu sur l’ordinateur de la victime.

Cet article est sous licence

Certaines catégories de chevaux de Troie causent des dommages aux ordinateurs et réseaux distants sans perturber le fonctionnement de l'ordinateur infecté (par exemple, les chevaux de Troie conçus pour les attaques DoS distribuées sur les ressources réseau distantes). Les chevaux de Troie se distinguent par l'absence de mécanisme permettant de créer leurs propres copies.

Certains chevaux de Troie sont capables de contourner de manière autonome la protection d'un système informatique afin de pénétrer et d'infecter le système. En général, un cheval de Troie pénètre dans un système avec un virus ou un ver, à la suite d'actions imprudentes d'un utilisateur ou d'actions actives d'un attaquant.

La plupart des chevaux de Troie sont conçus pour collecter des informations confidentielles. Leur tâche consiste le plus souvent à effectuer des actions permettant d'accéder à des données qui ne font pas l'objet d'une large publicité. Ces données incluent les mots de passe des utilisateurs, les numéros d'enregistrement du programme, les informations de compte bancaire, etc. D'autres chevaux de Troie sont créés pour causer des dommages directs à un système informatique, le rendant inutilisable.

Types de chevaux de Troie

Les types de chevaux de Troie les plus courants sont :

• Enregistreurs de frappe (cheval de Troie-SPY)- Les chevaux de Troie qui sont en mémoire en permanence et enregistrent toutes les données provenant du clavier dans le but de transmettre ultérieurement ces données à un attaquant. C'est généralement ainsi qu'un attaquant tente de découvrir des mots de passe ou d'autres informations confidentielles.
• Voleurs de mots de passe (cheval de Troie-PSW)- Les chevaux de Troie, également conçus pour obtenir des mots de passe, mais n'utilisent pas le traçage du clavier. Généralement, ces chevaux de Troie implémentent des méthodes pour extraire les mots de passe des fichiers dans lesquels ces mots de passe sont stockés par diverses applications.
• Utilitaires de contrôle à distance (Backdoor)- Chevaux de Troie qui permettent un contrôle complet à distance de l'ordinateur de l'utilisateur. Il existe des utilitaires légitimes avec les mêmes propriétés, mais ils diffèrent en ce sens qu'ils indiquent leur objectif lors de l'installation ou qu'ils sont fournis avec une documentation décrivant leurs fonctions. Au contraire, les utilitaires de contrôle à distance des chevaux de Troie ne révèlent en aucune façon leur véritable objectif, de sorte que l'utilisateur ne soupçonne même pas que son ordinateur est sous le contrôle d'un attaquant. L'utilitaire de contrôle à distance le plus populaire est Back Orifice
• Serveurs SMTP anonymes et proxys (Trojan-Proxy)- Les chevaux de Troie qui remplissent les fonctions de serveurs de messagerie ou de proxy et sont utilisés dans le premier cas pour les envois de spam, et dans le second pour brouiller les traces des pirates.
• Modificateurs des paramètres du navigateur (Trojan-Cliker)- Chevaux de Troie qui modifient la page de démarrage du navigateur, la page de recherche ou d'autres paramètres pour organiser un accès non autorisé aux ressources Internet
• Installateurs d'autres programmes malveillants (Trojan-Dropper)- Chevaux de Troie qui permettent à un attaquant d'installer secrètement d'autres programmes
• Téléchargeur de chevaux de Troie- Chevaux de Troie conçus pour télécharger de nouvelles versions de logiciels malveillants ou de systèmes publicitaires sur l'ordinateur de la victime
• Notifications d'attaque réussie (Trojan-Notifier)- Les chevaux de Troie de ce type sont conçus pour informer leur « maître » d'un ordinateur infecté
• "Bombes" dans les archives (ARCBomb)- Les chevaux de Troie, qui sont des archives spécialement conçues de manière à provoquer un comportement anormal des archiveurs lorsqu'ils tentent de désarchiver des données - gelant ou ralentissant considérablement l'ordinateur, remplissant le disque d'une grande quantité de données « vides »
• Bombes logiques- souvent pas tant des chevaux de Troie que des composants de chevaux de Troie de vers et de virus, dont l'essence est d'effectuer une certaine action dans certaines conditions (date, heure, actions de l'utilisateur, commande externe) : par exemple, destruction de données
• Utilitaires de numérotation- un type relativement nouveau de chevaux de Troie, qui sont des utilitaires permettant d'accéder à Internet par ligne commutée via des services de messagerie payants. Ces chevaux de Troie sont enregistrés dans le système en tant qu'utilitaires de numérotation par défaut et entraînent des factures importantes pour l'utilisation d'Internet.

Comment fonctionnent les chevaux de Troie

Tous les chevaux de Troie comportent deux parties : le client et le serveur. Le client contrôle la partie serveur du programme à l'aide du protocole TCP/IP. Le client peut avoir une interface graphique et contenir un ensemble de commandes pour l'administration à distance.

La partie serveur du programme est installée sur l’ordinateur de la victime et ne contient pas d’interface graphique. La partie serveur est conçue pour traiter (exécuter) les commandes de la partie client et transférer les données demandées à l'attaquant. Après avoir pénétré dans le système et pris le contrôle, la partie serveur du cheval de Troie écoute un port spécifique, vérifie périodiquement la connexion à Internet et si la connexion est active, elle attend les commandes de la partie client. L’attaquant, à l’aide du client, envoie une requête ping à un port spécifique de l’hôte infecté (l’ordinateur de la victime). Si la partie serveur a été installée, elle répondra par une confirmation au ping qu'elle est prête à fonctionner, et après confirmation, la partie serveur indiquera au pirate informatique l'adresse IP de l'ordinateur et son nom de réseau, après quoi la connexion est considéré comme établi. Dès qu'une connexion est établie avec le Serveur, le Client peut lui envoyer des commandes que le Serveur exécutera sur la machine victime. En outre, de nombreux chevaux de Troie se connectent à l'ordinateur de l'attaquant, configuré pour accepter les connexions, au lieu que l'attaquant lui-même tente de se connecter à la victime.

Chevaux de Troie connus

2019

Environ 90 % des tentatives d'infection par les chevaux de Troie bancaires Buhtrap et RTM ont eu lieu en Russie.

Ce cheval de Troie n'a pas encore été détecté par les logiciels antivirus d'aucun fournisseur de logiciels de sécurité. Il a été distribué via une série d'exploits basés sur des séquences de commandes du centre de commande, y compris la huitième vulnérabilité la plus exploitée : l'injection de commandes dans les en-têtes HTTP. Les chercheurs de Check Point considèrent Speakup comme une menace sérieuse car il peut être utilisé pour télécharger et distribuer n'importe quel malware.

En janvier, les quatre premières places du classement des malwares les plus actifs étaient occupées par les cryptomineurs. Coinhive reste le principal malware, attaquant 12 % des organisations dans le monde. XMRig était à nouveau le deuxième malware le plus courant (8 %), suivi du cryptominer Cryptoloot (6 %). Même si le rapport de janvier présentait quatre cryptomineurs, la moitié de toutes les formes malveillantes figurant dans le top dix pourraient être utilisées pour télécharger des logiciels malveillants supplémentaires sur des machines infectées.

En janvier, nous avons constaté un léger changement dans les formes de logiciels malveillants ciblant les organisations du monde entier, mais nous trouvons d'autres moyens de propagation des logiciels malveillants. De telles menaces constituent un avertissement sérieux quant aux menaces à venir. Les portes dérobées comme Speakup peuvent échapper à la détection et ensuite propager des logiciels malveillants potentiellement dangereux aux machines infectées. Étant donné que Linux est largement utilisé sur les serveurs d’entreprise, nous nous attendons à ce que Speakup devienne une menace pour de nombreuses entreprises, dont la portée et la gravité augmenteront tout au long de l’année. De plus, pour le deuxième mois consécutif, BadRabbit figurait parmi les trois logiciels malveillants les plus actifs en Russie. Les attaquants exploitent donc toutes les vulnérabilités possibles pour réaliser des profits.

Le malware le plus actif de janvier 2019 :

(Les flèches montrent le changement de position par rapport au mois précédent.)

• ↔ Coinhive (12%) - un cryptomineur conçu pour le minage en ligne de la crypto-monnaie Monero à l'insu de l'utilisateur lorsqu'il visite une page Web. JavaScript intégré utilise une grande quantité de ressources informatiques sur les ordinateurs des utilisateurs finaux pour l'exploitation minière et peut provoquer des pannes du système.
• ↔ XMRig (8%) - Logiciel open source découvert pour la première fois en mai 2017. Utilisé pour extraire la crypto-monnaie Monero.
• Cryptoloot (6%) - un cryptomineur qui utilise la puissance du processeur ou de la carte vidéo de la victime et d'autres ressources pour extraire de la cryptomonnaie, le malware ajoute des transactions à la blockchain et émet une nouvelle devise.

HeroRat est un cheval de Troie RAT (Remote Administration Tool) pour la gestion à distance des appareils compromis. Les auteurs le proposent à la location selon le modèle Malware-as-a-Service (malware as a service). Trois configurations sont disponibles (bronze, argent et or), qui diffèrent par l'ensemble des fonctions et le prix - respectivement 25 $, 50 $ et 100 $. Le code source du malware se vend 650 $. Un canal d'assistance technique vidéo est fourni.

HeroRat recherche des victimes via les magasins d'applications Android non officiels, les réseaux sociaux et les messageries instantanées. Les attaquants déguisent les chevaux de Troie en applications promettant des bitcoins en cadeau, un accès Internet mobile gratuit ou une augmentation du nombre d'abonnés sur les réseaux sociaux. Cependant, cette menace n'a pas été détectée sur Google Play. La plupart des infections ont été enregistrées en Iran.

Lorsque l'utilisateur installe et exécute l'application malveillante, une fenêtre contextuelle apparaît à l'écran. Il vous informe que le programme ne peut pas s'exécuter sur l'appareil et sera supprimé. Des échantillons contenant des messages en anglais et en persan (en fonction des paramètres linguistiques) ont été observés dans Eset. Après la « désinstallation », l'icône de l'application disparaîtra et le cheval de Troie continuera à fonctionner à l'abri des regards de l'utilisateur.

Les opérateurs HeroRat contrôlent les appareils infectés via Telegram à l'aide d'un bot. Le cheval de Troie vous permet d'intercepter et d'envoyer des messages, de voler des contacts, de passer des appels, d'enregistrer de l'audio, de prendre des captures d'écran, de déterminer l'emplacement de l'appareil et de modifier les paramètres. Pour contrôler les fonctions, des boutons interactifs sont fournis dans l'interface du bot Telegram - l'utilisateur reçoit un ensemble d'outils conformément à la configuration sélectionnée.

La transmission de commandes et le vol de données depuis des appareils infectés sont mis en œuvre dans le cadre du protocole Telegram - cette mesure permet de contrecarrer la détection du cheval de Troie.

Les produits antivirus Eset détectent les menaces comme Android/Spy.Agent.AMS et Android/Agent.AQO.

Rapport de renseignements sur la sécurité Microsoft

Comment distinguer les fausses applications des véritables

1. Les applications officielles seront distribuées uniquement via Google Play ; Les liens de téléchargement sont publiés sur les sites Internet des banques elles-mêmes. Si les applications sont hébergées ailleurs, elles sont probablement fausses.
2. Une attention particulière doit être portée aux noms de domaine à partir desquels il vous est proposé de télécharger l'application. Les attaquants utilisent souvent des domaines dont les noms sont similaires aux noms officiels, mais diffèrent d'un ou deux caractères, ou utilisent des domaines de deuxième niveau et inférieur.
3. Les smartphones sont équipés de mesures de protection contre les menaces les plus courantes, et si un smartphone affiche un message indiquant qu'une application particulière est dangereuse, vous ne devez jamais l'installer. Si vous découvrez de fausses applications bancaires, il est fortement recommandé d’en avertir les services de sécurité bancaires. En faisant cela, les utilisateurs s’épargneront, ainsi qu’aux autres, bien des ennuis.
4. Si vous remarquez quelque chose de suspect sur le site à partir duquel il vous est proposé de télécharger l'application, signalez-le immédiatement au service de sécurité de la banque ou au groupe officiel de la banque sur les réseaux sociaux, sans oublier de joindre une capture d'écran.

Un cheval de Troie ransomware a paralysé le travail d'une ville entière aux États-Unis

Le comté de Licking, dans l'Ohio, a été contraint de fermer ses serveurs et ses systèmes téléphoniques en février pour arrêter la propagation d'un cheval de Troie ransomware.

On a appris qu'aux États-Unis, plus d'un millier d'ordinateurs appartenant aux réseaux de l'administration d'un des districts américains avaient été infectés. Tous les systèmes ont été arrêtés pour bloquer la propagation du logiciel malveillant, empêcher la perte de données et préserver les preuves pour l'enquête.

Tous les établissements d'accueil et administratifs sont ouverts, mais travailler avec eux n'est possible que moyennant une visite personnelle.

Les responsables de l'administration ne divulguent pas le montant de la rançon requise ; ils refusent également de commenter la probabilité de paiement. Selon le commissaire du comté de Licking, Tim Bubb, des consultations sont en cours avec des experts en cybersécurité et les forces de l'ordre.

Mode manuel

La coupure des lignes téléphoniques et des communications réseau signifie que tous les services du comté qui dépendent des technologies de l'information sont passés en « mode manuel ». Cela s'applique même au centre d'aide 911 : les téléphones et les radios des sauveteurs fonctionnent, mais il n'y a pas d'accès aux ordinateurs. Au moins les appels de la police, des pompiers et des ambulances sont toujours acceptés, mais comme l'a dit le directeur du centre de secours, Sean Grady, le service a reculé d'un quart de siècle en termes de vitesse de traitement des appels.

Et priver le collège de la possibilité de retrouver l’accès aux données.

Il est immédiatement devenu évident qu'il était impossible de restaurer les données à partir de copies de sauvegarde. Après une rencontre avec les experts en sécurité concernés, la direction du Collège est arrivée à la conclusion qu'elle n'avait d'autre choix que de payer le montant requis.

28 000 dollars constituent la rançon la plus importante, dont les informations sont entrées dans l'espace public. Selon certains rapports, des paiements plus importants seraient également effectués, mais les victimes - généralement des paiements importants - préfèrent ne pas en faire la publicité. En 2016, le « tarif » moyen des cyberextorseurs était de 679 dollars, contre 294 dollars un an plus tôt.

Cette multiplication par deux semble être due à un nombre accru d’incidents ayant donné lieu au paiement de rançons, et pour des montants nettement supérieurs au « taux moyen ». En février 2016, le Hollywood Presbyterian Medical Center a payé une rançon de 17 000 $ à la suite d’une attaque de ransomware.

Il s'agit d'un très mauvais précédent lorsqu'une structure officielle suit l'exemple des criminels, paie une rançon et, en outre, en rend compte publiquement. Désormais, les taux vont continuer à augmenter, déclare Dmitry Gvozdev, PDG de la société Security Monitor. - si les organisations sont prêtes à payer des sommes à cinq chiffres, alors les exigences augmenteront également. Le seul moyen efficace de lutter contre les ransomwares est une sauvegarde régulière « à froid » des données, une configuration appropriée de l'accès à celles-ci pendant le travail et une coopération étroite avec les forces de l'ordre.

Parfois, sous couvert d'un logiciel (logiciel) légitime, un programme malveillant pénètre dans votre ordinateur. Quelles que soient les actions de l'utilisateur, il se propage de manière indépendante, infectant le système vulnérable. Un cheval de Troie est dangereux car le virus détruit non seulement les informations et perturbe le fonctionnement de l'ordinateur, mais transfère également des ressources à l'attaquant.

Qu'est-ce qu'un cheval de Troie

Comme le sait la mythologie grecque antique, les guerriers se cachaient dans un cheval de bois offert en cadeau aux habitants de Troie. Ils ouvraient les portes de la ville la nuit et laissaient entrer leurs camarades. Après cela, la ville tomba. L'utilitaire malveillant doit son nom au cheval de bois qui a détruit Troie. Qu'est-ce qu'un virus cheval de Troie ? Un programme portant ce terme a été créé par des personnes pour modifier et détruire les informations situées sur un ordinateur, ainsi que pour utiliser les ressources d'autrui à des fins d'attaquant.

Contrairement aux autres vers qui se propagent d’eux-mêmes, il est introduit par l’homme. À la base, un cheval de Troie n’est pas un virus. Son effet peut ne pas être nocif. Un pirate informatique souhaite souvent s'introduire dans l'ordinateur de quelqu'un d'autre simplement pour obtenir les informations nécessaires. Les chevaux de Troie ont acquis une mauvaise réputation en raison de leur utilisation dans les installations de logiciels visant à être réintroduits dans le système.

Caractéristiques des chevaux de Troie

Un virus cheval de Troie est un type de logiciel espion. La principale caractéristique des chevaux de Troie est la collecte déguisée d'informations confidentielles et leur transfert à un tiers. Cela inclut les détails de la carte bancaire, les mots de passe des systèmes de paiement, les données du passeport et d'autres informations. Le virus cheval de Troie ne se propage pas sur le réseau, ne détruit pas les données et ne provoque pas de panne matérielle mortelle. L'algorithme de cet utilitaire antivirus ne ressemble pas aux actions d'un voyou de rue qui détruit tout sur son passage. Un cheval de Troie est un saboteur en embuscade, attendant dans les coulisses.

Types de chevaux de Troie

Le cheval de Troie se compose de 2 parties : le serveur et le client. L'échange de données entre eux s'effectue via le protocole TCP/IP en utilisant n'importe quel port. La partie serveur est installée sur le PC de travail de la victime, qui fonctionne inaperçu, tandis que la partie client est conservée par le propriétaire ou le client de l’utilitaire malveillant. Pour se déguiser, les chevaux de Troie ont des noms similaires à ceux du bureau, et leurs extensions coïncident avec les plus populaires : DOC, GIF, RAR et autres. Les types de chevaux de Troie sont divisés en fonction du type d'actions effectuées sur le système informatique :

1. Trojan-Téléchargeur. Un téléchargeur qui installe de nouvelles versions d’utilitaires dangereux, y compris des logiciels publicitaires, sur le PC de la victime.
2. Cheval de Troie Dropper. Désactivateur de programme de sécurité. Utilisé par les pirates pour bloquer la détection de virus.
3. Cheval de Troie-Rançon. Attaque sur PC pour perturber les performances. L'utilisateur ne peut pas travailler à distance sans payer la somme d'argent requise à l'attaquant.
4. Exploiter. Contient du code pouvant exploiter une vulnérabilité logicielle sur un ordinateur distant ou local.
5. Porte arrière. Permet aux fraudeurs de contrôler à distance un système informatique infecté, notamment en téléchargeant, en ouvrant, en envoyant, en modifiant des fichiers, en diffusant des informations incorrectes, en enregistrant les frappes au clavier et en redémarrant. Utilisé pour PC, tablette, smartphone.
6. Rootkit. Conçu pour masquer les actions ou les objets nécessaires dans le système. L'objectif principal est d'augmenter la durée du travail non autorisé.

Quelles actions malveillantes les chevaux de Troie effectuent-ils ?

Les chevaux de Troie sont des monstres de réseau. L'infection se produit à l'aide d'un lecteur flash ou d'un autre appareil informatique. Les principales actions malveillantes des chevaux de Troie sont la pénétration dans le PC du propriétaire, le téléchargement de ses données personnelles sur son ordinateur, la copie de fichiers, le vol d'informations précieuses et la surveillance des actions sur une ressource ouverte. Les informations obtenues ne sont pas utilisées en faveur de la victime. Le type d’action le plus dangereux est le contrôle total du système informatique de quelqu’un d’autre avec pour fonction d’administrer un PC infecté. Les fraudeurs effectuent discrètement certaines opérations pour le compte de la victime.

Comment trouver un cheval de Troie sur un ordinateur

Les chevaux de Troie et la protection contre eux sont déterminés en fonction de la classe du virus. Vous pouvez rechercher des chevaux de Troie à l'aide d'un logiciel antivirus. Pour ce faire, vous devez télécharger l'une des applications telles que Kaspersky Virus ou Dr. sur votre disque dur. La toile. Cependant, n'oubliez pas que le téléchargement d'un programme antivirus ne permettra pas toujours de détecter et de supprimer tous les chevaux de Troie, car le corps d'un utilitaire malveillant peut créer de nombreuses copies. Si les produits décrits ne font pas face à la tâche, recherchez manuellement dans le registre de votre PC des répertoires tels que runonce, run, windows, soft pour rechercher les fichiers infectés.

Supprimer le cheval de Troie

Si votre PC est infecté, il doit être traité immédiatement. Comment supprimer un cheval de Troie ? Utilisez l’antivirus Kaspersky gratuit, Spyware Terminator, Malwarebytes ou le logiciel payant Trojan Remover. Ces produits seront analysés, les résultats seront affichés et les virus trouvés seront supprimés. Si de nouvelles applications réapparaissent, si des téléchargements de vidéos s'affichent ou si des captures d'écran sont prises, cela signifie que la suppression des chevaux de Troie a échoué. Dans ce cas, vous devriez essayer de télécharger un utilitaire pour analyser rapidement les fichiers infectés à partir d'une source alternative, par exemple CureIt.