p Les trojans

JE RAPELLE QUE CES IN FORMATION SUR LES VIRUS ET LE HAKE NE SONT QU'A TITRE INFORMATIFS ET SEULEMENT POUR MIEU CONNAITRE LES TECNHIQUES DES PROFESSIONELLES QUI PEUVENT VOUS FAOUTRE EN L4AIR VOTRE ORDI. POUR BIEN SE DEFENDRE IL FAUT AVOIR QUELQUES CONNAISSANCES SUR CELA. MAIS NE FAITES JAMAIS CA !!!!!

Ce sont des programmes vous permettant de vous introduire dans le PC de quelqu'un. Ils ce composé de 2 parties peut être 3 (mais c'est rare). Ces parties sont composé d'un le serveur que la victime aura exécuté sur son PC et le client que vous aurez sur votre PC qui vous servira a faire toute les manipulations sur le PC de la victime.
Comment faire marcher tout ça ?
Grosso modo il faut que la victime possède sur son ordinateur le troyen (la partie serveur du trojan) quelle aura exécuter sinon rien ne marchera. Pour savoir si elle possède bien le trojan exécuter sur son PC, il faut scanner ses ports pour ça il vous faudra télécharger un bon scanner de ports tel que SuperScan (voir la configuration plus loin). Une fois le Scan effectué le scanneur t'indiquera les ports ouverts et (bien retenir les numéro de port ouvert) donc vulnérables et la il faudra lancer la partie client du trojan qui vous permettra de manipuler l'ordinateur de la victime.
Comment configurer la partie client de trojan ?
Avec le Scan que vous avez fait rentre le numéro de port ouvert dans la case port, marque l'IP de la victime dans la case IP et enfin cliqué sur connexion.
Et voila vous vous trouvé sur le PC de votre victime, ne faite pas n'importe coi !!!
Bon on veut s'introduire dans le ordinateur de quelqu'un hein? Eh bien vas pas chercher plus loin tout est là! Alors plusieurs techniques existent, je vais en exposer ici quelques unes..
Avant tout il vous faudra avoir un trojan avec toute ces partie, l'adresse IP de la victime et le numéro de son port ouvert (ex :668, 276,1586...).

SuperScan 3.0
est le meilleur scanner de port...

Il vous permettra de trouver facilement des IP infecté par des troyens.
Pour ce faire vous pouvez le télécharger : allez sur goole at taper télécharger superscan
Voici comment l'utiliser de façon optimale :

Lancez SuperScan...
On va commencer par configurer le scanner...
Pour cela :

1) Cliquez sur "ME".
Le scanner prendra votre IP comme IP de base.
2) Dans la zone nommé "IP" vous verrez apparaître votre IP dans les 2 cases "START" et "STOP"
3) Cliquer ensuite sur "1..254" pour sélectionner un ensemble d'IP a scanner. Les 2 adresses IP dans les cases "START" et "STOP" on changé... Ok ??
4) Cocher (si ce n'est pas déjà fait) les 2 cases "IGNORE IP 0" et "IGNORE IP 255"
5) Laissez la zone "TIMEOUT" comme elle est...
6) Dans la zone "SCAN TYPE" cocher "ALL SELECTED PORT IN LIST"
Nous allons maintenant configurer cette liste...
7) Pour cela Cliquez sur "PORT LIST SETUP"
8) A moins de posséder chez vous tous les troyens du monde cliquez sur le bouton "CLEAR ALL"
9) Maintenant sélectionnez dans la liste les troyens qui vous intéressent, c'est à dire ceux que vous avez à disposition quoi...
Un petit signe vert apparaît en face de chaque troyen sélectionné...
10) Si des troyens ne sont pas dans la liste, vous pouvez en rajouter:
Pour cela allez dans la zone "CHANGE/ADD/DELETE PORT INFO"
Dans mon exemple, je veux rajouter le troyen OPWIN
Pour cela j'entre le numéro du port de ce troyen dans la case "PORT" puis j'entre son nom dans la case "DESCRIPTION". Le reste on s'en fout.
11) Ensuite cliquez sur "ADD" pour l'ajouter a la liste.
12) Maintenant cliquez sur "OK", enregistrez votre nouvelle liste et refaite "OK"
Voila, maintenant votre liste de port est configuré
13 Cliquer sur "START" pour lancer le scanner.
Attendez quelques minutes que le scan se termine.
14) Maintenant pour voir les résultats de votre recherche cliqué sur "PRUNE" puis sur "EXPAND ALL".
15) Vous aurez alors dans la fenêtre bleue toutes les IP infectées avec le nom du troyen par lequel elles sont infectés, ainsi que le port. (Sur les capture d'écran les IP sont cachés ou changés pour des raisons de sécurité. Remplacé par "A.I")
Ensuite il vous reste plus qu'a lancez les "Client" de vos troyens, d'entrer l'IP et le port et de vous connectez a l'ordinateur de votre victime.
16) Pour faire de nouvelle recherche, cliquez sur "PVC" ou sur "NEC".
Voila, cette technique reste très efficace, malgré qu'elle soit plutôt longue et hasardeuse, car ne vous attendez pas a trouver des milliers d'IP infectées...
Voila, bon scan ;)

1. Modifier la signature antivirus du trojan

Tout d'abord, Qu est ce une signature ???
Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus.
A quoi peut servir de connaitre ces signatures ?
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.
------------------------------
Vous aurez besoin de :
-AVPOFFSET ICI
-Kaspersky (installer sur votre ordinateur) ICI
-Hexiwin (www.telecharger.com), ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...)
------------------------------
Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:Program FilesKaspersky LabKaspersky Anti-Virus LiteBASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :
" AVPOFFSET SERVER.EXE "
Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:
SERVER.EXE infected: backdoor xxxxxx
Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)
Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)
Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN.
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.
Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)
Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices
Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.
------------------------------
Étudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :
8D45F8
Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)
Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...;)



2. Appliquer un binder ou un packer

Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier executable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient: les binders sont eux memes detectés par les antivirus. En effet un binder ajouite du code entre les deux EXE afin que ceux ci soient lancés simultenément, et comporte également une signature. M ême si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L'idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet. Peut être que j'en ajouterai dans la rubrique des téléchargements à vos demandes. Donc pour utiliser en général un binder, il faut le rendre également indétécté avoir la méthode du paragraphe suivant, et s'assurer également que les fichiers à l'intérieur du binder soient aussi indétéctés. Cela donnera des résultats remarquables.

Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L'avantage du packer est qu'il modifie très probablement la signature du trojan, mais ce n'est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature.

Le principe général d'un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que la code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplacent ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères corresponda à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d'origine peut ainsi être remplacé par un code similaire plus court s'il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande