Savoir si votre ordinateur est un PC zombie

bot-tcpview

Hier un ami m’a dit: « Ahmed, j’ai lu dernièrement votre article sur comment injecter une backdoor avec une clé USB et j’ai lu aussi l’article Zeus, Roi des botnets et je me demandais  si on peut reconnaître  un pc zombie qui fait parti du réseau botnet d’un pirate,  sachant que je suis sur windows. »

Pour répondre a cette question, j’ai décidé de partager avec vous une méthode très efficace pour être au courant de tout ce qui se passe sur votre ordinateur.

En fait lorsqu’un PC est infecté par un malware ou un spyware, il héberge un programme qui scrute le disque interne;  soit pour aspirer vos contacts pour les envoyer à des bases de spams ; soit pour réaliser un relai avec d’autres machines infectées pour constituer une base de zombies.

Dans les deux cas, il ya certains signes qui ne devraient pas être négligés comme :

  • Le ventilateur démarre à pleine vitesse lorsque l’ordinateur est inactif.
  • L’ordinateur prend beaucoup de temps pour arrêter.
  • Vos Amis reçoivent des courriels avec votre adresse mail que vous n’avez pas envoyé.
  • L’accès à Internet est très lent.
  • Ouverture des pop-ups des publicités, même lorsque votre navigateur web est fermé.

Comment detecter une backdoor sur son pc

Remarque: Cette méthode que je vous montre ne remplace surtout pas les méthodes de protection habituelles telles que les Anti-virus.

Pour commencer, nous allons utiliser un logiciel gratuit qui va nous être très utile, il s’agit de TCPView.

TCPView surveille l’activité du site TCP/IP de votre système. Contrairement aux outils de surveillance TCP/IP qui sont fournis avec Windows, TCPView montre quel procédé est associé avec chaque adresse TCP/IP.

Téléchargez cet outil puis décompressez le.

Aucune installation n’est nécessaire, cliquez sur le fichier Tcpview.exe et la fenêtre du programme s’ouvre. TCPView affiche en toutes les secondes les échanges réseau entre votre PC et le monde extérieur.

L’avantage de TCPView par rapport à la commande netstat est qu’il permet de clore une connexion sans avoir à fermer le processus correspondant.

Dans le cas d’un PC infecté, l’adresse distante est « exotique ».
Exemple :
Dans la capture ci-dessous, vous pouvez voir clairement toutes les connexions ouvertes sur mon pc :

Tcpview Savoir si votre ordinateur est un PC zombie

Vous remarquez sur l’image qu’il y a un client Telnet connecté sur mon ordinateur et aussi une backdoor Netcat.
TCPView pourra bloquer d’un clic cette backdoor et identifier l’emplacement de ce programme qui l’utilise pour s’en débarrasser.
Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

Recherches qui ont permis de trouver cet article:

pc zombie, ordinateur zombie, tout sur le zombie informatique, comment reparer une machine zombie, mon ordi est un zombie, détecter un pc zombie, test dintrusion, comment savoir si mon ordinateur a été hacket, comment detecter un hacker sur son pc, apprendre sécurité informatique

You can skip to the end and leave a response. Pinging is currently not allowed.
  • http://twitter.com/nawras_univers nawras_univers

    Et comment avez-vous su qu’il s’agit d’une backdoor ??

    Mon blog : http://inf0mag.blogspot.com

    • http://www.funinformatique.com/ Ahmed

      Tout simplement parce que les backdoors ont besoin d’ouvrir une ou des portes pour se mettre à l’écoute. C’est par cette activité qu’on peut, les repérer, surtout si les ports ouverts sont inhabituels ou n’ont aucune raison d’être ouverts à a ce moment, comme l’exemple du backdoor netcat qui est a l’écoute sur le port 8888 !!

      • Charles

        L’explication est vraiment très basic, et quel est le port local qui est supposé apparaître. Dans le process , comment faire pour savoir si on est piraté.

  • catrock

    pouvez vous nous dire les ports normaux du’tilisation dans le système?

  • kapuss

    savez vous si ce genre d’intrusion est courant sur ubuntu ?

    • http://www.funinformatique.com/ Ahmed

      Ubuntu est une distribution Linux.
      Linux est tout comme Windows ou MacOS X contient des vulnérabilités qui peuvent être exploitées par des hackers. Linux est donc également sensible à ce genre d’intrusion, tout comme Windows.

  • obiwank

    c’est vieux comme article ça ! pq le redater du 15/03/14 !!!

    • http://www.funinformatique.com/ Ahmed

      Afin que les nouveaux visiteurs et abonnés du blog en profite !

  • Dat_Modo

    Ok mais comment reconnaître les noms « exotiques » ?
    Parce que dans ce cas je n’aurai pas deviné que telnet et nc était malveillant :/
    Pourquoi isass.exe ne le serai pas ?
    Bref, faut connaître quoi.