Dernière mise à jour : 23 septembre 2023
Un jour, un lecteur de notre site m’a écrit : « Ahmed, j’ai récemment lu ton article sur la manière de contrôler un PC à distance avec une clé USB. Du coup, je me demandais si on peut identifier un PC zombie faisant partie d’un réseau botnet d’un pirate, étant donné que j’utilise Windows. »
Afin de répondre à cette question, j’ai choisi de vous présenter une méthode efficace pour surveiller l’activité de votre ordinateur.
En réalité, lorsqu’un PC est infecté, il abrite un programme qui scrute le disque dur. En effet, celui-ci peut soit voler vos contacts afin de les envoyer à des bases de données pour spam, soit établir une liaison avec d’autres machines infectées dans le but de créer un réseau de zombies.
Dans tous les cas, certains symptômes ne devraient pas être ignorés, tels que :
- Le démarrage du ventilateur à pleine vitesse alors que l’ordinateur est en veille.
- Un temps de fermeture de l’ordinateur anormalement long.
- Des amis qui reçoivent des e-mails de votre part, que vous n’avez jamais envoyés.
- Une connexion Internet particulièrement lente.
- L’apparition intempestive de pop-ups publicitaires, y compris lorsque votre navigateur est fermé.
Comment repérer une intrusion cachée sur votre ordinateur
Étape 1 : Utilisation de TCPView
Nous allons commencer par utiliser un outil gratuit nommé TCPView.
En effet, cet outil permet de surveiller l’activité du protocole TCP/IP sur votre ordinateur. Contrairement aux outils intégrés à Windows, TCPView vous indique précisément quel processus est associé à chaque connexion TCP/IP.
Voici comment l’utiliser:
- Tout d’abord, téléchargez TCPView et décompressez-le.
- Aucune installation n’est nécessaire. Il suffit de double-cliquer sur le fichier « Tcpview.exe » pour lancer l’application.
- Une fois ouvert, TCPView met à jour toutes les secondes pour vous montrer les échanges réseau entre votre PC et les autres appareils ou sites sur Internet.
L’un des avantages de TCPView par rapport à la commande netstat
est sa capacité à interrompre une connexion spécifique sans pour autant fermer le processus qui la gère.
Étape 2 : Identification d’une éventuelle porte dérobée sur votre PC
L’outil TCPView peut aider à identifier une intrusion sur votre système de plusieurs façons :
- Voir vos connexions : Il montre toutes les connexions TCP et UDP. Ainsi, vous pouvez repérer si une adresse IP inconnue tente de se connecter à votre PC.
- Identifier les programmes connectés : Si un programme inattendu établit une connexion, c’est peut-être un signe d’alerte.
- Chercher des adresses étranges : Des adresses IP inconnues ou bizarres peuvent indiquer un problème. TCPView les affiche pour vous.
En gros, si votre PC est infecté, vous pourriez voir des adresses IP étranges.
Exemple : Dans la capture d’écran ci-dessous, vous observerez toutes les connexions actuellement ouvertes sur mon ordinateur.
Prêtez une attention particulière aux adresses distantes qui vous semblent suspectes.
En résumé, TCPView vous montre qui discute avec votre ordinateur. C’est un peu comme un portier qui vous dit qui frappe à la porte. Si quelqu’un d’étrange essaie d’entrer, vous le saurez tout de suite !
Facile à utiliser et super utile pour éviter les intrus. À essayer !
Les blackhats peuvent prendre le controle de certain PCzombies, comment peut-on les différencier d’un botnet ?
Car mon PC fait depuis 1mois de tonnes de majs, depuis 3mois tourne quand il est inactif et hier, le pointeur de souris bougeait tout seul puis a disparu, j’ai du redémarer le PC avec le clavier et un peut plus tard mon casque audio jouait de la musique sans raison apparente.
Salut Ahmed
merci d’avoir partager ta méthode
par contre comment as tu reconnus que le client « telnet » était un logiciel espion? Grace au port local, au protocole, son adresse ou tout simplement parce que les autres processus ont globalement le même nom?
Ok mais comment reconnaître les noms « exotiques » ?
Parce que dans ce cas je n’aurai pas deviné que telnet et nc était malveillant :/
Pourquoi isass.exe ne le serai pas ?
Bref, faut connaître quoi.
c’est vieux comme article ça ! pq le redater du 15/03/14 !!!
Afin que les nouveaux visiteurs et abonnés du blog en profite !
savez vous si ce genre d’intrusion est courant sur ubuntu ?
Ubuntu est une distribution Linux.
Linux est tout comme Windows ou MacOS X contient des vulnérabilités qui peuvent être exploitées par des hackers. Linux est donc également sensible à ce genre d’intrusion, tout comme Windows.
pouvez vous nous dire les ports normaux du’tilisation dans le système?
Et comment avez-vous su qu’il s’agit d’une backdoor ??
Mon blog : http://inf0mag.blogspot.com
Tout simplement parce que les backdoors ont besoin d’ouvrir une ou des portes pour se mettre à l’écoute. C’est par cette activité qu’on peut, les repérer, surtout si les ports ouverts sont inhabituels ou n’ont aucune raison d’être ouverts à a ce moment, comme l’exemple du backdoor netcat qui est a l’écoute sur le port 8888 !!
L’explication est vraiment très basic, et quel est le port local qui est supposé apparaître. Dans le process , comment faire pour savoir si on est piraté.
Il faut en fait d’abord fermer tout les utilitaires qui sont supposés être connectées à internet (navigateur, client torrent etc) et seulement alors lancer l’utilitaire de detection, si malgré le fait que toutes vaut applications soit fermées il apparait des connections inhabituelles autres que locales, alors il est possible, je dis bien possible que vous soyez infecté, le mieux étant encore de demander confirmation à un ami qui ci connait un peu.
Tout simplement parce que les backdoors ont besoin d’ouvrir une ou des portes pour se mettre à l’écoute. C’est par cette activité qu’on peut, les repérer, surtout si les ports ouverts sont inhabituels ou n’ont aucune raison d’être ouverts à a ce moment. Comment l’exemple du netcat qui est a l’écoute sur le port 8888 !!