Comment savoir si votre PC est un zombie ?

Pour savoir si votre PC est un zombie, utilisez le logiciel gratuit TCPView afin de surveiller en temps réel les connexions TCP/IP actives et leurs processus associés. Cet outil permet d'identifier des adresses distantes suspectes et de fermer manuellement les connexions douteuses liées à un programme backdoor. En cas de suspicion, effectuez un scan complet avec un antivirus pour neutraliser l'infection.

Hier, un lecteur régulier de FunInformatique m'a posé une question après avoir lu un article sur la façon de contrôler un PC à distance avec une clé USB. En effet, il se demandait comment savoir si son ordinateur est un PC zombie qui fait partie du réseau d'un pirate informatique, surtout sur Windows.

Pour répondre à cela, j’ai pensé partager avec vous une méthode super simple pour rester au courant de tout ce qui se passe sur votre ordinateur.

En effet, quand un malware ou un spyware, infecte un PC, il commence à fouiller votre disque dur.

Par exemple, il peut voler vos contacts et les envoyer à des spammeurs. De plus, il peut connecter votre ordinateur à d’autres machines infectées pour former un réseau de zombies.

On peut ensuite utiliser ces ordinateurs pour lancer des attaques DDoS, par exemple.

Dans les deux cas, vous ne devriez pas négliger certains signes :

• Votre ventilateur démarre à pleine vitesse même si votre ordinateur est inactif.
• Votre ordinateur prend beaucoup de temps à s'éteindre.
• Vos amis reçoivent des courriels envoyés depuis votre adresse sans que vous les ayez expédiés.
• Votre accès à Internet ralentit considérablement.
• Des pop-ups publicitaires s'ouvrent même quand vous avez fermé votre navigateur web.

D'abord, qu'est-ce qu'un PC zombie ?

Un PC zombie, aussi appelé machine zombie ou bot, est un ordinateur personnel infecté par un programme backdoor qui le contrôle à distance, à l'insu de son utilisateur légitime. Cet programme backdoor transforme l'ordinateur en un bot, c'est-à-dire un automate capable d'exécuter des tâches programmées par le pirate.

Comme mentionné dans l'introduction, le pirate peut utiliser le PC zombie à diverses fins malveillantes, telles que:

• Envoyer des spams.
• Lancer des attaques par déni de service (DDoS).
• Voler des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit.
• Miner des cryptomonnaies.

Comment détecter un programme backdoor sur son PC

Pour commencer, nous allons utiliser un logiciel gratuit très utile, nommé TCPView.

TCPView surveille l'activité des connexions TCP/IP de votre système. Contrairement aux outils de surveillance TCP/IP intégrés à Windows, TCPView indique quel processus est associé à chaque adresse TCP/IP.

Téléchargez cet outil, puis décompressez-le.

Aucune installation n'est nécessaire. Cliquez sur le fichier Tcpview.exe, et la fenêtre du programme s'ouvrira. TCPView actualise chaque seconde les échanges réseau entre votre PC et le monde extérieur.

L'avantage de TCPView par rapport à la commande netstat est qu'il permet de fermer une connexion spécifique sans devoir arrêter le processus correspondant.

Dans le cas d'un PC potentiellement infecté, l'adresse distante peut apparaître comme "exotique".

Par exemple, dans la capture d'écran ci-dessous, vous pouvez voir toutes les connexions ouvertes sur mon ordinateur :

Pour mieux comprendre comment utiliser TCPView pour détecter les activités suspectes sur votre PC, je vous guide à travers l'interface du programme et quelques astuces pour identifier les connexions douteuses. C'est parti!

Interface de TCPView

Quand vous ouvrez TCPView, vous découvrirez une liste dynamique qui montre toutes les connexions réseau en cours sur votre système. Voici ce que vous verrez :

• Nom du processus : C'est le nom de l'application qui utilise votre réseau.
• PID (Identifiant de processus) : Un numéro unique qui aide à identifier chaque processus en cours d'exécution.
• Protocole : Indique si la connexion utilise TCP ou UDP.
• Adresse locale : C'est l'adresse IP et le port utilisés par votre ordinateur.
• Adresse distante : L'adresse IP et le port de l'autre côté de la connexion (si elle est établie).
• État : Vous dira si la connexion est active, en attente, ou fermée.

À la chasse aux adresses IP exotiques

Si une adresse vous semble bizarre ou sort de l'ordinaire, c'est peut-être un signe d'alerte.

Voici comment creuser un peu :

• Vérifiez la fréquence : Une connexion qui revient souvent peut être un signe qu'un logiciel malveillant communique avec son serveur.
• Où ça se passe? : Des outils en ligne comme mxtoolbox sont parfaits pour vérifier si une adresse IP est répertoriée sur une liste noire, ce qui peut indiquer un potentiel de danger. Cet outil analyse l'adresse et vous informe si elle a été signalée pour des activités suspectes ou malveillantes. Si vous découvrez que l'adresse IP est sur une liste noire, c'est un signal d'alarme à ne pas ignorer!
  
• Le port a son importance : Certains ports sont connus pour être utilisés dans des activités louches. Une petite recherche peut vous éclairer sur la nature de la connexion.

Que faire si quelque chose semble louche?

Si vous avez des doutes sur un processus, commencez par vous informer. Faites une recherche Google avec le nom du processus pour clarifier vos soupçons.

Si vous êtes convaincu qu'il y a un problème, déconnectez-vous en utilisant TCPView et en sélectionnant l'option adéquate avec un clic droit.

Pour renforcer la sécurité, n'oubliez pas de procéder à une analyse complète avec un antivirus gratuit. Un scan antimalware pourrait aussi être bénéfique pour assurer une protection optimale.