Avec win95 ,jadis si t'avait plus de 1,000 programmes d'installé dans ton windows ça commençait a aller mal.Certains diront ,de toutes façon avec win95 ont rebootaient au demi-heure environ! Uhawwww,Hajhahahhaaa!!!
Avec les années,ont s'est apperçu qu'a la réinstallation propre de windows 98SE,win2000,...que windows allait plus vite au démarrage.
Après ça, ont s'est habituer a déleté les fichiers Temp,Temporary internet files,index.dat,...avec des programmes spéçialisés ou manuellement.Ont défragmentaient plus souvant,ont utilisaient Diskeeper,Auslogics Disk Defrag,ont s'appercevaient que de nettoyer et de défragmenter la base registre aidait énormément.
http://www.clubic.com/telecharger-fiche26672-auslogics-disk-defrag.html (en version gratuitiel)
***Et certains parano comme moi,préconisait de réinstaller windows au année pour éliminer nos traces sur le net dans le fichier index.dat ,les coockies permanents,...........mon windows pouvait aller a des vitesses de démarrage impressionnante.Souvant ont reste avec un windows beaucoup trop lent.Car juste a l'acaht d'un PC ,il n'y a pas assez de mémoire et la carte video est souvant désuette,pour enfin tout sifonner les ressources du CPU(Processeur).
Mais vous en faîtes pas il y a maintenant,les BOMBES DE DÉCOMPRESSION :
Ce sont des Chevaux de troie , ou Bombes d'archive : (L'antiVirus AVAST est spéçialisé pour les détectés et réussir a nous faire peur !)Ces chevaux de Troie sont des fichiers archivés qui ont été codés pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le fichier archivé infecté. L'explosion de la bombe entraînera le ralentissement ou le plantage de l'ordinateur. Elle peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs, surtout lorsque les donnée entrantes sont traitées automatiquement au départ : dans ce cas, le serveur plantera.Il existe trois types de bombes : en-tête incorrecte dans l'archive, données répétées et série de fichiers identiques dans l'archive.Une archive dont l'en-tête est incorrecte ou dont les données sont corrompues peut entraîner le plantage de l'utilitaire de décompression lors de l'ouverture et du décompactage de l'archive infectée.Un fichier lourd qui contient des données qui se répètent peut devenir une archive très petite : un total de 5 Mo sera ramené à 200 Ko en cas de compression au format RAR et de 480 Ko au format ZIP.De plus, il existent des technologies spéciales pour compacter un très grand nombre de fichiers identiques au sein d'une archive sans que cela n'ait de répercussions sur la taille de l'archive elle-même : par exemple, il est possible de compacter 10100 fichiers identique dans un fichier RAR de 30 Ko ou dans un fichier ZIP de 230 Ko.
Incidemment, il existe sur tous les ordinateurs sous windows l'équivalent d'une "bombe de décompression" mais inversée... à savoir des fichier gigantesques remplis de données vides. Ce sont les funestes fichiers index.dat dont IE, OE et autres logs Microsoft sont friands.Ce sont des fichiers parfaitement inutiles (je n'entre pas dans le détail, il y a quantité de sites qui expliquent pourquoi), quasiment ineffaçables de manière directe (même en mode sans échec...) et qui ont la sale manie de grossir lentement et progressivement, de jour en jour, sans aucun avantage pour le système (bien au contraire : ils ralentissent progressivement le démarrage, encombrent de plus en plus les ressources et la mémoire vive). Le pire est que lorsque les données qu'ils contiennent sont périmées, windows, au lieu de les vider, les reremplit d'octets aléatoires (un peu comme les fameux "xxxxxx" du fichier msdos.sys), ce qu'il fait qu'ils peuvent contenir 0 octets de données et peser 3 ou 4 Mo (voire plus...).Heureusement que Windows étant dans l'ensemble très bête, on peut assez aisément s'en débarrasser avec une astuce banale. (Noter qu'avec l'explorateur windows d'origine, ou ces fichiers et dossiers n'apparaissent pas, ou lorsqu'on les ouvre, ils apparaissent incomplets. D'où l'intérêt d'avoir des "explorateurs alternatifs" comme Total Commander ou Powerdesk.....ou .....Directory Opus)http://www.clubic.com/actualite-74850-total-commander-7-disponible-telechargement.html
http://www.clubic.com/telecharger-fiche18771-powerdesk-pro.html
http://www.clubic.com/telecharger-fiche31332-directory-opus.html
Comment les empecher de s'installer ?
impossible: windows les créé et les alimente à chaque session.Fais l'essai :même si tu n'utilises JAMAIS Internet Explorer ou Outlook Express (c'est par exemple mon cas : je n'ai pas installé OE, j'utilise exclusivement Opera et parfois Firebird/Phoenix, le fichier index.dat rangé dans le dossier cache d'IE avait gardé une taille "anormale" (tout en changeant de date tous les jours, preuve qu'il restait actif).Solution : renommer AUTREMENT le dossier racine du cache d'IE (n'importe quoi : toto, dudule...) (Je ne sait pas sous win-Vista ce que sa donne ?)Redémarrer windows. Effacer le dossier toto ou dudule et tout ce qu'il contient.A côté, on constate qu'un nouveau cache IE s'est crée, contenant un fichier index.dat, mais celui-ci a une taille mini (aux alentours de 32 ko par défaut). Chaque fois qu'il fait mine de reprendre de l'embonpoint, recommencer la procédure.Pour les autres fichiers contenus dans les sous-répertoires de "Content.IE5" ou "Content.IE6". là aussi souvent vides (mais représentant également des octets encombrants), il suffit de les supprimer (maj+suppr) malgré les avertissements de windows :vider cache IEreste pour faire propre à supprimer le dernier desktop.ini (lui aussi inutile) et l'on se retrouve avec un index.dat tout riquiqui, isolé et inoffensif :Si l'on est sous win98 et qu'on a activé l'autoexec, on peut bien sûr automatiser cette fonction sous dos au démarrage(tout comme j'ai indiqué plusieurs fois par ailleurs comment vider/supprimer tous les caches windows avant de démarrer une session...)
Solution : renommer AUTREMENT le dossier racine du cache d'IE (n'importe quoi : toto, dudule...)AD, le dossier "content IE" renommé en totoche ? pas un autre ? hein ? je ne comprends pas que quand tu le supprimes, il te faille (??) supprimer aussi les autres, les sous répertoires ....puisqu'ils sont contenus dans contentIE,
Tu peux même renommer directement le dossier racine (Celui qui s'appelle normalement "Temporary Internet Files" : tu noteras que chez moi il s'appelle "Ie" et se trouve logé dans un sous-dossier cache qui comprend en même temps celui d'Opera etde Phoenix).Le but de la manoeuvre est que windows n'associe plus ces sous-dossiers et surtout le fichier index.dat à internet explorer.Mais la suppression directe du dossier provoquerait malgré tout une protestation de windows (qui, dans la même session, a gardé en mémoire en registre les anciens paramètres). Ce n'est donc qu'APRES le redémarrage de windows, que ce gros bêta, notant la disparition de son répertoire temporaire internet (il n'a pas disparu, il a juste changé de nom...) le recrée, tout vierge et tout neuf. Dès lors, (et seulement) à ce moment, tu peux le virer (en supprimant en effet directement le dossier duduche, totoche, toto, goulp ou shadok...)L'exemple que je donne de suppression dossier par dossier du sous-dossier "Content.IE5" permet de supprimer lesdits dossiers lors d'une session windows, sans avoir à redémarrer.Mais en fait, ils ne contiennent en général (si tu n'as pas eu à rouvrir IE ou un log Microsoft se reliant à Internet) qu'un fichier desktop.ini (qui ne sert uniquement qu'à décrire et mémoriser sa présentation (taille et position de la fnêtre, mode d'affichage, etc.) si jamais on doit l'ouvrir sur le bureau. (là aussi, quand on veut effacer un desktop.ini, windows pousse des cris d'orfraie... le laisser braire sans se démonter, ces fichiers n'ont aucune utilité fondamentale (surtout pour un dossier destiné à être effacé...)
Marchiiiiiii ! de la par de Gerry !!!
Les denis de service par « decompression bomb’s » : (provenant du P2P ? )
"Decompression bomb" s'applique pour caractériser des fichiers zippés plusieurs fois. L’idée de base est simple mais il fallait y penser. La plupart des antivirus modernes on la capacité d’analyser des fichiers compressés avec une occurrence (zip dans un zip dans un zip poupées russes quoi) plus ou moins longue. En effet, ils permettent de dézipper plusieurs fois une archive afin de vérifier si les fichiers présents dans ces archives sont infectés. Ces opérations s’effectuent soit dans un espace temporaire dédié soit par le biais de la mémoire virtuelle (swap). L’idée est de créer un fichier zip de quelques kilos qui une fois dézippé dans son intégralité représente plusieurs pétaoctets de données et donc sature l’espace disque dédié ainsi que la charge du microprocesseur créant ainsi un déni de service (dos).
Utiliser ce programme pour deleté le fichier INDEX.DAT ,facilement:
Y s'appel : index.dat suite
http://support.it-mate.co.uk/?mode=Products&act=DL&p=index.datsuite
* LES SORTES DE CHEVAUX DE TROIE : (a titre d'information)Chevaux de Troie
Les chevaux de Troie peuvent être classés en fonction des actions qu'ils exécutent sur les machines qu'ils attaquent.
Porte dérobée
Chevaux de Troie génériques
Chevaux de Troie PSW
Chevaux de Troie cliqueurs
Rootkit
Chevaux de Troie téléchargeurs
Chevaux de Troie droppers
Chevaux de Troie proxy
Chevaux de Troie espions
Chevaux de Troie notificateurs
ArcBombs (Bombes d'archive,c'est ce qui nous intéressent)
Portes dérobées
Ces chevaux de Troie sont les plus dangereux et les plus répandus à l'heure actuelle. Il s'agit d'utilitaire d'administration à distance qui permettent de prendre les commandes des ordinateurs infectés via un LAN ou Internet. Ils fonctionnent de la même manière que les programmes d'administration à distance licites utilisés par les administrateurs système. Cela complique leur détection.
La seule différence entre un outil d'administration licite et une porte dérobée est que les portes dérobée sont installées et exécutées sans le consentement de l'utilisateur de la machine. Une fois que la porte dérobée a été exécutée, elle surveille le système local à l'insu de l'utilisateur. Bien souvent elle n'apparaîtra pas dans le journal des applications actives.
Aussitôt qu'un utilitaire d'administration à distance a été installé, l'ordinateur est ouvert à tout vent. Parmi les fonctions d'une porte dérobée, citons :
Envoi/réception de fichiers Lancement/suppression de fichiers Exécution de fichiers Affichage de messages Suppression de données Redémarrage de la machine
En d'autres termes, les auteurs de virus utilisent les portes dérobées pour détecter et télécharger des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux bot, etc. En résumé, les portes dérobées combinent les fonctions de la majorité des autres types de chevaux de Troie dans un seul ensemble.
Il existe un sous-groupe de portes dérobées qui peut être particulièrement dangereux : les variantes qui se propagent comme des vers. La seule différence est que les vers sont programmés pour se propager en permanence tandis que les portes dérobées "mobiles" se propagent uniquement lorsqu'elles ont reçu la commande de leur « maître ».
Chevaux de Troie générique
Cette catégorie assez vague regroupe un ensemble de chevaux de Troie qui endommagent les ordinateurs des victimes, qui menacent l'intégrité des données ou nuisent au fonctionnement de l'ordinateur.
Les chevaux de Troie à fonctions multiples sont également repris dans ce groupe car certains auteurs de virus les préfèrent aux ensembles de chevaux de Troie.
Chevaux de Troie PSW
Ces chevaux de Troie volent les mots de passe, en général les mots de passe système, sur l'ordinateur attaqué. Ils recherchent les fichiers système qui contiennent des informations confidentielles telles que les mots de passe ou les numéros de téléphone d'accès à Internet et envoient les infos à une adresse de courrier électronique codée dans le corps du cheval de Troie. Ces infos sont ensuite recueillies par le « maître » ou l'utilisateur du programme illicite.
Certains chevaux de Troie PSW volent d'autres types de renseignements comme :
Les détails du système (mémoire, espace disque disponible, système d'exploitation)
Le client de messagerie local
Les adresses IP
Les détails d'enregistrement
Les mots de passe pour les jeux en ligne
Les chevaux de Troie AOL sont des chevaux de Troie qui volent les mots de passe d'AOL (America Online). Leur très grand nombre justifie la création d'un sous-groupe.
Chevaux de Troie cliqueurs
Ces chevaux de Troie redirigent les ordinateurs vers des sites Web ou d'autres ressources Internet spécifiques. Ils envoient les commandes nécessaires au navigateur ou remplacent les fichiers système dans lesquels les URL standard sont stockées (ex. : les fichiers hôte dans MS Windows).
Les cliqueurs sont utilisés pour :
Augmenter le nombre de visites sur un site spécifique à des fins publicitaires
Organiser une attaque par déni de service sur un serveur ou un site spécifique
Conduire l'ordinateur victime vers une ressource infectée où il sera attaqué par d'autres programmes malveillants (virus ou chevaux de Troie)
Rootkit - Camoufle leur présence dans le système d'exploitation(on fait juste commencer a voir des antiRootkit et antivirus a cette effet)
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/download/
http://free.grisoft.com/doc/5390/us/frt/0?prd=arw
La notion de rootkit vient de Unix. A l'origine, ce terme désignait une série d'outils utilisés pour obtenir les droits administrateur.(sur le gilet du Hacker "Kevin Mitnick" il y avait ... GOT ROOT ,ça veut tout dire !!!)
Une telle définition des rootkit à l'heure actuelle est obsolète étant donné que les outils de type rootkit se sont adaptés aux autres OS (Windows y compris).
Le rootkit d'aujourd'hui est un code ou une technique destinée à cacher la présence dans le système d'objets donnés (procédés, fichiers, clé de registre etc.).
Pour ce qui est de définir le comportement des rootkit dans la classification de Kaspersky Lab, une loi d'absorption a été instaurée: un rootkit sera toujours considéré comme le comportement le moins dangereux comparé aux autres programmes malicieux. En d'autres termes, si un programme rootkit présente un composant de Trojan, alors il sera détecté comme Trojan.
Chevaux de Troie téléchargeurs
Cette famille de chevaux de Troie télécharge et installe des programmes malveillants ou des logiciels publicitaires sur l'ordinateur de la victime. Le téléchargeur procédera ensuite soit au lancement du nouveau programme malveillant ou l'enregistrera pour permettre une exécution automatique en fonction des exigences du système d'exploitation. Tout cela est réalisé sans le consentement de l'utilisateur.
Les noms et les emplacements des programmes malveillants à télécharger sont soit codés dans le cheval de Troie, soit téléchargés depuis un site Web spécifique ou une autre ressource internet.
Chevaux de Troie droppers
Ces chevaux de Troie servent à installer d'autres programmes malveillants à l'insu de l'utilisateur. Les droppers installent leur charge utile sans afficher aucun avertissement ou faux message d'erreur dans un fichier archivé ou dans le système d'exploitation. Le nouveau programme malveillant est déposé dans un endroit spécifié sur le disque local puis il est exécuté.
La structure des droppers ressemble généralement à ceci :
Fichier principalcontient la charge utile du dropper
Fichier 1première charge utile Fichier 2deuxième charge utile
...autant de fichiers que l'auteur souhaite
Le dropper contient un code qui permet l'installation et l'exécution de tous les fichiers qui constituent la charge utile.
Dans la majorité des cas, cette charge utile renferme d'autres chevaux de Troie et au moins un canular: blagues, jeux, images, etc. Le canular vise à détourner l'attention de l'utilisateur ou à prouver que l'activité du dropper est bénigne. En fait, il sert à masquer l'installation de la charge utile dangereuse.
Les pirates informatiques utilisent ces programmes pour atteindre deux objectifs :
Installation masquée d'autres chevaux de Troie ou virus;
Jouer un tour aux logiciels antivirus qui ne sont pas en mesure d'analyser tous les composants.
Chevaux de Troie proxy
Ces chevaux de Troie font office de serveur proxy et offre un accès Internet anonyme depuis les ordinateurs attaqués. A l'heure actuelle, ces chevaux de Troie sont très populaires auprès des spammeurs qui sont toujours à la recherche d'autres ordinateurs pour la diffusion massive de messages électroniques. Les auteurs de virus penseront bien souvent à inclure un cheval de Troie proxy dans un ensemble de chevaux de Troie afin de pouvoir vendre le réseau de machines infectées aux spammeurs.
Chevaux de Troie espions
Cette famille regroupe des logiciels espion et d'enregistrement des frappes du clavier qui surveillent et enregistrent l'activité de l'utilisateur sur l'ordinateur avant de transmettre ces informations au maître. Les chevaux de Troie espions recueillent les informations suivantes :
Frappes de clavier
Captures d'écran
Journaux des applications actives
Autres actions des utilisateurs
Ces chevaux de Troie sont bien souvent utilisés pour dérober des informations à caractère financier pour alimenter les fraudes en ligne.
L'antidote serait : 1-ACT AntiKeylogger 2006
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39180731s,00.htm
http://www.blazingtools.com/downloads.html#bpklite
Chevaux de Troie notificateurs
Ces chevaux de Troie envoient au « maître » des renseignements relatifs à la machine infectée. Ils confirment la réussite de l'infection et envoient des informations relatives à l'adresse IP, aux numéros de ports ouverts, aux adresses de courrier électronique, etc. de l'ordinateur attaqué. Ces informations sont envoyés via courrier électronique au site du maître ou via ICQ.
Les notificateurs sont normalement repris dans les ensembles de chevaux de Troie et servent uniquement à informer le maître de la réussite de l'installation d'un cheval de Troie sur l'ordinateur de la victime.
Bombes d'archive
Ces chevaux de Troie sont des fichiers archivés qui ont été codés pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le fichier archivé infecté. L'explosion de la bombe entraînera le ralentissement ou le plantage de l'ordinateur. Elle peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs, surtout lorsque les donnée entrantes sont traitées automatiquement au départ : dans ce cas, le serveur plantera.
Il existe trois types de bombes : en-tête incorrecte dans l'archive, données répétées et série de fichiers identiques dans l'archive.
Une archive dont l'en-tête est incorrecte ou dont les données sont corrompues peut entraîner le plantage de l'utilitaire de décompression lors de l'ouverture et du décompactage de l'archive infectée.
Un fichier lourd qui contient des données qui se répètent peut devenir une archive très petite : un total de 5 Mo sera ramené à 200 Ko en cas de compression au format RAR et de 480 Ko au format ZIP.
De plus, il existent des technologies spéciales pour compacter un très grand nombre de fichiers identiques au sein d'une archive sans que cela n'ait de répercussions sur la taille de l'archive elle-même : par exemple, il est possible de compacter 10100 fichiers identique dans un fichier RAR de 30 Ko ou dans un fichier ZIP de 230 Ko.
Aucun commentaire:
Publier un commentaire