Dans un autre article précédent, nous avions vu une petite astuce pour cacher des fichiers dans une photo avec l'extension .jpg.
Dans ce cas, tout ce qui a été fait a été de créer une archive winrar à l'intérieur du fichier image avec tout ce que vous voulez à l'intérieur.
De toute évidence, la taille de ce fichier .jpg augmente en fonction du nombre de fichiers qu'il contient et pour l'ouvrir, faites simplement "Ouvrir avec .." et choisissez Winrar.
Mais les virus ne se cachent pas comme ça, non seulement il serait facile de le trouver, mais une archive .rar est complètement inoffensive, n'ouvre rien en mémoire et n'active aucun processus.
Ils sont appelés ADS ( Alternate Data Stream ) ces fichiers qui sont cachés dans un autre fichier, sans changer sa taille et restent complètement cachés de la vue de Windows .
Lorsque vous ouvrez et exécutez un fichier qui contient un ADS, il active l'ADS et lance le programme en dessous.
Dans cet article, nous voyons comment vous pouvez facilement créer un ADS avec votre PC et masquer n'importe quel fichier dans un autre afin que lorsque vous exécutez l'ADS, il soit activé à sa place.
1) Ouvrez l'Explorateur Windows, allez sur le disque C: et créez un nouveau dossier que nous pouvons appeler "Ads".
2) À l'intérieur, pour tester l'expérience, créez un nouveau fichier texte et appelez-le "test.txt" et copiez toute photo ou image qui se trouve sur l'ordinateur et qui peut être renommée immagine_test.jpg.
3) Ouvrez l'invite de commande trouvée dans Star -> Programmes -> Accessoires ou en allant dans Démarrer -> Exécuter -> et écrivez " cmd "
4) Maintenant, écrivez cd \ ads pour entrer, via Dos, le dossier créé auparavant.
5) Pour créer un ADS élémentaire et commencer à comprendre de quoi il s'agit, vous pouvez écrire " echo Ciao bello> test.txt: testonascosto.txt "; vous remarquerez peut-être qu'aucun fichier n'a été ajouté au dossier des annonces.
6) Écrivez sur l'invite " notepad test.txt: testonascosto.txt " et comme si par magie le bloc-notes s'ouvre avec le texte écrit auparavant; en fait, quelque chose d'écrit a été caché et reste invisible sur l'ordinateur, sauf en exécutant ce type de commande.
Si la curiosité commence à chatouiller l'esprit hacker qui est en chacun de nous, allons-y et voyons ce qui peut être fait d'autre.
7) Si masquer un texte ne peut être utilisé que par des espions de la CIA, un pirate peut penser à utiliser cette technique pour cacher un mauvais fichier à l'intérieur d'un bon.
Pour faire une expérience pratique, vous pouvez copier le fichier calc.exe dans le dossier Ads, qui se trouve dans le dossier système Windows et est utilisé pour ouvrir la calculatrice normale.
Pour copier le fichier dans le dossier Ads, il suffit d'écrire « copier C: \ windows \ system32 \ calc.exe c: \ ads » à l'invite de commande.
8) Vous pouvez maintenant insérer le fichier image_test.jpg que nous avions pris auparavant et qui devrait toujours se trouver dans le dossier Ads, à l'intérieur du fichier calc.exe.
Pour faire cette infiltration, vous devez écrire sur la fenêtre DOS noire que jusqu'à présent, nous n'avons jamais fermé: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Résultat: si vous démarrez le fichier calc.exe, rien d'étrange ne se produit; si vous démarrez depuis calc le fichier calc.exe en écrivant comme ceci: start ./calc.exe : immagine_test.jpg ou démarrez C: \ ads \ calc.exe: immagine_test.jpg (il prend toujours tout le chemin), il s'ouvre 'image choisie avant et non la calculatrice; si vous supprimez le fichier image_test du dossier Ads, le résultat ne change pas.
Cela signifie que le fichier jpg a été caché dans le fichier calc.exe, il n'est plus visible, la taille de calc.exe est restée inchangée et rien ne signale la présence du flux de données.
Contrairement à la méthode utilisée avec Winrar, cette fois, il n'y a pas d'archive et le fichier caché est activé et exécuté au démarrage de l'hôte, en cliquant sur le fichier calc.exe dans le dossier ouvert, le l'image n'apparaît pas.
Vous pouvez également masquer des fichiers dans un dossier qui semblera être vide par erreur.
10) Vous pouvez créer un nouveau dossier dans Ads et l'appeler Ads2 puis depuis Dos, écrire cd Ads2 et taper la commande " type c: \ ads \ calc.exe>: pippo.exe "; le fichier calc.exe est dans le dossier Ads2 mais vous ne pouvez pas le voir, ni avec la commande " dir " qui affiche les fichiers dans les répertoires, ni en allant explorer les ressources avec l'interface graphique normale.
Ce sont des astuces assez anciennes mais dont beaucoup sont également inconnues car, en fait, elles n'ont pas de véritable utilité, du moins pour les utilisateurs normaux; ce sont les mauvais pirates qui les exploitent et, dans le passé, ont fait beaucoup de dégâts en utilisant les flux de données.
En fait, imaginant que, dans notre exemple ci-dessus, au point 8, au lieu d'un fichier image normal et inoffensif, il avait caché à l'intérieur de la calculatrice, un vrai virus, ce serait douloureux.
Si alors le vrai virus s'appelle lui-même, par exemple svchost.exe qui est présent plusieurs fois dans le gestionnaire de tâches, alors il serait vraiment difficile à trouver.
Cela ne s'arrête pas là, car un pirate expert sait que des programmes comme la calculatrice ou le bloc-notes se trouvent toujours dans le chemin C: \ Windows \ System32, ce qui pourrait potentiellement corrompre ce fichier, sans avoir à créer quoi que ce soit de nouveau.
Pourtant, sans déranger les virus, vous pouvez cacher un fichier de 10 Go à l'intérieur d'un 10 Ko et, sans comprendre pourquoi, vous pourriez vous retrouver avec le PC verrouillé et sans plus d'espace.
Heureusement, ces problèmes de sécurité sont largement surmontés, les antivirus découvrent des virus cachés à la volée et il est peu probable qu'ils subissent une telle attaque si vous êtes protégé.
La seule recommandation que je dois faire est que, étant donné la facilité avec laquelle vous pouvez créer un fichier malveillant de cette manière, il serait le cas de ne pas accepter de fichiers provenant d'étrangers, peut-être envoyés via MSN ou par courrier, même s'il s'agissait de photos, d'images, musique, fichiers texte ou autre.
Pour mémoire, ADS ne fonctionne que sur les partitions de disque NTFS et non sur FAT32 donc pour supprimer un fichier ADS, vous pouvez soit supprimer celui qui l'héberge en le supprimant ou en le déplaçant vers une partition FAT32.
Il existe des outils qui peuvent identifier les flux de données, et le meilleur est le fameux Hijackthis que nous avons déjà rencontré plusieurs fois dans ce blog.
Sur Hijackthis, en ouvrant les "Outils divers" il y a un utilitaire appelé "ADS Spy" qui scanne les Streams et, si vous voulez les supprimer mais, honnêtement, ce serait un zèle excessif de sécurité aussi parce que beaucoup d'ADS sont utiles pour Windows et vous risqueriez de faire des dégâts.
Dans ce cas, tout ce qui a été fait a été de créer une archive winrar à l'intérieur du fichier image avec tout ce que vous voulez à l'intérieur.
De toute évidence, la taille de ce fichier .jpg augmente en fonction du nombre de fichiers qu'il contient et pour l'ouvrir, faites simplement "Ouvrir avec .." et choisissez Winrar.
Mais les virus ne se cachent pas comme ça, non seulement il serait facile de le trouver, mais une archive .rar est complètement inoffensive, n'ouvre rien en mémoire et n'active aucun processus.
Ils sont appelés ADS ( Alternate Data Stream ) ces fichiers qui sont cachés dans un autre fichier, sans changer sa taille et restent complètement cachés de la vue de Windows .
Lorsque vous ouvrez et exécutez un fichier qui contient un ADS, il active l'ADS et lance le programme en dessous.
Dans cet article, nous voyons comment vous pouvez facilement créer un ADS avec votre PC et masquer n'importe quel fichier dans un autre afin que lorsque vous exécutez l'ADS, il soit activé à sa place.
1) Ouvrez l'Explorateur Windows, allez sur le disque C: et créez un nouveau dossier que nous pouvons appeler "Ads".
2) À l'intérieur, pour tester l'expérience, créez un nouveau fichier texte et appelez-le "test.txt" et copiez toute photo ou image qui se trouve sur l'ordinateur et qui peut être renommée immagine_test.jpg.
3) Ouvrez l'invite de commande trouvée dans Star -> Programmes -> Accessoires ou en allant dans Démarrer -> Exécuter -> et écrivez " cmd "
4) Maintenant, écrivez cd \ ads pour entrer, via Dos, le dossier créé auparavant.
5) Pour créer un ADS élémentaire et commencer à comprendre de quoi il s'agit, vous pouvez écrire " echo Ciao bello> test.txt: testonascosto.txt "; vous remarquerez peut-être qu'aucun fichier n'a été ajouté au dossier des annonces.
6) Écrivez sur l'invite " notepad test.txt: testonascosto.txt " et comme si par magie le bloc-notes s'ouvre avec le texte écrit auparavant; en fait, quelque chose d'écrit a été caché et reste invisible sur l'ordinateur, sauf en exécutant ce type de commande.
Si la curiosité commence à chatouiller l'esprit hacker qui est en chacun de nous, allons-y et voyons ce qui peut être fait d'autre.
7) Si masquer un texte ne peut être utilisé que par des espions de la CIA, un pirate peut penser à utiliser cette technique pour cacher un mauvais fichier à l'intérieur d'un bon.
Pour faire une expérience pratique, vous pouvez copier le fichier calc.exe dans le dossier Ads, qui se trouve dans le dossier système Windows et est utilisé pour ouvrir la calculatrice normale.
Pour copier le fichier dans le dossier Ads, il suffit d'écrire « copier C: \ windows \ system32 \ calc.exe c: \ ads » à l'invite de commande.
8) Vous pouvez maintenant insérer le fichier image_test.jpg que nous avions pris auparavant et qui devrait toujours se trouver dans le dossier Ads, à l'intérieur du fichier calc.exe.
Pour faire cette infiltration, vous devez écrire sur la fenêtre DOS noire que jusqu'à présent, nous n'avons jamais fermé: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Résultat: si vous démarrez le fichier calc.exe, rien d'étrange ne se produit; si vous démarrez depuis calc le fichier calc.exe en écrivant comme ceci: start ./calc.exe : immagine_test.jpg ou démarrez C: \ ads \ calc.exe: immagine_test.jpg (il prend toujours tout le chemin), il s'ouvre 'image choisie avant et non la calculatrice; si vous supprimez le fichier image_test du dossier Ads, le résultat ne change pas.
Cela signifie que le fichier jpg a été caché dans le fichier calc.exe, il n'est plus visible, la taille de calc.exe est restée inchangée et rien ne signale la présence du flux de données.
Contrairement à la méthode utilisée avec Winrar, cette fois, il n'y a pas d'archive et le fichier caché est activé et exécuté au démarrage de l'hôte, en cliquant sur le fichier calc.exe dans le dossier ouvert, le l'image n'apparaît pas.
Vous pouvez également masquer des fichiers dans un dossier qui semblera être vide par erreur.
10) Vous pouvez créer un nouveau dossier dans Ads et l'appeler Ads2 puis depuis Dos, écrire cd Ads2 et taper la commande " type c: \ ads \ calc.exe>: pippo.exe "; le fichier calc.exe est dans le dossier Ads2 mais vous ne pouvez pas le voir, ni avec la commande " dir " qui affiche les fichiers dans les répertoires, ni en allant explorer les ressources avec l'interface graphique normale.
Ce sont des astuces assez anciennes mais dont beaucoup sont également inconnues car, en fait, elles n'ont pas de véritable utilité, du moins pour les utilisateurs normaux; ce sont les mauvais pirates qui les exploitent et, dans le passé, ont fait beaucoup de dégâts en utilisant les flux de données.
En fait, imaginant que, dans notre exemple ci-dessus, au point 8, au lieu d'un fichier image normal et inoffensif, il avait caché à l'intérieur de la calculatrice, un vrai virus, ce serait douloureux.
Si alors le vrai virus s'appelle lui-même, par exemple svchost.exe qui est présent plusieurs fois dans le gestionnaire de tâches, alors il serait vraiment difficile à trouver.
Cela ne s'arrête pas là, car un pirate expert sait que des programmes comme la calculatrice ou le bloc-notes se trouvent toujours dans le chemin C: \ Windows \ System32, ce qui pourrait potentiellement corrompre ce fichier, sans avoir à créer quoi que ce soit de nouveau.
Pourtant, sans déranger les virus, vous pouvez cacher un fichier de 10 Go à l'intérieur d'un 10 Ko et, sans comprendre pourquoi, vous pourriez vous retrouver avec le PC verrouillé et sans plus d'espace.
Heureusement, ces problèmes de sécurité sont largement surmontés, les antivirus découvrent des virus cachés à la volée et il est peu probable qu'ils subissent une telle attaque si vous êtes protégé.
La seule recommandation que je dois faire est que, étant donné la facilité avec laquelle vous pouvez créer un fichier malveillant de cette manière, il serait le cas de ne pas accepter de fichiers provenant d'étrangers, peut-être envoyés via MSN ou par courrier, même s'il s'agissait de photos, d'images, musique, fichiers texte ou autre.
Pour mémoire, ADS ne fonctionne que sur les partitions de disque NTFS et non sur FAT32 donc pour supprimer un fichier ADS, vous pouvez soit supprimer celui qui l'héberge en le supprimant ou en le déplaçant vers une partition FAT32.
Il existe des outils qui peuvent identifier les flux de données, et le meilleur est le fameux Hijackthis que nous avons déjà rencontré plusieurs fois dans ce blog.
Sur Hijackthis, en ouvrant les "Outils divers" il y a un utilitaire appelé "ADS Spy" qui scanne les Streams et, si vous voulez les supprimer mais, honnêtement, ce serait un zèle excessif de sécurité aussi parce que beaucoup d'ADS sont utiles pour Windows et vous risqueriez de faire des dégâts.
