1. En dévissant le boitier, en trouvant la batterie du Bios, en faisant éjecter celle-ci. Ou encore trouver le cavalier qui permet d'effacer de la mémoire le contenu de la carte mère et le faire commuter. Celà peut ne pas marcher si le boitier est fermé à clefs, si la batterie est intégrée au composant qui stocke le contenu des réglages etc...
2. On peut aussi essayer de décrypter le password du Bios, là il faudra faire appel à des programmes ou à des techniques différentes...
3. Héhé, la vraie technique que l'on va aborder: modifier le CONTENU  de la mémoire du Bios, avec un programme fourni le plus souvent avec le système d'exploitation... Mais n'oubliez pas de lancer le programme avec le pc allumé ici!

MODIFIER LE CMOS AVEC DEBUG:
Depuis la ligne de commande sous Ms-Dos tapez: DEBUG.
Pour avoir de l'aide tapez '?'. La commande à utiliser pour réaliser un accès en écriture sur un port est: O port valeur (les valeurs sont àrentrer en héxadécimal et sans le 'h'). Essayer de taper dans l'intervalle standard avec un truc du genre:
O 70 20
O 71 66
Si ça ne marche pas essayez d'autres octets.

Chaque fichier image est cryptée avec une clef différente. Pour la retrouver, on effectue un XOR entre le premier octet du fichier et la première valeur de l'entête d'un fichier JPG. Le résultat est la clef. Il suffit ensuite de l'appliquer à tous les octets du fichier et enregistrer cette transformation dans un nouveau fichier. tapez ce programme dans Qbasic et lancez-le! Indiquez lui le chemin du fichier à décoder et l'emplacement où sauvegarder ma version décodée avec l'extension JPG. L'image sera maintenant visible avec n'importe quel visualiseur.

20 COMMON LONGUEUR AS LONG
30 INPUT"Nom du fichier à décoder";NOM$
40 IMPUT"Nouveau Nom du fichier";NOUV$
50 OPEN NOM$ FOR RANDOM AS#1 LEN=1
60 OPEN NOUV$ FOR OUTPOUT AS#2
70 FIELD#1, 1 AS A$
80 LONGUEUR=LOF(1)
90 GET 1 'lecture du premier octet que l'on stocke dans la variable A$
100 LU=1SC(A$)
110 CLAF=LU XOR 255 'On calcule la clef d'après le premier octet d'un en-tête JPEG :255
120 PRINT#2, CHR$(255);
'On lit le fichier octet par octet jusqu'à sa fin
130 FOR I=2 TO LONGUEUR
140 GET 1
150 LU=ASC(A$)
160 CLAIR=(LU XOR CLEF) 'On effectue le XOR entre la clef et l'octet lu
170 PRINT#2, CHR$(CLAIR);'On écrit le résultat dans le deuxième fichier
180 NEXT I
190 CLOSE

   Nanananan! Avant de se faire de grosses illusions du style que je vais vous donner les code sources de virus, sachez que je vais juste parler de son aspect technique et bien d'autres informations...
   Un Virus est un programme susceptible d'entraîner des perturbations dans le fonctionnement d'un ordinateur en dénaturant ses programmes exécutables ou ses fichiers système. Il se transmet généralement par l'intermédiaire de disquettes ou encore par téléchargement. La plupart des virus informatiques ajoutent quelques lignes de commandes dans le fichier cible lorsqu'ils sont chargés en mémoire. Ces commandes ont généralement pour conséquence de ralentir ou d'empêcher l'exécution, voire de détruire certains fichiers. La seule manière de s'en prémunir efficacement consiste à tester toute nouvelle information insérée dans la machine au moyen d'un logiciel antivirus. Néanmoins, de nouveaux virus apparaissant chaque jour, ce logiciel se doit d'être le plus récent et le plus actualisé possible, sachant qu'il existe toujours un délai entre l'apparition d'un nouveau virus et l'élaboration de la parade. Actuellement, il existe de nombreux types de virus informatiques, toujours plus sournois et moins visibles. Un virus capable de se propager à travers des réseaux informatiques est parfois appelé ver, en particulier lorsqu'il se compose de plusieurs segments dispersés à travers le réseau. Un "cheval de Troie" est un dangereux virus se présentant sous la forme d'un programme utile, par référence au célèbre cheval de Troie de la mythologie grecque. En cours d'exécution, ce type de virus met en œuvre des actions destructrices à l'encontre du système, alors qu'il paraît accomplir une tâche totalement anodine. Un virus peut rester dans la mémoire de l'ordinateur, constituant dans ce cas un programme terminate-and-stay-resident (TSR) : on dit alors qu'il s'agit d'un virus résident mémoire. Il peut en outre être encrypté, rendant ainsi sa détection et sa résorption plus délicates. Enfin, il peut être polymorphe, évitant d'être décelé grâce à un changement interne de sa structure. Le Virus a un cycle de vie divisé en trois étapes:

• L'éxécution:phase d'introduction du virus dans le système.
• La propagation:pendant laquelle le virus cherche à se multiplier le plus possible.
• L'action: étape finale durant laquelle le virus met en oeuvre des fonctions de dommages perturbantes et/ou destructices. Durant les phases d'éxécution et de propagation,le virus cherchera à se faire le plus discret possible. La surprise n'en sera que plus grande lors de l'action destructrice finale.

1.  Portrait d'un tueur en Série: C I H

 

 

Nom  Win95.CIH
Autres variantes Chernobyl, PE_CIH, WIN95, CIH 1.x, Win95.CIH, Win32/CIH,W95/CIH.1003
Taille 1 k
Fichier infecté .exe
Platefrome Windows 95 - windows 98
Mode d'infection résident mémoire
Date d'activation 26 du mois, 26 avril, 26 Juin (suivant version )
Dégât causé efface le disque dur et dans certains cas corruption du BIOS
 

Version:
 

CIH 1.2 la plus répondue aussi connue sous le nom de Tchernobyl en référence a la date de son activation.. S'active le 26 avril..
CIH 1.3 date d'activation 26 juin (attention donc ).
CIH 1.4 date d'activation chaque 26 du mois pas très répondue mais la plus dangereuse.
 

Origine:
 

D'après les éditeurs d'antivirus il serait originaire de Taiwan.
 

29 avril 1999
D'après AP, un institut d'ingénieur à Taiwan a déclaré que virus CIH qui a frappé cette semaine les disques de millier de PC a été écrit par un de ses ancien étudiant, a rapporté l' Asoccited Press jeudi.
Le virus CIH, crée par Chen Ing-hau, a frappé les micro-ordinateurs de TIT ( Tatung Institut of Technology ) en avril 1998. Chen, majeur de sa promotion, a reçu un blâme mais n'a pas été exclu de l'institut, a déclaré le chargé des affaires estudiantines. L'institut ne l'a pas punit plus sévèrement car Chen a demandé aux étudiants de ne pas propager le virus.
Chen a terminé ses études en 1998 et actuellement il passe son service militaire de 2 ans.
Les initiales du virus CIH représentent les initiales de Chen (Chen Ing-hau ).

 

Description:
 

CIH est un virus qui infecte les fichiers exécutables Windows. Quand un programme infecté est utilisé le virus s'installe en mémoire et infectera tout les fichiers ouverts et consultés (lors d'une exécution ou de la copie ). Il faut donc impérativement démarrer tous micro infecté à partir d'une diskette système non infecté avant de commencer la désinfection sinon le virus infecteras tous les fichiers scanné par un anti-virus.
 

Les fichiers infecté ont la même taille que les fichiers originaux grâce au mode unique d'infection du CIH. Le virus scanne le fichier avant de l'infecter pour détecter les espaces non utilisé et se divise alors en plusieurs morceaux qui vont se cacher dans l'espace inutilisé.
 

Chaque 26 du mois, ou comme pour la variante Tchernobyl le 26 avril, le programme entre dans sa phase destructive qui est devisé en deux parties : Le Virus va d'abord essayer de modifier et de corrompre le BIOS. Certains type de BIOS Flash seulement sont affecté. En corrompant le BIOS qui sert à initialiser et gérer les entrées sorties des périphériques, il empêche ainsi le PC de démarrer lorsqu'on le met sous tension. La seconde phase et la plus destructive pour vos données consiste à écrire sur le premier 1 MO de votre disque des données aléatoire ce qui entraine la perte des données du disque dur.
 

Ecran affiché lors de l'activation du Virus:

 
 

1. UN VIRUS A METTRE EN QUARANTAINE: MELISSA
Depuis vendredi dernier, de nombreuses sociétés américaines (dont l'Empire) ont été contraintes à couper leurs serveurs de messagerie électronique. La raison? Un simple virus baptisé Melissa qui utilise le couple Word-Outlook pour se propager à la vitesse de la lumière...

Tout commence par un anodin courrier électronique titré "Important message from..." contenant uniquement un document word en pièce jointe. En ouvrant le fichier, l'utilisateur qui n'est pas protégé contre Melissa engendre automatiquement l'envoi de 50 e-mails identiques à celui qu'il a reçu aux 50 premières personnes figurant dans son carnet d'adresses. Une bonne surprise pour tous

Les effets du virus ne sont pas très dangereux en eux-mêmes. Melissa se contente d'insérer des citations extraites de la série "Les Simpsons" lorsque le nombre de minutes affichées par l'horloge est égal au jour du mois (aujourd'hui 30 mars, c'est à 8h30, 14h30 ou encore 18h30 qu'il se déclenchera). En parallèle, le virus réduit les paramètres de sécurité Internet de Windows à leur plus bas niveau. Rien de grave en soi, les données des utilisateurs ne sont normalement pas touchées.

Mais le virus, en se répandant toujours plus, utilise les ressources de bande passante des entreprises et des fournisseurs d'accès à Internet.

En attendant, la plupart des sociétés infectées ont interdit l'expédition de messages extérieurs. Trend-Micro a déjà posté un anti-Melissa sur son site et les administrateurs de réseaux chassent actuellement la petite bête sur leurs machines mais sont contraints de réajuster les paramètres de sécurité manuellement sur toutes les machines infectées. L'ensemble des éditeurs d'anti-virus devraient poster très rapidement une mise à jour de leur logiciels sur leurs sites web.

En espérant que certains petits malins ne vont pas adapter Melissa à leur sauce et ne lui donnent des capacités plus destructrices...
 
 

1.  HAPPY99: C'EST PAS LA JOIE!
 Ce virus se manifeste depuis quelques mois dans le courrier électronique. Le fichier HAPPY99.EXE est attaché à un courrier et s’il est exécuté, il affichera sur l’écran un feu d’artifice… pendant qu’il profite de cette diversion pour aller inscrire 3 fichiers pirates dans votre dossier WINDOWS. Ces fichiers seront activés chaque fois que vous enverrez un courrier en y attachant, à votre insu, le fameux fichier HAPPY99.EXE. Sans le savoir, vous venez de polluer l’ordinateur de votre destinataire si celui-ci exécute le fichier attaché.

HAPPY99.EXE ne détruit aucun fichier sur l’ordinateur… il n’est donc pas trop méchant. Il vise tout simplement à se propager sur tous les ordinateurs de la planète pour finir par créer un embouteillage monstre sur le Web. Ce qui est particulièrement vicieux c’est que celui qui en est atteint ne le sait même pas et qu’il continue ainsi à contaminer les autres à son insu…

Pour vérifier si HAPPY99.EXE a élu domicile sur son ordinateur, on doit aller dans le dossier WINDOWS pour rechercher si l’un des 3 fichiers suivants s’y retrouve : ska.exe, ska.dll ou Wsock32.ska. Si c’est le cas, il existe une procédure pour éradiquer le virus car il n’est pas suffisant de supprimer seulement les 3 fichiers pirates.
 
 


 LES MOUCHARDS


 

1. Vous avez Shockwave7. Il y avait une faille dans ce logiciel que les éditeurs ont corrigé. Cette faille permettait de récupérer les mots de passe et les données personnelles des intrenautes. Pour voir les pages animées par Shockwave, on devait télécharger un plug-in qui normalement devait s'installer sur le navi. Au départ le plug-in devait envoyer à l'éditeur les données liées aux sites visités. Mais dans d'autre cas il était possible de récupérer les mots de passes d'accès des sites!
2. Vous avez MSIE5 (Microsoft Internet Explorer 5). Celui-ci envoie des infos aux serveurs des sites qu'on inscrit dans nos signets. Et en plus c'ets pas un bug, c'est une fonctionnalité voulue, elle permet aux administrateurs de sites d'insérer leur logo à côté de leur nom dans la liste. Ca permettrait à certaines sociétés de remplir leurs bases de données de multi-informations concernant leurs visiteurs. Le pire est qu'on ne peut actuellement RIEN faire. Mais en se procurant le proxy des Junkbusters (http://www.junkbusters.com), ils pourront placer une ligne /favicon.ico dans le fichier de filtres et régler le problème.
3. Vous utilisez SmartCenter (de Netscape!!!). On regarde ou vous vous déplacez pour vos recherches. Mais là c'est déjà moins un secret, et on est au courant de l'endroit ou transitent les requêtes.
4. Vous avez le Minitel. Le minitel possède aussi (au moment ou l'on parle du PentiumIII justement) une puce numérotée...
5. Vous utilisez Netscape Communicator. Un bug dans le navigateur Netscape Communicator serait responsable d'une faille de sécurité susceptible de trahir les internautes surfant anonymement sur le web grâce à des services comme Anonymizer.com. Ces derniers sont en effet capables de désactiver les scripts contenus dans les pages visitées, afin d'empêcher un site web d'insérer des cookies ou de prendre connaissance de certaines données sur l'internaute en vadrouille. Or, avec Netscape Communicator, des commandes Javascript insérées dans les champs texte des formulaires permettent de passer outre la protection offerte par des services comme Anonymizer.com. Anonymizer.com devrait proposer dans les prochains jours un correctif à ses utilisateurs utilisant Communicator. En attendant, il leur est conseillé de désactiver Javascript dans le menu de configuration du navigateur.
6. Vous avez Windows98. Microsoft vient de proposer un programme permettant d'éliminer le GUI, le numéro unique qui marque votre disque dur et tous les documents que vous produisez si vous avez installé Windows 98 (voir HNT-Mag by mail n°9). Les utilisateurs de Windows 98 peuvent télécharger ce programme à partir du module Windows Update (Menu Démarrer, puis Paramètres), les autres pouvant le trouver sur le site de Microsoft. L'actualité récente a démontré la redoutable efficacité de ce mouchard, puisqu'il est un des éléments qui ont permis au FBI de retrouver le père présumé du virus Melissa (voir HNT-Mag by mail n°12) en quelques jours seulement. Or si l'on peut admettre que son utilisation soit dans un tel cas justifiée, il est cependant impossible de garantir que le GUI ne puisse être employé dans des dessins plus obscurs. Sa détection pourrait ainsi être facilement incluse dans des programmes de hacking "pré-mâchés" tels qu'il en circule abondamment, et il suffirait alors d'une intrusion réussie chez Microsoft pour donner accès aux noms des utilisateurs et autres renseignements correspondants à chaque GUI. C'est en cela qu'il constitue une menace sérieuse pour la vie privée...
7. Vous utilisez Lotus Notes 4.5 et 4.6. Lotus a confirmé l'existence d'un bug compromettant la confidentialité du courrier électronique dans son logiciel de messagerie Notes. Selon le magazine en ligne CNet, qui rapporte l'information, ce bug rend lisibles des mails censés être cryptés. Il affecte les versions Ltus Notes 4.5 et 4.6. On n'oublie pas que le gouvernement suédois a découvert que le système de cryptage Lotus Notes comporte une faille destinée à être exploitée par les services secrets américains pour espionner les entreprises européennes. Bugs involontaires???
8. Vous utilisez Real ou Media Player. Lorsque vous vous enregistrez en ligne pour utiliser l'un des logiciels, des informations à votre propos sont immédiatement transférées chez les éditeurs (RealNetworks ou Kro). des informations telles que le type de brouteur utilisé, la dernière page visitée, sont collectées et votre activité enregistrée lorsque vous l'utilisez.

 Cet E-mag n'aura pas pas été aussi long que prévu mais il est assez complet. En espérant qu'il vous ait plu, vous pouvez faire vos réclamations à clad_strife@hotmail.com, Mon N° ICQ est: 22350168
L'auteur et le réalisateur de ces articles est Clad Strife. Cet e-zine est protégé par le copyright. Prière de demander l'avis à son auteur (Clad Strife) ou à Pirates Mag (Cracker un password Bios) pour en faire une autre utilisation.