VIRUS, les sâles bêtes !
Il y a trente ans, les virus informatiques n'étaient qu'un jeu d'ingénieurs. Dans les années 70, ils sont devenus une menace pour les réseaux. Aujourd'hui ils constituent un véritable fléau, les facteurs de contamination se multipliant au rythme du développement de la micro. C'est en apprenant à identifier l'attaquant et en comprenant son mode d'action que l'on parvient à mener une lutte efficace. Les logiciels antivirus disponibles proposent ainsi différentes méthodes pour protéger les systèmes informatiques, prévenir les infections, détecter les menaces sous-jacentes, éradiquer les programmes malveillants et, enfin, réparer les dégâts. Leurs qualités ne sont pas à mettre en doute, mais une protection totale ne sera assurée que si l'on respecte quelques règles d'élémentaire prudence.
Virus de fichier,
DOS
Virus de macro (Word,
Excel, Access, PowerPoint, Amipro)
Virus d'amorçage
Virus multiples
(fichiers, boot)
Virus multiplateformes
Vers Internet
Virus JAVA
Virus dits Cheval
de Troie
Virus Scripts (virus
langages de commandes)
Autres virus...
Nouveaux virus...
Essayons d'aller plus loin sur le plan technique, en étudiant plus précisément
les mécanismes précis de propagation virale. Il y a quatre phases
principales dans le fonctionnement d'un virus boot-secteur qui sont les suivantes
:
Phase 1 : L'ordinateur boote !
Dès le démarrage à froid (ou lors d'un reset, s'il n'est
pas revectorisé vers un programme), une certaine suite d'opérations
est effectuée, parmi lesquelles figurent celles qui concernent le bootsecteur.
Celui-ci, que nous abrègeront pas 'BS' par la suite, est le petit segment
de disquette qui se trouve en piste 0 secteur 1. Ce segment est utilisé
d'ordinaire pour charger un système d'exploitation à partir de
l'unité de disquette. Dans le cas d'un virus, il est dérouté
à des fins "criminelles". Voici, succinctement, les diverses
opérations le concernant :
- le système minimum charge ce segment en mémoire.
- il effectue un "checksum", opération destinée à
s'assurer que le BS est exécutable : la somme de tous les mots (octets
groupés 2 par 2 aux adresses paires) doit être égale à
1234 (hexa).
- si le checksum est différent de 1234 (hexa), le BS n'est pas exécutable
; la phase BS prend alors fin ici, et on retourne au système minimum.
- si le checksum est correct, le BS est considéré comme un programme
et il est exécuté d'emblée.
S'il ne s'agit pas d'un virus tant mieux, sinon rendez-vous en Phase 2.
Phase 2 : Installation d'un virus en mémoire
La deuxième phase consiste en deux actions possibles :
- le virus se recopie à une adresse précise (mais variable selon
les virus). Cette adresse est choisie de manière à ce que le virus
ne puisse être écrasé accidentellement par un programme
ou par le système.
- il modifie certains vecteurs du ST de manière à être réveillé
par n'importe quelle sollicitation d'une unité de disquette. Puis il
rend la main au système minimum.
Le virus est donc prêt à entamer la troisième phase, celle de la reproduction par clonage.
Phase 3 : Propagation du virus
Selon ce qui a été dit en phase 2, le virus "malveillant"
se réveille dès qu'une tentative de lecture ou d'écriture
est faite (ouverture d'un directory, chargement ou sauvegarde d'un fichier,
lecture ou écriture de secteurs sur l'unité de disquette). La
duplication par clonage se déroule ainsi :
- le virus lit le BS de la disquette sur laquelle est entreprise une opération
et charge en mémoire primaire (la RAM), toutes les informations concernant
la structure de la disquette. Privé de ces informations, on ne peut plus
accéder aux fichiers par le système. Le but du virus en Phase
3 n'étant pas de détruire la disquette, il conserve ces données
intactes. Lecture par commande 0008 (hexa) trap +4 (3F3C 0008 4E4E en langage
machine);
- il se recopie sur la mémoire à l'endroit où a été
copié le BS tout en conservant les informations citées plus haut.
Le code étant alors présent, il faut lui permettre de s'exécuter
en tant que BS;
- il modifie, pour cela, un mot "inutile" (dans le sens où
ce mot n'est ni du code exécutable ni un quelconque élément
d'information sur le format de la disquette), la plupart du temps le dernier
mot du BS. La modification de ce mot a pour but de forcer le checksum dont nous
parlions en phase 1, à la valeur 1234 (hexa). Le BS est alors exécutable
! Cette opération peut se faire "manuellement" (c'est-à-dire
par un programme inclus dans le code du virus, ou par l'intermédiaire
de la commande 0012 (hexa) du trap 14 (3F3C 0012 4E4E).
- il sauvegarde toutes ces informations sur le disque à l'emplacement
du BS. Commande 9 (hexa) du trap 14 (3F3C 0009 4E4E).
La phase de duplication étant terminée (cette phase peut se reproduire un nombre de fois indéterminé), il est temps maintenant de parler du réveil et de l'aspect "pathogène" du virus : la phase 4.
Phase 4 : Action pathogène du virus
L'aspect pathogène d'un virus est principalement décrit par deux
critères : le déclenchement de l'action et le type de l'action.
Cette quatrième phase sera donc liée au type du virus, quant au
déclenchement, il peut être de tout type :
- temporisation;
- nombre de boots (ceci implique qu'une valeur va être décrémentée
à chaque boot. Il faut alors la sauvegarder en même temps que le
virus);
- nombre de duplications du virus;
- clef cachée sur la disquette;
- aucun déclenchement (c'est le cas du vaccin Gillus, qui ne fait que
se copier de disquette en disquette sans action pathogène, nous pouvons
donc le qualifier de virus bénin).
- etc.
Les types d'actions sont aussi divers et variés :
- effacement d'écran;
- inversion de la souris;
- "Plantage" du système (bombes à la clef!);
- Ralentissement du système;
- Destruction des informations d'un support magnétique;
- aucune action (c'est le cas du vaccin!);
- etc.
SE PROTEGER
Voilà, vous connaissez déjà mieux ces petits "greemlins". Vous pouvez maintenant vous en protéger de manière efficace. Le plus simple consiste à rendre le BS inexécutable. Pour cela il suffit d'opérer comme à la phase 3, en altérant le checksum, par exemple avec un EOR #0001.
De quoi s'agit-il exactement ? A vrai dire, il faut un certain temps pour faire
le tour de la question car au cours de cette enquête, nous aurons rencontré
près de 30 Virus en boot-secteurs et 5 "Link virus", la liste
n'étant pas exhaustive... Inutile de s'affoler, mais le phénomène
existe, prolifère, et provoque dans certains cas des "crashes"
bien douloureux, surtout lorsqu'on n'a pas vraiment compris ce qui s'est passé.
Le nombre relativement grand de ces petites bêtes peut s'expliquer par
la prouesse certaine que constitue la programmation de ces virus, exigeant une
maîtrise complète du système, et motivant d'emblée
certains apprentis-sorciers se figurant passer leur examen de passage pour parvenir
au top de la caste des initiés.
Nous reviendrons, sans prétendre porter un jugement, sur les données
morales de la question, mais cet aspect du "challenge" pour programmeurs
avertis n'est pas étranger à la prolifération des virus.
L'enquête nous a fait remonter à Novembre 1987, avec la découverte du premier virus sur ST en Allemagne fédérale. Il s'agit du fameux Signum BPL, connu aussi sous le nom de Key virus, et il est extrêmement répandu. C'est un virus inoffensif, du fait - apparemment - de l'attente d'un code d'accès jamais arrivé (probablement une date antérieure), et qui lui permettrait de s'activer pour effacer le directory de la disquette. Mais aujourd'hui, l'inventaire actuel fait apparaître deux catégories bien distinctes de virus, aux conséquences similaires mais différenciées par leurs modes de reproduction.
1. Les Virus Boot-Secteur
Ils s'installent dans la partie de la disquette appelée Boot-secteur,
inaccessible au commun des mortels ne possédant pas un utilitaire pour
cela ce boot-secteur permet de donner rapidement à l'ordinateur tous
les renseignements relatifs au contenu de la disquette : nombre de faces, nombre
de pistes, de secteurs, etc. Il peut aussi contenir une routine exécutable,
comme c'est souvent le cas avec des jeux (pour déclencher une musique
d'attente ou un écran de chargement, ou les deux à la fois...),
et l'on parle alors de "boot exécutable".
Le principe du virus consiste à se multiplier dans un premier temps,
en se copiant en mémoire vive et en se reproduisant lui-même sur
les disquettes non protégées, puis, selon une routine prescrite
à l'avance (un certain nombre de copies, ou bien un décompte du
temps passé,...), à s'activer et à effectuer une fonction
précise. Celle-ci varie évidemment suivant les délires
de l'auteur, et le résultat en est invariablement une dégradation
de la situation de travail, allant de la simple perte de temps (obligation d'un
reset) jusqu'à la perte irrémédiable de données.
Sans doute un utilisateur non averti subit-il davantage les inconvénients
du virus, en ne sachant pas à quoi attribuer la panne évidente
qu'il rencontre.
1. SIGNUM BPL VIRUS (Novembre 1987)
Effectue une copie sur chaque disque si le boot est accessible, attend un code d'accès pour entrer en action mais n'a jamais pu être mis en route à ce jour; ne détruit pas le contenu de la disquette.
2. MAD VIRUS (Mars 88)
Effectue une copie sur chaque disque présenté dans le driver, pointe le nombre de copies effectuées, et au bout de cinq, entame une routine qui peut varier entre un brouillage de l'écran et des bruitages sonores incongrus; appelé également "Fun virus", il ne détruit pas le contenu de la disquette.
3. MUTANT SIGNUM VIRUS (Juillet 88)
Variante du premier sans le code, il rend la disquette sur laquelle il se trouve illisible et inutilisable normalement, mais sans perte des fichiers. Pas réellement dangereux mais ennuyeux, car il entre en action dès l'allumage de l'ordinateur.
4. ACA VIRUS (Juin 88)**
Voici l'un des plus dangereux virus existant sur ST et créé par le groupe ACA de Suède. Au bout de 10 copies de lui-même sur disquettes, il entre en action en effaçant la totalité du boot secteur, des FATs et du Directory, perdant irrémédiablement la totalité des fichiers.
5. FREEZE VIRUS (Juillet 88)
Se reproduit sur chaque disquette présentée, et dès le démarrage provoque un ralentissement interne de l'ordinateur rendant celui-ci de plus en plus long dans l'exécution des programmes; non destructeur mais pénible.
6. SCREEN VIRUS (Juillet 88)
Se reproduit sur chaque disquette présentée, noircit lentement mais sûrement l'écran, pixels par pixels jusqu'à le rendre opaque ! non destructeur.
7. C'T VIRUS (Août 88)**
Se reproduit sur chaque disquette présentée, mais également
sur disque dur s'il en trouve un de branché; résiste à
un reset (reset proof), et quand il entre en action sur une date précise
(1987) il détruit irrémédiablement le directory aussi bien
des disquettes que du disque dur. Virus d'origine allemande au vu du message
qui apparaît à l'écran après son oeuvre destructrice.
8. BHP VIRUS (Septembre 88)
Se reproduit sur chaque disquette présentée, mais curieusement aucun effet particulier n'a été détecté à ce jour!? Ne fait probablement que se reproduire, a été décrit comme reset-proof ce qui est totalement faux.
9. MAULWURF VIRUS (Septembre 88)
Se reproduit sur chaque disquette présentée, Reset-proof, fait apparaître périodiquement un message à l'écran : MAULWURF-SSG (Subversive software group) et bloque le système d'exploitation. Virus d'origine allemande.
10. LAB VIRUS (Septembre 88)
Se reproduit sur chaque disquette présentée, au bout de dix copies noircit l'écran obligeant à un reset pour continuer à travailler.
11. FAT VIRUS (Mai 88)
Se reproduit sur chaque disquette présentée, use d'un timer avant de se manifester, entre en action en provoquant plein d'erreurs dans le système d'exploitation (dossiers illisibles, bombes...). Ne fonctionne qu'avec la première versions de ROMs. Virus d'origine suisse, appelé également "Swiss virus" ou encore "Blot Virus".
12. GHOST VIRUS (Novembre 88)
Se reproduit sur chaque disquette présentée, reset-proof, et après cinq copies, inverse les sens de la souris. Très prolifique, très répandu en Angleterre et en France. Appelé également "Mouse inversion virus".
13. 5th GENERATION VIRUS (Décembre 88)**
L'un des plus dangereux sur ST, car il est trop tard lorsqu'on s'aperçoit
de son action !
Après cinq copies générées, il détruit méthodiquement
le boot secteur, les FATs et le Directory, la destruction est irréversible
rendant pratiquement impossible aucun sauvetage.
14. OLI VIRUS (Décembre 88)**
Le plus vicieux sur ST, n'effectue une copie que sur les disques double faces et sur disque dur, se substitue en lieu et place de tout boot existant exécutable ou non, reset-proof, il est capable de détecter une lecture du boot et d'altérer les données pour rendre plus difficile sa détection ! Après une vingtaine de copies, il bloque tout le système pour le relâcher au bout d'un certain temps et ainsi de suite.
15. MALWURF I VIRUS GERMAN TOS (Janvier 89)
Identique à la version anglaise décrite en 9.
16. KOBOLD #2 VIRUS (Janvier 89)
Se reproduit sur chaque disquette présentée, reset-proof, programmation très compliquée, a été recensé comme pouvant développer des effets néfastes sur le disque dur. Non confirmé jusqu'à aujourd'hui, il devient actif après un deuxième reset à partir de la disquette contaminée, et semble ne rien faire d'autre que de se reproduire.
17. MUTANT MAD VIRUS (Janvier 89)
Identique à la version décrite en 2, il connaît une nouvelle routine, et provoque un crash aussitôt qu'il devient actif tout en combinant les symptômes d'écran et de sons. Aucune autre altération, facilement repérable.
18. 1st MUTANT ANTI VIRUS (Janvier 89)
Effectue une copie de lui même sur chaque disquette, excepté lorsque le boot est déjà exécutable, et provoque un crash dès son entrée en activité.
19. GOBLIN VIRUS (Avril 89)
Se reproduit sur chaque disquette présentée, seul virus ayant une double fonction : après seize copies, il commence à perturber l'écran par des erreurs constantes, et au bout de cent vingt huit copies, fait apparaître à l'écran le message "The little green goblins strike again". Aucune dégradation de disquette ni destruction de fichiers, mais impose une nuisance permanente.
20. SECOND MUTANT ANTIVIRUS (Mars 89)
2ème version du 18, mêmes critères que son frère, et en plus du crash, ajoute des aberrations sur les fichiers en cours de traitement.
21. COUNTER VIRUS (Mai 89)
Se reproduit sur chaque disquette en lecteurs A et B, entretient un décompte de ses propres copies, mais ne fait apparemment rien d'autre. Ebauche d'un virus jamais achevé ?
22. HELP VIRUS (Septembre 89)
Pas réellement un virus dans la mesure où il ne peut se reproduire tout seul, provoque au moment du chargement des bombes et des blocages système à l'écran. Pas réellement dangereux mais une vraie nuisance.
23. RANDOM VIRUS (Septembre 89)
Se reproduit sur chaque disquette en lecteurs A et B, mais, curieusement, semble ne pas fonctionner lorsqu'un disque dur est installé. Provoque, comme principale nuisance des aberrations au niveau du Directory.
24. GAUWEILER VIRUS (Mai 89)
Se reproduit sur chaque disquette présentée, reset-proof, entre en action au premier reset après contamination, et fait apparaître le message sur écran : "Aids - Gauweiler rache", ce qui laisse supposer aux esprits forts qu'il est d'origine allemande !
25. EVIL VIRUS (Mai 89)
Se reproduit sur chaque disquette présentée, reset-proof, contient dans sa routine le message : "Evil! a gift from old Nick", symptômes non encore précisés car en cours d'expérimentation ; l'auteur a cherché à le rendre indétectable par le AVK de Richard Karsmakers, peine perdue !
26. P.M.S. VIRUS (Mai 89)
Version curieuse, ce virus porte la date 1987 ! Symptômes non encore précisés, en cours d'expérimentation. Semblerait, par sa structure même, être une très ancienne version de virus qui serait passé au travers des mailles des filets des chasseurs de virus !
27. MUTANT GHOST VIRUS (Juin 89)
Même structure que son petit frère en 12, il a été altéré par des codes nouveaux, mais se recopie toujours sur chaque disquette présentée. Il provoque un crash du système au bout de cinq copies de lui-même, et quelquefois provoque un blocage complet du système, sans bombes.
2. Les Virus-Link
Ceux-ci ont la désagréable habitude de s'installer sur des programmes
préalablement choisis, en "se greffant" au début ou
en fin du code source à contaminer, puis, au cours de l'exécution
de ce dernier, en exécutant leur propre routine destinée évidemment
à provoquer divers dysfonctionnements.
Très difficile à déceler, impossible à enlever du
programme sur lequel il est lié, ce type de virus ne laisse que la solution
d'effacer ce programme contaminé et de le remplacer par sa version originale
"propre". D'une façon générale, ils provoquent
les mêmes symptômes que les virus-boots, et sont particulièrement
dangereux sur disque dur du fait de l'étendue des données et des
fichiers contenus. Heureusement, ils sont relativement difficiles à concevoir
du fait du nombre d'actions qu'ils doivent pouvoir effectuer : trouver un programme
vierge, le choisir parmi tous les programmes existants, se reproduire, engendrer
une boucle initialisable qui ne soit pas détectable, et effectuer sa
routine selon le schéma "souhaité".
1) MILZBRAND (Printemps 88)**
Virus proposé comme documentation en "type in listing" dans le magazine allemand "Computer & Technik", mais où le lecteur averti pouvait facilement adapter sa propre routine, d'où des variantes multiples qui se sont propagées. Il se copie donc sur les fichiers .PRG, entre en action dès qu'un fichier chargé porte comme date 1987, détruit le boot-secteur sur les disquettes, et provoque la perte irrémédiable de leur contenu! Il n'est pas prouvé qu'il ne s'attaque pas au disque dur...
2) CONSTRUCTION SET 2 (Octobre 88)**
Comme le précédent, il a été publié en Allemagne comme "type in listing", se copie sur les .PRG, et différentes routines pouvaient être créées par les lecteurs, depuis l'entrée de messages à l'écran jusqu'à des symptômes destructeurs, extrêmement variés étant donné le nombre d'auteurs possibles ! Par contre, ne semble pas toucher le disque dur !
3) ULURU (Novembre 88)
Symptômes non encore précisés, auto reproduction non encore bien déterminée, semble s'attacher plus particulièrement au traitement de texte de 1st Word Plus en contaminant les fichiers par des aberrations et effacements de textes. En cours d'expérimentation.
4) PAPA & GARFIELD (Novembre 88)
Se copie sur les fichiers .PRG, reset-proof, s'installe en mémoire en bootant une disquette contaminée, infecte tous nouveaux programmes ouverts à partir de là; très prolifique, on peut le déceler relativement facilement dans la mesure où apparaît, en haut à gauche de l'écran, un pixel qui flashe constamment suivi de temps à autre par l'apparition d'un message "Garfield and Papa was here".
5) CRASH (Mars 89)
Se copie sur tous les fichiers PRG, lecteur A et B ainsi que sur disque dur, reset-proof, provoque des crashs systématiques.
3. Les Virus Anti-Virus
Ils sont évidemment classés à part car, tout en ayant
des caractéristiques "virales" de contamination des boots-secteurs,
ils remplissent une fonction complètement différente, à
savoir qu'ils s'installent eux-mêmes à la place d'un virus dangereux,
ou l'empêchent de se mettre en activité. Il est donc logique qu'ils
se reproduisent eux-mêmes, comme leurs ennemis...
Mais il existe d'autres anti-virus, qui n'adoptent pas forcément les
méthodes du virus. En voici les meilleurs, et surtout leurs auteurs !
Nous avons la chance sur ST d'avoir des "toubibs" émérites,
sans doute cela tient-il au nombre imposant des passionnés de programmation
sur cette machine, qu'ils soient particuliers ou professionnels. Il s'en dégage
quatre d'entre eux pour la qualité et l'efficacité de leurs programmes
:
1) George Woodside, USA, update : V/Killer 2.02, Mai 1989.
17 virus-bootsecteur identifiés et expliqués, check-up constant
de la mémoire, interface couleur très réussie, gère
les lecteurs A et B, contrôle visuel (display) des secteurs de la disquette,
donc boot, Fat, Directory et Datas (sans écriture possible), sauvegarde
sur disquette ou listing sur imprimante des virus trouvés, software gratuit
actuellement chez Pressimage (frais de disquette et d'envoi : 20 Frs). Woodside
est l'auteur, aux USA, d'une quarantaine de programmes utilitaires dont le célèbre
Turtle pour disque dur, et possède une longue expérience en micro-informatique.
Il prépare une nouvelle version plus performante de son "V/Killer",
qui devrait gérer les disques durs.
C'est probablement le programme le plus agréable et logique car son analyse
est impartiale même dans les cas les plus difficiles (boot non identifiable
ou non exécutable).
2) Richard Karsmarkers, Hollande, update : AVK 3.6GB, Mai 1989.
24 virus-boot identifiés, 5 virus-link identifiés, check-up constant
de la mémoire, programme sans interface, pas de contrôle visuel
mais des fenêtres de dialogue omniprésentes avec aide, sauvegarde
sur disquette des virus trouvés, possède une bibliothèque
de 223 boots connus qu'il scrute au moment de la recherche, présente
une option de réparation de 151 boots parmi les plus connus en cas d'effacement
de l'auto-boot d'une disquette de jeu (ce qui sauve un logiciel original), est
capable également de reconstituer un faux boot moyennant les informations
qu'il demande (nombre de pistes, secteurs, interleave, etc.) dans le cas d'une
disquette inconnue de lui. Vendu un peu plus de 120 Frs à la FNAC (Juillet
89;Réf. 2553660), sous le nom de Virus Killer, importé d'Angleterre.
Un software cher mais qui vaut son prix, unique en son genre, très précis,
convivial malgré une certaine "raideur", pas d'aide mais un
fichier "Read.Me" très complet et facile à comprendre
en anglais. Se rentabilise rapidement grâce à ses multiples fonctions,
et une version 3.9 est en préparation, date de sortie non précisée.
3) Henrik Alt, Allemagne, update : SAGROTAN 4.12.
A la différence des autres programmes, possède une bibliothèque
évolutive avec 9 virus reconnus et 69 boots usuels reconnus. L'analyse
est basée sur le principe de comparaison, et après votre achat,
vous lui faites mémoriser toutes vos disquettes, afin qu'il puisse détecter
toute contamination virale future. Check-up constant de la mémoire, contrôle
visuel du boot, de la FAT, du Directory et des données, impression possible
des virus trouvés, programme sans interface, pas d'option de réparation.
Peut être demandé directement à l'auteur moyennant 30 DM
: Henrik ALT, SAGROTAN Kigerlweg 25, 7160 GAILDORF, RFA.
C'est un programme intéressant puisque modulable en fonction de l'utilisateur,
mais il présente néanmoins un talon d'achille : la nécessité
d'avoir pu mémoriser ses disquettes au préalable ! Ce n'est pas
évident car on se procure justement ce genre de logiciel après
une attaque...
4) Olivier Chedru, France, update : AV 2, Avril 1989.
Ce programme mérite une attention toute particulière, car c'est
beaucoup plus qu'un simple anti-virus. Pas de bibliothèque, mais un système
d'analyse très précis de la nature du boot-secteur qui lui autorise
un diagnostic de probabilité d'une grande fiabilité; possibilité
également de configurer un boot selon vos propres désirs ! mais
cela demande une bonne maîtrise du système. S'adresse particulièrement
aux fans de la programmation (le groupe Twilight Zone a collaboré avec
Ched pour mettre au point ce software), très convivial, musical (intro
superbe), belle interface couleur. Une petite merveille qui peut encore s'améliorer.
Contrôle visuel constant, sauvegarde des virus sur disquette. Freeware
bientôt distribué par Pressimage en téléchargement
sur le 3615 STMAG.
Une réussite certaine, et la démonstration que les talents de
programmation peuvent aussi servir la bonne cause. L'auteur prépare par
ailleurs une version permettant de personnaliser ses disquettes (intégration
d'images tous formats, volets et transitions, défilement de texte avec
choix de fontes, possibilité de script,...), et qui comportera aussi
une bibliothèque complète des virus connus.
1) ANTI-VIRUS 1 GB/NL (Août 88)
Existe en versions anglaise et allemande, se recopie sur chaque disquette présentée, et lorsqu'il est chargé, fait apparaître le message "This anti-virus beeps and flashes if the actual bootsector is executable, then that might be a virus ? Remove this anti-virus by reset". Lorsqu'il rencontre un boot exécutable ou un autre virus, il le signale par un beep sonore et un changement de couleur d'écran. A vous de vérifier ensuite le contenu de la disquette incriminée avec un autre anti-virus de "soin", celui-ci ne fait rien d'autre.
2) ANTI-VIRUS 2 (Septembre 88)
Même structure que le 1 mais fait apparaître un simple message intro au chargement : "Anti-virus".
3) ANTI-VIRUS USER v1.4 (Mai 89)
Plus "sophistiqué" que 1 et 2, il fait apparaître une couleur spécifique et reconnaît deux virus (Rouge pour Signum BPL, Violet pour Mad Virus, Bleu pour un bootsecteur exécutable, et Blanc si tout va bien). Très mauvais indice de reconnaissance, et son manque de fiabilité oblige à une surveillance accrue. D'origine française, il aurait été programmé par "le Félé".
4. La Question de créer les Virus
Le problème est plus compliqué qu'il n'y paraît, un peu
à la façon du vieux débat sur l'utilisation de la science
à des fins guerrières.
Nous parlions plus haut du "défi" sans doute ressenti par certains
doués de la programmation, mais plus généralement, le plaisir
de "détourner" l'objet, afin de mieux étonner ou abuser
les autres, n'est sans doute pas étranger à l'affaire. Or, si
l'intéressé est mû par un ressort ludique, qu'il ne cherche
que le clin d'oeil amusé et la complicité, cela peut donner un
petit coup de chapeau genre tasse de thé pas toujours désagréable,
si on a le temps. Par contre, il est évident qu'une réaction en
cascade, déclenchée pour faire mal, avec son cortège de
nuisances souvent incontrôlables, destinée par exemple à
mettre en péril tout un secteur d'activité, est redevable de l'acte
criminel, le mot n'étant pas trop fort lorsqu'on imagine les pertes enregistrées
dans certains cas de contamination "institutionnelle". Il y a donc
des virus qui se veulent rigolos (très peu nombreux malheureusement,
car même s'il ne sont pas du goût de tout le monde, ils sont au
moins pacifiques), des virus vengeurs, des virus vicieux (ce peuvent être
aussi des "rigolos" qui cachent leurs jeu, eh oui, qui croire aujourd'hui?),
des virus méchants, des virus destructeurs. Sont-ce là les portraits
d'une galerie de programmeurs masqués, d'une société en
perte d'identité ? De toutes façons, les gens sont méchants.
Seule solution : se protéger. Non, pas l'auto-défense, avec les
chiens, le fusil, et la haine. Non. Mais surtout de la sérénité
et quelques petites précautions, dont trois premiers principes immuables
:
1) ne jamais booter votre ST avec une disquette inconnue;
2) vérifier et tester toutes nouvelles disquettes reçues;
3) effectuer toujours une copie des disquettes importantes, que vous aurez
évidemment pris soin de tester !
ANNEXE
Pour terminer, voici encore quelques produits relatifs à la question virale sur ST, mais qui ne font pas l'objet de commercialisation.
A noter un petit un petit programme allemand vendu avec le GFA 3.0 ou son compilateur : IMMUN.PRG de Donald P.MAPLE (copyright GFA Systemtechnick 1988). Il se charge en dossier AUTO, signale toute contamination mémoire ou disquette, et propose une décontamination immédiate. Un des plus petits programmes au monde, environ 1900 octets, petit mais fort par le service rendu. Présent sur toutes les disquettes du produit GFA.
A noter un anti-virus français : le VACCIN-GILLUS de Gilles Sauvaire, le plus bel anti-virus sur ST, avec un bel arc en ciel de toutes les couleurs qui vous signale sa présence (à voir absolument en moyenne résolution couleur), reset-proof, prolifique mais dans le bon sens, pas de commercialisation, se transmet de bouche à oreille.
A lire: Virus, la maladie des ordinateurs de Ralph BURGER, édité
par Micro Application (environ 150F), traduit de l'allemand par Christophe Stehly.
Le bréviaire du parfait véroleur en informatique, tout y est,
le comment, le pourquoi, le pour, où et quand, sous toute forme de langage
: basic, pascal, C, etc. Un livre à mettre dans des mains sérieuses...
Au sujet de ce type d'information, on débattra longtemps pour savoir s'il vaut mieux en parler à fond ou s'il n'est pas dangereux de rendre publiques les techniques de vérolage, et l'on rétorquera aussi "qu'un virus connu est un malade de moins"... D'aucuns plaideront pour l'information et la dédramatisation, d'autres insisteront sur le secret à respecter pour éviter que des irresponsables s'engouffrent dans le vice. Pour les "victimes", en tous cas, le problème reste la détection et les soins d'urgence. Espérons que ce travail aura un peu clarifié les choses !