Histoire des virus informatique
In the Wild

Michel Dubois
`myshell.dubois@neuf.fr`
`http://vaccin.sourceforge.net`

1 L'enfance de l'art

Comme nous venons de le voir, il a fallu plus de trente ans de maturation avant de voir l'apparition du premier code autoreproducteur. La suite de l'histoire s'accélère, en moins de dix ans - de 1984 au début des années 1990 - les virus informatiques sortent des laboratoires, infectent le jeune Internet et la lutte antivirale s'organise avec la naissance des premiers antivirus.

1.1 In the Wild

Le fait marquant du début des années 1980, est l'apparition des virus "In the Wild" [1]. Ce concept important permet de définir une cible d'action précise pour les antivirus et donc de fixer leurs critères de certification. Apparu officiellement en 1992 dans une conférence de Jeffrey Kephart et de Steve White sur les techniques de mesure de la prévalence des virus informatiques¹, la notion de virus "In the Wild" définit deux catégories de virus. D'une part, nous avons ceux qui ont une faible probabilité de propagation et qui existent uniquement dans les collections, ce sont les virus "zoo". D'autre part nous trouvons les virus détectés sur les réseaux d'entreprises ou sur les ordinateurs des particuliers, ce sont les virus "In the Wild".

1.1.1 Elk Cloner

Elk Cloner est le premier virus "In the Wild" référencé. Écrit en 1982 par un jeune lycéen de 15ans, Rich Skrenta², Elk Cloner se propage en infectant le système d'exploitation, stocké sur disquettes, des Apple II. Quand l'ordinateur démarre à partir d'une disquette infectée, le virus se lance automatiquement. Il n'affecte pas le fonctionnement de l'ordinateur et ne contient pas de charge nocive. Lorsque une disquette non infectée est insérée dans l'ordinateur, le virus s'y recopie automatiquement. La seule action visible pour l'utilisateur est l'affichage d'un poème (voir Fig. 1) lors du cinquantième redémarrage à partir d'une disquette infectée.

La motivation de Rich Skrenta est surprenante. En fait, l'auteur du virus avait pris l'habitude de distribuer à ses camarades des copies de jeux piratés. Jeux qu'il avait pris soin de modifier auparavant afin qu'ils s'arrêtent de fonctionner après un certain nombre de parties. Tout ceci pour irriter ses camarades. Au bout d'un certain temps, ces derniers comprirent les manigances de Rich Skrenta et décidèrent de lui interdire l'accès à leurs disquettes et ordinateurs. Dépité, ce dernier créa Elk Cloner afin de continuer à les embêter même en son absence!

Comme il le raconte lui-même³, l'auteur fut surpris de la rapidité de propagation de son virus: All of this seems pretty juvenile now, but Oh woe to me! I have never been able to get rid of my electronic plague. It infested all of my disks, and all of my friends' disks.⁴ Suite à cet évènement, il créa un programme pour détruire le virus mais il fut nettement moins efficace que le virus lui-même.

Elk Cloner: The program with a personality

It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!

It will stick to you like glue
It will modify ram too
Send in the Cloner!

Figure 1: Le poème affiché par Elk Cloner

Elk Cloner n'a pas provoqué d'épidémie à grande échelle. Seul le cercle restreint des amis de l'auteur a été concerné. Cependant, il marque un tournant dans l'histoire des virus informatiques car il fait prendre conscience des risques suscités par la propagation d'un tel virus dans le monde réel.

1.1.2 Brain

La concrétisation de ces risques se produit en janvier 1986. Irrités par l'extension du piratage des logiciels dans leur pays, deux frères, Basit et Amjad Farooq Alvi, commerçants en informatique à Lahore au Pakistan, décident de développer un virus afin d'évaluer le nombre de copies illégales. Ce dernier est installé dans le secteur de boot des disquettes de chaque programme vendu à l'étranger, et le label de ces disquettes est remplacé par (c) Brain. Le virus contient un message (voir Fig. 2) contenant le nom, l'adresse et le numéro de téléphone des auteurs.

Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination............$#@%$@!!

Figure 2: Le message contenu dans Brain

Brain est un virus de boot résident mais c'est aussi le premier virus furtif. En effet, il s'installe sur le secteur de boot - le secteur 0 - de la disquette et recopie le secteur initial dans un secteur vide. Toute tentative de lecture du secteur 0 d'une disquette infectée par un ordinateur dont la mémoire contient le virus est interceptée et redirigée vers la copie du secteur de boot. À part l'infection du secteur d'amorçage et le remplacement du nom du disque par (c) Brain, le virus ne fait rien d'autre, il ne contient aucune charge nocive.

Apparu en janvier 1986, Brain se propage dans le monde entier en quelques mois. Plusieurs versions différentes voient le jour par la suite. Le 22 octobre 1987, le virus est repéré à l'Université de Delaware. En juillet 1989, le virus est en tête du top 10 publié par John McAfee et recensant les virus responsables de 90% des infections dans le monde. Les deux frères à l'origine de Brain travaillent toujours dans l'informatique, au Pakistan, à la tête de leur entreprise de fournisseur d'accès à l'Internet: Brain Limited⁵.

1.1.3 Lehigh, Stoned, Suriv, Jerusalem, Cascade, Vienna, ...

Avec l'avènement des premiers micro-ordinateurs compatibles IBM PC, le nombre de nouveaux virus augmente sensiblement. En effet, cette nouvelle plateforme informatique, en concurrence avec l'Apple II de Macintosh, entre massivement dans les entreprises, les universités et les foyers. Dans ce contexte, les développeurs de programmes autoreproducteurs trouvent leur "nouvel Eldorado" et les années 1987, 1988 et 1989 sont particulièrement riches en nouveautés virales.

Ainsi, Lehigh est découvert en novembre 1987, dans l'université du même nom aux États-Unis. N'infectant que le fichier Command.com, il détruit une partie de la table d'allocation des fichiers à la quatrième génération. À ce titre, il est le premier virus endommageant effectivement des données. Il ne sort pas de l'université de Lehigh, cependant le virus donne lieu à de nombreuses spéculations: Lehigh serait écrit par un étudiant ou un associé du docteur Fred Cohen.

D'autres virus voient le jour en 1987. Parmi eux, nous pouvons noter: Stoned, alias Marijuana, un virus neo-zélandais infectant le Master Boot Record. Lors du démarrage de l'ordinateur, il affiche le message: Your PC is now Stoned. Stoned est un petit virus résident de quelques centaines d'octets, il devient rapidement l'un des virus les plus répandus au monde. Un autre virus de secteur d'amorçage est découvert à l'université de Turin en Italie: Ping-Pong. Sa charge est simple, si le disque dur est accédé à la demie de l'heure, il affiche une petite balle qui rebondit sur les bords de l'écran. Enfin le virus Vienna fait beaucoup parler de lui. Le mystère sur ses origines amplifie son impact médiatique. Cependant, son intérêt réside surtout dans le fait qu'il est le premier virus pour lequel un programme permettant de le neutraliser est mis au point. Bernt Fix, l'auteur de ce programme, devient ainsi le précurseur des spécialistes modernes de la lutte antivirale. Le code de Vienna est publié par Ralph Burger dans son livre Computer Virus: The Disease of High Technology⁶.

La famille des virus Suriv est programmée par un inconnu en Israël. Son objectif initial est flou, il semble cependant, que ses virus sont le fruit d'une expérience. Le premier membre de cette famille: Suriv-1, est capable d'infecter les fichiers exécutables COM. Suriv-2 infecte les fichiers exécutables EXE. La troisième modification, Suriv-3, combine les propriétés des deux premières versions et peut ainsi infecter les fichiers COM et les fichiers EXE. Enfin, le quatrième membre de la famille: Suriv-4 est plus connu sous le nom de Jerusalem.

Jerusalem⁷ est donc un virus pour DOS⁸ détecté à Jerusalem en octobre 1987. Après avoir infecté un ordinateur, il devient résident en mémoire et infecte chacun des fichiers de programme exécutés sur la machine. Sa charge, consistant à détruire tout programme exécuté, ne se déclenche que les vendredi 13. Jerusalem, ainsi que ses nombreuses variantes, se répand rapidement dans le monde entier et reste pendant de nombreuses années le virus le plus courant⁹.

Le dernier fait marquant de 1987, est l'avènement du virus chiffré Cascade. Il doit son nom à sa charge, en effet, une fois actif, le virus provoque la chute des lettres au bas de l'écran. Le virus contient deux parties: le corps du virus et un programme de chiffrement codé sur 35 octets. Ce programme chiffre le corps du virus pour lui donner une apparence différente dans chaque fichier infecté. Une fois le virus chargé, le programme de chiffrement prend les commandes afin de décoder le corps du virus puis de lui transmettre les commandes. Cascade est donc le premier virus polymorphe. En 1988, les conséquences des infections de Cascade, pousse la société IBM à développer sa propre solution antivirus publique.

1.2 L'invasion des vers

En 1987, l'Internet est un réseau informatique comptant près de 60 000 ordinateurs et 100 000 utilisateurs. Les grands réseaux s'interconnectent, l'utilisation des emails et de Usenet se généralise. C'est dans ce contexte propice que vont apparaître de nombreux vers.

1.2.1 IBM Christmas Tree

Le premier d'entre eux, IBM Christmas Tree [2], est diffusé le 9 décembre 1987 sur le réseau EARNet¹⁰. Selon son auteur, un étudiant allemand, l'objectif de son programme est de souhaiter un joyeux Noël à ses camarades d'université. Malheureusement, moins d'une semaine plus tard le 15 décembre 1987, le ver, transitant par le réseau BITNET¹¹, paralyse pendant deux jours le réseau de messagerie privé VNET de IBM.

`              *              `
`              *              `
`             ***             `
`           *******           `
`         ***********         `
`       ***************              A`
`           *******           `
`         ***********               VERY`
`       ***************       `
`     *******************           HAPPY`
`         ***********         `
`       ***************           CHRISTMAS`
`     *******************     `
`   ***********************        AND MY`
`       ***************       `
`     *******************       BEST WISHES`
`   ***********************   `
` ***************************  FOR THE NEXT`
`           ******            `
`           ******                 YEAR`
`           ******            `
`                             `

Figure 3: Les voeux de IBM Christmas Tree

IBM Christmas Tree est un ver de messagerie qui se présente sous la forme d'un email contenant un programme - Christma Exec - en pièce jointe. À son exécution, il affiche ses voeux, prend l'ensemble du carnet d'adresses de la messagerie de l'utilisateur et envoi une copie de lui-même à tous les destinataires. Le sujet du message "Let this exec run and enjoy yourself!" invite à exécuter le programme joint. Lors de son exécution, ce dernier affiche le message de la figure Fig. 3.

1.2.2 RTM Worm

Le soir du 2 novembre 1988 vers 18h00, un programme autoreproducteur commence à se répandre sur l'Internet à partir de l'ordinateur prep.ai.mit.edu¹² du laboratoire d'intelligence artificielle du MIT¹³. Une heure plus tard, un routeur de l'université de Berkeley est infecté à son tour. Vers 20h00, le serveur finger de l'université de Maryland est attaqué. À 23h00, Peter Yee, du centre de recherche de la NASA, envoi un email d'alerte signalant une attaque virale et suggérant de fermer les services telnet, ftp, finger, rsh et SMTP en fonction sur les ordinateurs.

Toute la journée du 3 novembre, les systèmes informatiques de plusieurs universités et centres de recherches américains sont hors service. Le 4 novembre vers 6h00, une équipe de chercheurs de l'université de Berkeley termine la décompilation et l'analyse du ver. Le bilan est lourd, près de 6000 ordinateurs sont infectés, le montant des dégâts estimés varie entre 10 et 100 millions de dollars.

Le ver, à l'origine de cette infection - RTM Worm - , est écrit en langage C, par un étudiant de l'université de Cornell, âgé de 23 ans, Robert Tappan Morris¹⁴. Il s'attaque aux ordinateurs VAX et SUN-3 fonctionnant avec les systèmes UNIX BSD ou SunOS¹⁵ [3].

Pour se propager dans les réseaux RTM Worm utilise des vulnérabilités des systèmes BSD UNIX et SunOS. Son fonctionnement se décompose en plusieurs étapes:

Découverte du réseau et des ordinateurs connectés;
Utilisation des vulnérabilités des systèmes distants;
Connection sur l'ordinateur cible et envoi d'une copie du ver;
Compilation et exécution de la copie du ver sur l'ordinateur cible.

Le ver obtient la liste des ordinateurs accessibles par le réseau en parcourant les fichiers de configuration du système comme /etc/hosts.equiv ou en utilisant les informations de routage dynamique fournies par netstat. Pour pénétrer dans un ordinateur et s'y copier, le ver a trois possibilités: soit utiliser une vulnérabilité du service finger, soit utiliser une porte dérobée du serveur sendmail, enfin, si le ver arrive à pénétrer dans un ordinateur en déterminant le mot de passe d'un compte local, il utilise les services offerts par rexec et rsh. Une fois copié dans un nouvel ordinateur, le ver s'autocompile et s'exécute.

L'impact important de RTM Worm vient essentiellement du fait que peu d'administrateurs réseau étaient conscients des risques liés aux programmes autoreproducteurs. Cet incident est à l'origine de la création des CERT¹⁶. En France, le Service Central de la Sécurité des Systèmes d'Information¹⁷ émet, à cette occasion, une note à destination des entreprises traitant des données sensibles leur demandant d'éviter de se raccorder à de tels réseaux dont les points faibles sont multiples, et qui sont largement utilisés par les pirates de tout poil. [4].

Le rapport de la commission d'enquête sur l'incident du ver Internet, diligentée par le directeur de l'université de Provost, a conclus que Robert Tappan Morris:

a réellement conçu le ver;
a violé les règles de bon usage informatique de l'université;
n'a pas eu l'intention de détruire de données;

La justice a considéré qu'il avait violé le Computer Fraud and Abuse Act¹⁸ voté deux ans plus tôt par le congrès américain. Il sera condamné à 400 heures de travaux d'intérêts généraux, une période de probation de trois ans et 10 000 dollars d'amende.

1.2.3 Father Christmas Worm

Un mois après l'épisode de RTM Worm, le 23 décembre 1988, le réseau SPAN¹⁹ de la NASA est envahi à son tour par un ver: Father Christmas Worm [2]. À l'instar de IBM Christmas Tree un an plus tôt, il affiche les voeux de Noël.

HI,
How are you? I had a hard time preparing ale the presents.
It isn't quite an easy job. I'm getting more and more letters...
Now stop computing and have a good time at home!!
Merry Christmas and a Happy New Year
Your Father Chritmas

Figure 4: Les voeux de Father Christmas Worm

Father Christmas Worm cible les systèmes VMS de DEC via le protocole DECnet. Son mode de propagation est simple. Il utilise le compte par de défaut de DECnet pour copier le script du ver sur le système choisi, puis, à partir d'une fonctionnalité de DECnet - TASK 0 - il lance, à distance, l'exécution du script. Le ver attend alors le 24 décembre pour envoyer par email un message de voeux Fig. 4.

1.2.4 WANK

Après les vers permettant de diffuser la carte de voeux de l'auteur, les vers à caractère idéologique font leur apparition. Le 16 octobre 1989, le CERT²⁰ reçoit un message du noeud de contrôle du réseau SPAN, annonçant qu'un ver attaque les plateformes DEC VMS. Très similaire au Father Christmas Worm, le ver WANK se propage uniquement via le protocole DECnet.

 W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
_______________________________________________________________
\__  ____________  _____    ________    ____  ____   __  _____/
 \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
   \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
    \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
     \___________________________________________________/
      \                                                 /
       \    Your System Has Been Officically WANKed    /
        \_____________________________________________/

You talk of times of peace for all, and then prepare for war.

Figure 5: La bannière d'accueil de WANK

WANK effectue plusieurs actions sur les systèmes qu'il infecte:

Le ver contrôle qu'il travaille dans un répertoire où il a accès en lecture, écriture et exécution (droits UNIX rwx);
Il teste l'existence éventuelle d'une copie du ver sur le système;
Il change le mot de passe par défaut par une chaîne d'au moins 12 caractères aléatoires;
Il envoie, par email, le nouveau mot de passe à l'utilisateur GEMPAK sur l'ordinateur 6.59;
Il change le nom de son propre processus pour NETW_ suivi d'un nombre aléatoire;
Il change la bannière d'accueil du système s'il tourne avec les privilèges de SYSNAM - voir Fig. 5;
S'il tourne avec les privilèges SYSPRIV, il désactive la fonction email vers le compte système et modifie la commande de login système afin de donner l'impression de détruire les fichiers de l'utilisateur lors de la connection;
Il scanne la liste des comptes et tente de modifier les mots de passe;
Il tente d'accéder à d'autres ordinateurs en utilisant un numéro de noeud aléatoire et une liste de mots de passe par défaut;

Le CERT publie le 17 octobre un avis - CA-89:04 - contenant le descriptif du ver et la méthode pour l'éradiquer. Il renouvelle, dans le même temps, les recommandations de prudence et de vigilance faites lors de l'attaque de Father Christmas Worm concernant l'usage et la sécurisation des mots de passe.

1.3 Les premiers antivirus

1.3.1 Un constat alarmant

À la fin des années 80, la virologie informatique a déjà plusieurs années d'existence. Cependant, la communauté des spécialistes en sécurité informatique est divisée sur la dangerosité réelle des virus. Ainsi, le docteur Alan Solomon, dans son histoire des virus informatiques, raconte comment, en 1988, Peter Norton, développeur du logiciel Norton Utilities, déclare dans une interview au magazine Insight que les virus informatiques sont un mythe similaire à celui des grands crocodiles vivant dans les égouts de New-York!

1988 est l'année durant laquelle de nombreuses entreprises vendant des logiciels antivirus apparaissent. Ces entreprises sont, en général, composées de deux ou trois personnes. Leur logiciel est un simple scanner qui réalise des recherches contextuelles pour détecter les séquences spécifiques de code viral. Ces produits sont vendus à un prix relativement bas situé entre 5 et 10 dollars. Ils sont souvent accompagnés d'un utilitaire d'immunisation. À l'époque, le terme immunisation signifiant simplement: faire croire au virus que l'ordinateur a déjà été infecté. Malheureusement à chaque virus correspond un utilitaire d'immunisation propre, et la forte croissance du nombre de virus rend cette solution rapidement inefficace pour contrer les épidémies virales. Enfin, les scanners ne fonctionnent pas avec les nouveaux virus et les canaux de distribution de mises à jour sont très lents.

Par ailleurs, les utilisateurs et, comme nous l'avons vu plus haut, certains professionnels ne sont pas sensibilisés aux besoins de la protection antivirale. Les conséquences sont graves: la propagation de virus tels que Jerusalem, Cascade, Stoned ou Vienna est facilitée par le facteur humain.

1.3.2 Premières armes

Peu à peu, la lutte contre les virus informatiques s'organise. Le 22 avril 1988, Ken Van Wyk, un associé de Fred Cohen, crée le premier forum électronique consacré à la lutte antivirale. Il s'agit du forum Virus-L sur le réseau Usenet. En juillet 1989, parrainé par Sophos, Virus Bulletin Ltd ²¹ est lancé. Il s'agit d'un magazine mensuel. Très rapidement Virus Bulletin acquière une réputation mondiale offrant des informations techniques sur les virus, les antivirus et, plus tard, le seul comparatif indépendant de solutions antivirales. La première édition de Virus Bulletin, en juillet 1989, liste 14 virus pour IBM PC et 10 virus pour Macintosh.

Un premier logiciel antivirus voit le jour en 1988: Anti-Virus Toolkit. Ce programme, très populaire et largement utilisé dans le monde, est le fruit du travail d'un informaticien anglais, le docteur Alan Solomon. Dans le même temps, sa société fonde Virus Fax International qui devient plus tard Secure Computing. Aujourd'hui encore, Secure Computing est considéré comme l'une des sources d'informations les plus populaires sur les questions de sécurité informatique. Chaque année le magazine organise le concours pour le titre de "Secure Computing Awards" qui récompense les meilleurs développements dans divers secteurs dont la sécurité antivirus.

La même année, sérieusement touchée par le virus cascade sur son site de Lehulpe, la société IBM décide de se doter de moyens de lutte contre les virus. Elle confie à son "High Integrity Computing Laboratory" dirigé par Steve White et situé à Yorktown, la mission de se spécialiser dans ce domaine de recherche. Très rapidement l'entreprise dispose d'un logiciel antivirus pour un usage interne. Suite à l'insistance des grands comptes liée à la menace de Jerusalem et de Datacrime, IBM propose son antivirus à la vente le 4 octobre 1989 pour la somme de 35 dollars. C'est la naissance de IBM V SCAN.

Dans sa première version, IBM V SCAN détecte 28 virus [4]. Il est composé de 3 fichiers:

VIRSCAN.EXE le programme antivirus - 44 983 octets;
SIGFILE.LST la base de signature virale fichier - 2 873 octets;
VIRSCAN.EXE la base de signature virale système - 980 octets;

En octobre 1989, Eugène Kaspersky, un ingénieur russe constate que son ordinateur est infecté par le virus Cascade. Cet incident le pousse à développer un programme pour supprimer le virus. Son logiciel antivirus s'étoffe et un mois plus tard "-V" est capable de détecter le virus Vacsina. Quelques années plus tard, "-V" devient AVP Antiviral Toolkit Pro et Eugène Kaspersky fonde sa société, spécialisée dans la lutte antivirale, Kaspersky Lab.

D'autres logiciels antivirus voient le jour en 1989. Ainsi nous pouvons citer la naissance de F-Prot, ThunderBYTE ou encore VirusScan distribué sous la forme de shareware par John McAfee.

1.3.3 Des virus contre les virus

Nous avons déjà vu comment Bob Thomas, en 1971, avait développé Reaper afin d'éradiquer son premier ver bogué Creeper. Les exemples de virus détruisant d'autres virus sont peu nombreux. Nous pouvons toutefois citer l'un d'entre eux: Den Zuk .

Ce dernier, développé à Bandung en Indonésie par Denny Yanuar Ramdhani, est un virus de boot destiné à transmettre les salutations de son auteur. Lorsque l'utilisateur d'un micro-ordinateur infecté presse simultanément les touches <CTRL><ALT><DEL>, un message s'affiche à l'écran pendant quelques secondes avant le redémarrage de l'ordinateur ²².

Il semble qu'en indonésien, den zuk, signifie le chercheur. Sans doute en référence à sa capacité à supprimer le virus Brain puis à immuniser les disquettes contre toute nouvelle attaque de ce dernier. Le label (c) Brain des disquettes infectées par le virus Brain est changé en YC1ERP²³. Enfin, Den Zuko supprime son ancienne version connue sous les noms de Ohio et de Hacker²⁴.

Le virus Den Zucko sera signalé, entre autres, aux États-Unis et au Vénézuela.

References

[1]: Gordon (S.), What is wild ? , dans 20^th National Information Systems Security Conference. IBM TJ Watson Research Center, 1997. http://csrc.nist.gov/nissc/1997/proceedings/177.pdf.
[2]: Ferbrache (D.), Worm programs , Virus Bulletin, avril 1990, p. 6–9. Consultable sur http://www.virusbtn.com/virusbulletin/archive-pdf/1990/199004.pdf.
[3]: Spafford (E.), The internet worm: Crisis and aftermath , Communications of the ACM, vol. 32, juin 1989, p. 678–687. Consultable sur http://vx.netlux.org/lib/aes01.html.
[4]: Paget (F.), Vers & Virus. Dunod, 2005.

1: Measuring Computer Virus prevalence - Jeffrey O. Kephart and Steve R. White - Proceedings of the Seconde International Virus Bulletin Conference - Edinburgh, Scotland, Septembre 2-3 1992.
2: http://www.skrenta.com
3: http://www.skrenta.com/cloner/sci-am.html
4: Tout ceci semble bien puéril maintenant, mais hélas pour moi, je n'ai jamais été capable d'éradiquer ma peste électronique. Elle a infesté tous mes disques et tous les disques de mes amis.
5: http://www.brain.net.pk
6: Dans son livre paru en 1987, Ralph Burger explique comment il est possible de modifier le code d'un virus afin d'éliminer sa capacité à se reproduire. Cependant, son livre est plus connu pour ses explications sur les techniques de création de virus. Ces informations débouchent sur la création de milliers de virus inspirés partiellement ou complètement par les idées de Ralph Burger.
7: http://en.wikipedia.org/wiki/Jerusalem_(computer_virus)
8: Disk Operating System.
9: http://www.research.ibm.com/antivirus/SciPapers/White/VB95/vb95.distrib-node10.html
10: European Academic Research Network.
11: BITNET - acronyme de Because It's Time NETwork - est un réseau universitaire coopératif américain fondé en 1981. La société IBM a implémenté BITNET pour gérer son réseau interne. En 1991, le réseau BITNET reliait près de 500 organisations et comptait environs 3000 noeuds. Avec l'avènement du couple TCPIP et de l'Internet, la popularité de BITNET a rapidement diminué dans les années 1990 pour finir par disparaître.
12: Aujourd'hui, ce serveur héberge le site Web de la Free Software Foundation: http://www.prep.ai.mit.edu.
13: Massachusetts Institute of Technology.
14: Robert Tappan Morris est le fils de Robert Morris Senior l'un des inventeurs du jeu Darwin. À cette époque, Robert Morris Senior était chef de département du National Computer Security Center (NCSC) une division de la NSA.
15: VAX et Sun-3 sont des ordinateurs construits respectivement par Digital Equipment Corp. et Sun Microsystems Inc. UNIX est un système d'exploitation développé par les laboratoires Bell de AT&T.
16: Computer Emergency Response Team. Les CERT sont des centres de veille et d'expertise sur la sécurité de l'Internet.
17: Le SCSSI est devenu depuis la DCSSI - Direction Centrale de la Sécurité des Systèmes d'Information. Placée sous l'autorité du Secrétaire Général de la Défense Nationale (SGDN), la DCSSI a, entre autre, pour mission de contribuer à l'expression de la politique gouvernementale en matière de SSI. http://www.ssi.gouv.fr/fr/
18: Le Computer Fraud and Abuse Act est une loi votée par le congrès américain en 1986 dans l'objectif de réduire le piratage des systèmes d'information. Elle a été amendée en 1994, 1996 et en 2001 par le USA PATRIOT Act.
19: Space Physics Analysis Network.
20: CERT Advisory CA-89:04. http://www.cert.org/advisories/CA-1989-04.html.
21: http://www.virusbtn.com
22: Fridrik Skulason - The search for Den Zuk - Virus Bulletin février 1991. Téléchargeable sur http://www.virusbtn.com/virusbulletin/archive-pdf/index.xml.
23: En fait, ce code correspond à l'indicatif radioamateur de l'auteur du virus.
24: Dans une lettre adressée à Fridrik Skulason, l'auteur de Den Zuko précise que la première version de son virus s'appelle bien Hacker et non pas Ohio.

Page précédente

This document was translated from L^AT_EX by H^EV^EA.

Histoire des virus informatique In the Wild

Michel Dubois myshell.dubois@neuf.fr http://vaccin.sourceforge.net