Un aperçu de l’histoire des virus, des vers et des chevaux de Troie - deuxième partie
L’augmentation de la mise en réseau des ordinateurs est exploitée pour la première fois en 1988 par un programme insidieux d’un nouveau genre : les vers exploitent aujourd’hui les failles des réseaux. À cette époque, aussi bien les auteurs de virus que les spécialistes antivirus durent s’organiser. Un logiciel antivirus fut créé.
1988 |
Le virus MacMag fut le premier à être créé pour l’ordinateur Macintosh et il proposait toute une série d’innovations. Il fut le premier virus à être conçu sur commande (par le rédacteur en chef de MacMag). Il fut également le premier virus qui attaquait des fichiers (des fichiers HyperStack, dans le cas présent) pour se répandre. Il ne présentait aucune fonction nocive, à l’exception de l’affichage d’un message. L’Indonésien Denny Yanuar Ramdhani détecte et supprime le virus "Brain" avec son virus "Den Zuk" et met ainsi au point le premier virus antivirus. Le vendredi 13 mai, une bombe logique éclate pour la première fois avec le virus Jerusalem (il s’agit d’une bombe à retardement). Une nouvelle famille de virus était ainsi créée. Jerusalem est le premier virus résidant en mémoire (un virus de fichier au sens premier du terme). En raison d’un bogue, il infecte toujours le même fichier, ce qui permet de le détecter. Le mécanisme de propagation est similaire à celui du virus Lehigh mais plus efficace. En effet, non seulement les fichiers .COM mais également les fichiers .EXE sont contaminés. Robert T. Morris jr. - le fils de l’expert en sécurité informatique de la NSA - crée un ver Internet qui accède à de nombreux (2 000 - 6 000) ordinateurs sous UNIX grâce à une petite liste de mots de passe et se répand ensuite comme le virus Tannenbaum, ce qui entraîne l’arrêt des réseaux et des messageries. Aucun action de l’utilisateur n’est nécessaire. Le ver Internet n’a pu être combattu que par des échanges téléphoniques qui permirent de le localiser. Le premier kit de construction de virus pour le système Atari ST fait son apparition. Les débutants peuvent également mettre au point des virus avec certaines propriétés. En réponse à l’augmentation de l’activité des concepteurs de virus et en particulier à celle des concepteurs du "ver Internet", on a créé aux États-Unis le "Computer Emergency Response Team /Coordination Center (CERT/CC)". Ce service donne des conseils sur la protection des données. De tels services ont également été créés en Allemagne. |
1989 | DataCrime est à l’origine d’un véritable tapage médiatique. Avec "Vienna" apparaissent les premiers virus polymorphes. Il se crypte lui-même avec différents codes et modifie également la forme des procédures de décryptage. C’est pourquoi on ne peut le dépister qu’avec des logiciels antivirus fonctionnant avec des algorithmes complexes et qui ont en outre tendance à déclencher de fausses alertes. Ce fut le début de la fin pour beaucoup de fabricants de logiciels antivirus.En juillet paraît la première édition du Virus Bulletin. Depuis, il est devenu le magazine spécialisé le plus réputé des chercheurs de virus. En Bulgarie, Dark Avenger a introduit deux nouveautés : 1. Avec le "Fast Infector", ce ne sont pas seulement les fichiers exportables ("Command.com" en premier) qui sont attaqués, mais également les fichiers ouverts et copiés. Ainsi, l’ensemble du disque dur est vite touché. 2. À des intervalles irréguliers, différents secteurs du disque dur sont écrasés. Mais, on ne le voit pas dans la plupart des cas. Les sauvegardes qui sont fréquemment effectuées pour protéger l’ordinateur contre des attaques de virus sont alors inefficaces. À Haïfa (Israël), on découvre avec Frodo le premier virus camouflé qui infecte des fichiers. Il endommage le disque dur de l’ordinateur PC une fois la date du 22 septembre passée. La routine correspondante ne fonctionne pas. Un cheval de Troie est répandu sur des disquettes par la société PC Cyborg, dont le siège est à Panama, sous la forme d’informations sur le SIDA. Le virus AIDS remplace le fichier autoexec.bat et commence, après un nombre précis (90) de redémarrages, à chiffrer le disque dur. Il faut ensuite procéder à des calculs pour trouver le code de déchiffrement du disque. |
1990 | La création de virus devient à la mode. Dans les VX (Virus Exchange) Bulletin Boards, on échange des anciens et des nouveaux virus. 4096 octets est la taille du virus du même nom qui est apparu en janvier. Il est joint à des fichiers de données exécutables ou ouverts. Le mécanisme qui essayait de le cacher entraîne souvent la destruction de fichiers. La tentative d’affichage du message "Frode Lives" entraîne une panne de système. Aux États-Unis, les premiers virus polymorphes s’appellent V2Px, Virus-90 et Virus-101. Les virus associent des mécanismes de camouflage et de chiffrement. Il s’agit de virus multipartites. Le virus Fish est un virus camouflé avec un chiffrement compact (14 octets). Joshi a permis à la dissimulation des virus du secteur d’amorçage de faire un bond en avant. Anthrax et V1 sont d’autres exemples de virus multipartites. Le premier virus multipartite développé avec succès s’appelle Flip. Les premiers virus en plusieurs parties sont Anthrax et V1. Flip est le premier virus de ce type qui est parvenu à se diffuser. L’association des amateurs de virus allemands crée le premier kit de construction de virus pour DOS. Ainsi, même les débutants peuvent créer leurs propres virus sur mesure. En décembre, le premier Institut européen de recherche sur les antivirus (abrév. EICAR) est créé. Il joue un rôle important dans la lutte contre les virus et les auteurs de virus. |
1991 | Michelangelo est un virus de secteur d’amorçage qui écrase les 256 premiers secteurs du disque dur le 6 mars, date anniversaire de Michel-Ange. Ainsi, l’ordinateur devient inutilisable. L’année suivante, le virus Michel-Ange est largement couvert par les médias, ce qui a assurément permis d’éviter quelques dommages. Il est resté actif pendant plusieurs années. Les virus polymorphes deviennent de plus en plus fréquents. Tequila est le premier virus polymorphe largement répandu. Maltese Amoeba écrase le premier secteur du disque dur à deux moments précis de l’année. Robert Slade commence sa série de guides d’initiation sur les virus informatiques. Peu après, il commence à travailler sur le VIRUS-L-FAQ. Avec DirII, on découvre le premier virus de type Cluster. Le virus "Saddam-Hussein" chiffre certaines parties de disques durs d’ordinateurs Amiga si bien que ceux-ci ne peuvent être lus que si le virus est dans la mémoire. |
1992 | Un auteur de virus qui se fait appeler Dark Avenger crée le moteur de mutation (MtE) en janvier. Grâce à cet outil, on peut, avec peu de moyens, fabriquer des virus polymorphes à partir de virus normaux. MtE est ainsi le premier utilitaire qui permet de fabriquer des virus polymorphes. Les systèmes Commodore Amiga et Atari ST perdent de leur importance tandis que le système MS-DOS s’impose. Le nombre de virus DOS augmente de manière correspondante. Altair est créé comme logiciel antivirus pour protéger Atari ST. Il écrase tous les virus qu’il trouve dans le secteur d’amorçage. Il échoue comme tant d’autres "virus antivirus". WinVir 1.4 est le premier virus destiné à Windows. Le premier virus à infecter les fichiers SYS a pour nom Involuntary. Le virus Commander Bomber, qui a également été créé par Dark Avenger, utilise un nouveau mécanisme de camouflage. Il attaque les fichiers .COM et n’est pas joint en un seul bloc, il infecte plutôt plusieurs fragments qui sont reliés les uns aux autres. Pour le reconnaître, on doit balayer l’ensemble du fichier. |
1993 | De nouveaux utilitaires servant à fabriquer des virus polymorphes apparaissent : Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) et Dark Angel’s Multiple Encryption (DAME) sont basés sur l’utilitaire MtE. Les signatures de virus continuent d’être utilisées. Le système MS-DOS 6 est le premier système à disposer d’un outil d’analyse des virus (médiocre). In inclut un composant On-Access défectueux, il est donc possible de désactiver la protection antivirus. Le virus de l’ordinateur Amiga Fuck (désolés, nous ne sommes pas à l’origine de son nom), qui diffuse un cheval de Troie camouflé dans un programme de test de modem, remplace d’abord le fichier système loadWB. Après le redémarrage de l’ordinateur, le code du virus est exécuté : après un certain temps, déterminé par le taux de répétition des images, l’ensemble du disque dur est écrasé par le fichier malveillant F-Wort, ce qui conduit à la destruction de toutes les données. Joe Wells crée le premier Wildlist en juillet. Il souhaite ainsi répertorier les activités des virus qui sont en circulation. De cette liste est ensuite née la Wildlist Organization. D’autres virus informatiques pour le système Windows font leur apparition. |
1994 | Les premiers virus multipartites font leur apparition. Ces virus utilisent plusieurs mécanismes d’infection et ils peuvent attaquer à la fois des fichiers, des secteurs d’amorçage et/ou des tableaux de partitions. En Angleterre, le jeune Black Baron crée Smeg.Pathogen (et Smeg.Queen). Smeg.Pathogen affiche un message et écrase ensuite les 256 premiers secteurs du disque dur. Cela a conduit à de très sérieux dommages dans quelques entreprises. Black Baron a été condamné l’année suivante à une peine de prison. Kaos4 a infecté un newsgroup spécialisé dans les contenus érotiques. Depuis, cette stratégie a été fréquemment utilisée. Les virus Hoaxes sont devenus, avec les mises en garde "Good-Times", un problème sérieux mais méconnu. |
Histoire des logiciels malveillants
© 2007 - 2010 G Data Software AG. Tous droits réservés.
