Suivez-nous sur X
|
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z,
ALL
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z
|
|
A propos d'Obligement
|
|
David Brunet
|
|
|
|
Point de vue : Time Bomber, le premier cheval de Troie sur Amiga
(Article écrit par Xavier Leclecq et extrait d'A-News (Amiga News) - février 1990)
|
|
Amiga et virus, une histoire ancienne
Sans doute un nouveau volet de l'histoire des "microbes" sur l'Amiga vient d'être ouvert. Au début de cette histoire
tout était simple, il y avait le virus by SCA qui se fixait sur le bloc d'amorce. Les clones de celui-ci ont alors
débarqué en masse : BSI, LSD, AEK... pour ne citer qu'eux et dont seul le texte révélant leur présence en mémoire
a été modifié (et les sommes de contrôle respectives).
Puis cette lignée de microbes (ne voyez là aucun titre de noblesse) en a inspiré bien d'autres toujours un
peu moins détectables et plus dangereux : Virus by the Byte Bandit, Gadaffi, The Lamer Exterminator, etc.
La ruse était poussée à l'extrême lorsque certains virus se faisaient passer pour des protecteurs de virus :
HCS 4220, Nighty Byte Warrior (DASA), The Pentagon Circle Virus Slayer, The Band Virus Slayer...
Les choses se compliquèrent alors lorsque les premiers "virus coquilles" apparurent : Team, BGS9, etc.
Ces virus s'inspirent de certains virus sur PC. En effet, ils ne s'attaquent qu'aux fichiers exécutables et
ont pas mal de défauts (défauts de jeunesse ?), le principal étant le manque de discrétion lors de
l'installation dans la startup-sequence. Ces microbes étant particulièrement dangereux pour les utilisateurs
possédant un disque dur.
Le cheval de Troie
Enfin, voilà le troisième grand type de microbe : le cheval de Troie. Au départ, il semble tout à fait inoffensif.
En effet, ce n'est pas un virus qui s'installe sur le bloc d'amorce, ni un virus s'infiltrant dans les fichiers,
il n'est pas résident en mémoire et il ne résiste donc pas à la réinitialisation. Que lui reste-t-il donc pour
nous faire peur ? Suivez bien le guide.
Le principe d'un cheval de Troie est de s'infiltrer dans une entité sans que l'on se doute un seul instant de sa
nature destructive puis comme une bombe à retardement détruire un maximum de l'intérieur...
Analysons un moment comment cette chose est possible. Vous venez de recevoir une disquette dont les origines sont
douteuses. Cette disquette contient une super doc et vous vous jetez dessus pour la lire (c'est déjà le mauvais
réflexe). Le disque est impérativement de type "DOS" et a une startup-sequence dont le premier fichier appelé
est "virustest" d'une taille de 936 octets. Ce fichier c'est notre cheval de Troie : The Time Bomber (à
ne pas confondre avec le Time Bomb Virus). Il est accompagné d'un fichier de 1 octet qui se nomme "VIRUSTEST.DATA"
et dont le rôle dans l'histoire est un compteur qui au départ est initialisé à 5.
Le fichier "VirusTest" étant appelé par la startup-sequence, il vous demandera de déprotéger la disquette en écriture.
Et le petit message "user request: please remove write protection and press left mouse button to continue..."
s'inscrit dans la fenêtre CLI. Il n'y alors plus moyen de continuer à moins de déprotéger la disquette.
Une fois cette opération effectuée un deuxième message apparaît dans la fenêtre CLI :
"RAM checked - no virus found". Le Time Bomber se fait donc passer pour un antivirus. La disquette étant
déprotégée, il aura alors pris le soin de décrémenter de 1 le fichier compteur "VIRUSTEST.DATA"
puis la startup continuera en séquence et vous pourrez parcourir votre doc.
Attaque du virus : le formatage
L'opération étant répétée cinq fois (le fichier compteur se trouvant décrémenté de cinq), d'un coup,
sans vous prévenir, le cheval de Troie se réveillera pour formater votre disquette et se faisant se
détruira lui-même sans laisser de traces. Le formatage est effectué grâce à la fonction DoIO (-456(A6)),
sans bruit anormal, comme si le déroulement de la startup continuait normalement. Au bout d'un moment
un message d'erreur apparaît tel que "key 880 checksum error" du fait qu'il n'y a plus rien sur
le disque (les sommes de contrôle ou "checksum" sont tous faussées).
Après voir cliqué sur "cancel", s'inscrit sur l'écran le message suivant :
"sorry, looser, that's all you conna get!" (le mot "loser" en anglais signifie "perdant").
Et vous, vous n'avez plus que vos yeux pour pleurer la disparition de votre super doc...
Point important : le cheval de Troie ne se reproduit pas et est donc greffé à l'origine sur votre disquette.
Remarques
A ce stade de l'exposé, je me dois de préciser des points extrêmement importants :
- Le Time Bomber est indétectable par VirusX 3.2 (Bruce Lepper : et apparemment par VirusX v4.0). Les seuls repères étant
la taille du fichier (936) du VirusTest et la demande répétée pour déprotéger la disquette et le message
"RAM checked...".
- Ce microbe n'est pas codé et il me paraît aisé même pour un débutant de changer le nom VIRUSTEST.DATA et
la syntaxe des différents messages. Ces points de repère sont donc peu fiables...
- Si un utilisateur décide d'enlever les deux fichiers du disque, il lui faudra impérativement rectifier
la startup-sequence pour éviter le message "Unknown command".
- Et enfin la dernière remarque la plus importante : ce cheval de Troie ne se reproduisant pas de lui-même,
il ne peut se trouver que sur des logiciels pirates ! Donc l'utilisateur honnête que vous êtes ne pourra
jamais faire la connaissance de ce cheval de Troie (reste le domaine public dont certains disques
pourraient éventuellement en contenir). De plus, pour installer ce microbe existe un programme du nom de Time Bomber
(origine du nom) de Wizards Inc. qui ne peut lui aussi provenir que du monde des pirates.
Merci à Bruno de nous avoir envoyé un exemplaire du Time Bomber. Vous pouvez toujours m'envoyer vos dernières
découvertes microbiennes.
|