Stoned (virus informatique)

virus informatique

Stoned est un virus de secteur d'amorçage créé en 1987. Il s'agit de l'un des tout premiers virus et on pense qu'il a été créé par un étudiant universitaire de Wellington en Nouvelle-Zélande[1],[2],[3]. En 1989, il s'était largement répandu en Nouvelle-Zélande et en Australie[4]. Des variantes sont devenues très courantes dans le monde entier au début des années 1990[5].

Stoned

Informations
Type Virus informatique
Sous-type Virus de boot
Origine Drapeau de la Nouvelle-Zélande Nouvelle-Zélande
Auteur Inconnu
Système(s) d'exploitation affecté(s) DOS
Écrit en 1987

Un ordinateur infecté par la version originale du virus avait une probabilité de un sur huit[6],[7] d'afficher le message : « Your PC is now Stoned! Legalise Marijuana. » (« Votre PC est maintenant défoncé ! Légalisez la marijuana. »). Cette phrase étaient enregistrée dans les secteurs d'amorçage des disquettes infectées et les enregistrements d'amorçage maître (master boot records) des disques durs infectés.

Des variantes ultérieures du virus ont affiché d'autres messages.

Version originale

modifier
Image mémoire en hexagonale affichant « Your PC is now Stoned! » dans le dernier secteur de 512 octets du Master Boot Record (voir en bas à droite de l'image ci-dessus).

La version originale du virus semble avoir été écrite par quelqu'un qui n'avait d'expérience qu'avec les disquettes IBM PC 360 kilooctets, car elle se comporte mal sur la disquette IBM AT 1,2 mégaoctets et sur des systèmes ayant plus de 96 fichiers dans le répertoire racine. Sur les disques de plus grande capacité, tels que les disques de 1,2 Mo, le secteur de démarrage d'origine peut écraser une partie du répertoire racine.

Sur les disques durs, l'enregistrement d'amorçage maître est déplacé vers le cylindre 0, tête 0, secteur 7. Sur les disquettes de 1,2 mégaoctets, le secteur d'amorçage original est déplacé vers le cylindre 0, tête 1, secteur 3, qui est le dernier secteur de répertoire sur les disquettes de 360 kilooctets. Sur les disquettes de 1,2 mégaoctets, le virus écrase sans dommage l'enregistrement d'amorçage si le répertoire racine ne contient pas plus de 96 fichiers.

Le PC était généralement infecté lors d'un démarrage à partir d'une disquette infectée. À l'époque, les ordinateurs démarraient par défaut à partir du lecteur de disquettes A (s'ils étaient équipés d'une disquette). Le virus se propageait lorsqu'on accédait à une disquette avec un ordinateur infecté. Cette disquette était désormais elle-même une source de propagation du virus. Cela ressemblait beaucoup à un gène récessif - difficile à éliminer - car un utilisateur pouvait avoir un nombre illimité de disquettes infectées sans que son ordinateur ne soit infecté par le virus, jusqu'à ce qu'il démarre par inadvertance à partir d'une disquette infectée. Le fait de nettoyer l'ordinateur sans nettoyer toutes les disquettes laissait l'utilisateur susceptible d'être infecté à nouveau. Cette méthode a également favorisé la propagation du virus dans la mesure où les disquettes empruntées, si elles avaient été placées dans un système infecté, étaient désormais capables de transporter le virus vers un nouvel hôte.

Variantes

modifier

Ce virus était très facile à modifier. En particulier, une personne sans connaissance de la programmation informatique pouvait modifier le message affiché. De nombreuses variantes du virus ont circulé, certaines avec seulement une modification du message affiché.

Par exemple, une variante du virus affichait le message « Bloody! Jun. 4, 1989 » («  sanglant »), une condamnation de la répression des manifestations de la place Tian'anmen du .

Notes et références

modifier
  1. "...a brief history of PC viruses.", IBM Research
  2. "The early days", History of Malware
  3. "The early days", History of Malware
  4. « Marijuana Virus wreaks havoc in Australian Defence Department », The Risks Digest, vol. 9, no 9,‎ (lire en ligne, consulté le )
  5. « F-Secure Virus Descriptions : Stoned », F-secure.com (consulté le )
  6. "Analysis of Stoned", Peter Kleissner
  7. "The “Stoned” PC Virus", Commented disassembly of virus code at computerarcheology.com