Stoned (virus informatique)
Stoned est un virus de secteur d'amorçage créé en 1987. Il s'agit de l'un des tout premiers virus et on pense qu'il a été créé par un étudiant universitaire de Wellington en Nouvelle-Zélande[1],[2],[3]. En 1989, il s'était largement répandu en Nouvelle-Zélande et en Australie[4]. Des variantes sont devenues très courantes dans le monde entier au début des années 1990[5].
Type | Virus informatique |
---|---|
Sous-type | Virus de boot |
Origine | Nouvelle-Zélande |
Auteur | Inconnu |
Système(s) d'exploitation affecté(s) | DOS |
Écrit en | 1987 |
Un ordinateur infecté par la version originale du virus avait une probabilité de un sur huit[6],[7] d'afficher le message : « Your PC is now Stoned! Legalise Marijuana. » (« Votre PC est maintenant défoncé ! Légalisez la marijuana. »). Cette phrase étaient enregistrée dans les secteurs d'amorçage des disquettes infectées et les enregistrements d'amorçage maître (master boot records) des disques durs infectés.
Des variantes ultérieures du virus ont affiché d'autres messages.
Version originale
modifierLa version originale du virus semble avoir été écrite par quelqu'un qui n'avait d'expérience qu'avec les disquettes IBM PC 360 kilooctets, car elle se comporte mal sur la disquette IBM AT 1,2 mégaoctets et sur des systèmes ayant plus de 96 fichiers dans le répertoire racine. Sur les disques de plus grande capacité, tels que les disques de 1,2 Mo, le secteur de démarrage d'origine peut écraser une partie du répertoire racine.
Sur les disques durs, l'enregistrement d'amorçage maître est déplacé vers le cylindre 0, tête 0, secteur 7. Sur les disquettes de 1,2 mégaoctets, le secteur d'amorçage original est déplacé vers le cylindre 0, tête 1, secteur 3, qui est le dernier secteur de répertoire sur les disquettes de 360 kilooctets. Sur les disquettes de 1,2 mégaoctets, le virus écrase sans dommage l'enregistrement d'amorçage si le répertoire racine ne contient pas plus de 96 fichiers.
Le PC était généralement infecté lors d'un démarrage à partir d'une disquette infectée. À l'époque, les ordinateurs démarraient par défaut à partir du lecteur de disquettes A (s'ils étaient équipés d'une disquette). Le virus se propageait lorsqu'on accédait à une disquette avec un ordinateur infecté. Cette disquette était désormais elle-même une source de propagation du virus. Cela ressemblait beaucoup à un gène récessif - difficile à éliminer - car un utilisateur pouvait avoir un nombre illimité de disquettes infectées sans que son ordinateur ne soit infecté par le virus, jusqu'à ce qu'il démarre par inadvertance à partir d'une disquette infectée. Le fait de nettoyer l'ordinateur sans nettoyer toutes les disquettes laissait l'utilisateur susceptible d'être infecté à nouveau. Cette méthode a également favorisé la propagation du virus dans la mesure où les disquettes empruntées, si elles avaient été placées dans un système infecté, étaient désormais capables de transporter le virus vers un nouvel hôte.
Variantes
modifierCe virus était très facile à modifier. En particulier, une personne sans connaissance de la programmation informatique pouvait modifier le message affiché. De nombreuses variantes du virus ont circulé, certaines avec seulement une modification du message affiché.
Par exemple, une variante du virus affichait le message « Bloody! Jun. 4, 1989 » (« sanglant »), une condamnation de la répression des manifestations de la place Tian'anmen du .
Notes et références
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Stoned (computer virus) » (voir la liste des auteurs).
- "...a brief history of PC viruses.", IBM Research
- "The early days", History of Malware
- "The early days", History of Malware
- « Marijuana Virus wreaks havoc in Australian Defence Department », The Risks Digest, vol. 9, no 9, (lire en ligne, consulté le )
- « F-Secure Virus Descriptions : Stoned », F-secure.com (consulté le )
- "Analysis of Stoned", Peter Kleissner
- "The “Stoned” PC Virus", Commented disassembly of virus code at computerarcheology.com