Patchwork - Virus Parano

	Virus Parano

	Il faut être sourd et aveugle pour ne pas en avoir entendu parler: les virus sont là, mugissant dans nos campagnes, prêts à venir jusque dans nos bras investir nos Macs, égorger nos fils et nos compagnes, si ce n’est déjà fait, car bien entendu chaque programme du Domaine Public en contient tellement qu’on peut les voir gigoter à l’oeil nu. Il est sûr que le problème a été TRÉS grossi (cette épidémie, comme une autre, fascine et fait vendre) et que les virus ne sont pas aussi répandus que pourrait le laisser penser la lecture d’articles catastrophistes. Nous connaissons nombre d’utilisateurs qui ont fait passer par leurs disques durs des centaines de mégaoctets de Domaine Public et de Shareware, sans jamais en voir vu un seul. En réalité, fort rares sont ceux qui en ont été directement victimes. A qui profite le crime? Tout d’abord aux malades qui les programment. Cela doit procurer une joie malsaine à ces types de voir leurs méfaits relatés en long et en large. Les autres grands bénéficiaires de ce battage sont les Directeurs Informatiques des grosses entreprises, ravis de voir là un argument de poids pour reprendre en main la micro, dont les utilisateurs devenaient trop indépendants à leur goût. Dans nombre d’entreprises ont fleuri des notes de service interdisant aux utilisateurs, sous prétexte de virus, de se servir de programmes autres que ceux vérifiés et approuvés par la Direction Informatique, et proscrivant définitivement l’utilisation du Domaine Public, des Shareware et des jeux, tous soi-disant contaminés… Alors halte à la paranoïa et à la psychose. Le but de cet article n’est pas de vous effrayer, et plutôt que de raconter des histoires de brigands, regardons un peu ce qu’est un virus, comment le reconnaître et comment s’en débarrasser si par un très malencontreux hasard on en attrape un. Et puis ça fait toujours plaisir d’avoir la confirmation qu’on est en bonne santé… Qu’est ce qu’un virus? Une précision d’abord: ne confondons pas virus et bug (les deux sont des petites bêtes vicieuses, mais c’est leur seul point commun). Un virus est un petit bout de programme dont le but est (entre autres) l’autoreproduction. Lorsqu’il rencontre un programme non contaminé, il s’y copie aussitôt. Il peut, accessoirement, décider de temps en temps d’écraser un disque ou un fichier… Sur un Mac les virus détectés se propagent en passant par les applications, le Finder (qui est une application un peu spéciale) et le fichier System. Une application contaminée, lorsqu’elle est lancée, commence par vérifier si le fichier System actif l’est lui aussi. S’il ne l’est pas, le virus lui est transmis. De la même façon, un fichier System atteint par un virus le passera (de façon aléatoire ou systématique, selon le virus) aux programmes qu’il rencontrera, qu’ils aient été lancés ou non. Comment les reconnaître? Le virus crée un certain nombre de ressources et en modifie d’autres. Quand un virus a été isolé et que ses constituants sont connus, on peut, avec ResEdit, vérifier qu’ils ne sont pas présents sur ses disques. Encore plus simple: des utilitaires spécialisés (Vaccine, Virus Rx,…) peuvent prévenir, diagnostiquer ou guérir la présence d’un virus sur votre bien aimé Mac. Cet article traite des trois premiers virus isolés sur le Mac: • “MacMag” • “nVIR” • “Scores” Ma cabane au Canada On ne risque plus guère de rencontrer le premier nommé. En effet, ce virus, qui a quitté Montréal dans des condition mystérieuses, était programmé pour écrire le 2 Mars 1988 un message sur la paix dans le monde à l’écran de tous les Macs contaminés, puis s’autodétruire. Bien que ce virus soit (relativement) bénin, son auteur supposé ne s’est pas fait d'amis aux Etats Unis dans cette affaire et a prouvé au monde entier son immense naïveté. nVIR Celui-là n’est pas très gênant, mais extrêmement contagieux. Son seul but semble être de se reproduire, ce qu’il fait en créant dans les applications contaminées des ressources de type nVIR numérotées de 0 à 8, une ressource CODE n°256 et en modifiant la CODE n°0 dont la 3ème ligne contient “0000 3F3C 0100 A9F0”, le contenu original de cette ligne étant transféré dans la nVIR n°2. Ce virus crée également dans le fichier System une INIT n°32. Si on a dans son System une ressource INIT n°32 de 366 octets et dans ses applications une CODE n°256 de 372 octets, les nouvelles ne sont pas bonnes. (Attention, certains programmes peuvent créer tout à fait légitimement des ressources INIT n°32 ou CODE n°256. Si la taille est différente, en principe il n’y a pas de problème). Scores Le plus méchant. Alors que MacMag et nVIR se contentent de se reproduire, Scores s’attaque au Mac en le faisant planter de façon irrégulière, en détruisant des fichiers et en se livrant à toutes sortes de turpitudes (peut-être plus par incompétence de son programmeur que par réel désir de nuire). Il est heureusement facile à détecter. On sait qu’un système est infecté par Scores si dans le dossier système apparaissent deux fichiers nommés “Scrapbook File” et “Note Pad File» dont les icônes sont celles de documents standards (feuille cornée). Si vous utilisez un système US, il est normal d’avoir des fichiers ainsi nommés (ce sont l’Album et le Calepin) mais leurs icônes doivent être des Mac (comme celle du Finder) sinon danger… Les codes Type et Créateur des fichiers contaminés sont: Note pad file: INIT, ZSYS; Scrapbook File: RDEV, ZSYS; au lieu de ZSYS, MACS pour les deux. Ces deux fichiers contiennent des ressources INIT qui bien sûr n’ont rien à faire là. Autre création, celle d’un fichier invisible nommé «Scores» (d’où le nom donné à ce virus). Certains jeux créent un fichier du même nom, mais si vous en trouvez un qui contient une ressource atpl n° 128 d’une taille de 2410 octets, là aussi danger… Les fichiers Desktop et System sont modifiés. Les codes Type et Créateur du Desktop sont désormais INIT et FNDR (au lieu de FNDR et ERIK)et il contient les ressources suivantes: atpl n°128 de 2410 octets; DATA n°-4001 de 7026 octets; INIT n°10 de 1020 octets. Le fichier System se voit pour sa part augmenté des mêmes, plus des ressources INIT n°6 (722 octets) et n°17 (480 octets). Les applications contaminées contiennent une ressource CODE dont le n° est supérieur de 2 à celui de la ressource CODE du rang le plus élevé. Si par exemple une application contient des ressources CODE numérotées de 0 à 31, le virus en créera une portant le n° 33. La taille de cette ressource parasitaire est de 7026 octets. La CODE n°0 est modifiée et son onzième mot (le plus souvent 0001) est désormais la valeur hexa de la nouvelle ressource (dans l’exemple précédent, 0021, 21 équivalant à 33 en hexa). Autre particularité de ce virus (encore une): la présence dans les ressources créées des chaînes de caractères ERIC et VULT. Si par hasard une de vos connaissances se nomme Eric Vult, merci de le prévenir que pas mal de gens le cherchent, pour affaires le concernant… Comment s’en débarrasser? Plusieurs solutions. Nombre de programmeurs ont diffusé des softs anti-virus de prévention, diagnostic ou soins. Une petite sélection: Prévention • Vaccine, de Don Brown, CE Software (gratuit) est un CDEV que l’on place dans son dossier Système et qui prévient l’utilisateur dès qu’on essaie de modifier le fichier System ou une Application (fig.3). Pour utiliser les anti-virus de diagnostic et de soins qui suivent, il faut préparer une disquette système saine, y placer les programmes en question, la verrouiller et s’en servir comme disque de démarrage. Diagnostic • Virus Rx, d’Apple (gratuit), liste toutes les INITs, CDEVs, RDEVs et fichiers invisibles présents sur votre disque et vous prévient en cas de problème connu. Il vous signale également les bizarreries, comme un fichier dont la date de modification est postérieure à la date en cours. • Virus Detective, de Jeffrey Shulman (shareware, 10$), est un accessoire de bureau complètement paramétrable par l’utilisateur qui permet de rechercher dans ses fichiers tous les symptômes d’une infection. Dès que les particularités d’un nouveau virus sont connues, on peut les entrer dans Virus Detective afin de tester leur présence.


	Soins • Ferret, de Larry Nedry (gratuit) et ScoresKiller, de Howard Upchurch, Mac Pack (gratuit) permettent, après avoir diagnostiqué sa présence, de supprimer “Scores” des applications contaminées. Ferret a quelques petits problèmes et signale comme contaminé tout System contenant des INITs autres que d’origine Apple, ou un Finder ayant été modifié (par exemple en redessinant une icône, ou en touchant à la ressource LAYO, comme nombre de hackers le font). Parfait pour se faire des sueurs froides. • Vaccination, de Mike Scanlin, MacTutor (Source code disk #32, 8$), guérit les applications atteintes du nVIR en retirant les ressources installées par le virus. Signalons que, contrairement à ce que des paranos (ou des crétins en quête de publicité) ont pu raconter à grand son de trompe dans certains journaux, les programmes anti-virus que l’on peut trouver sont à ma connaissance tous sains. La confusion peut venir du fait que certains programmes créent des ressources destinées à tromper le virus. On peut, par exemple, créer un programme qui installe dans toute application sur laquelle on l’applique des ressources nVIR et CODE 256 inoffensives. Si un soft ainsi traité se trouve en contact avec un virus, celui-ci pensera qu’il est déjà contaminé et donc ne lui passera pas l’infection. De la même façon, certains programmes testant la présence du virus “Scores” fondent leur recherche sur la présence de ERIC et VULT, et bien entendu contiennent ces chaînes de caractères. De là à ce que des âmes simples aillent s’imaginer des choses… Une autre solution pour exterminer les virus consiste à utiliser ce bon vieux ResEdit pour s’occuper des ressources litigieuses. nVIR Pour le System: • Supprimer (Clear) l’INIT n°32. • Supprimer toutes les nVIR. Si on veut “vacciner” le System de façon qu’un virus nVIR l’ignore (plan piqué à Mike Scanlin, MacTutor): • Créer une INIT n°32 de 2 octets contenant juste 4E75 (en hexa). • Créer des ressources nVIR (attention aux majuscules, pas NVIR ni nvir) n° 0 à 7 vides. Pour les applications (attention de ne pas oublier le Finder, le MultiFinder ou tout autre fichier contenant des ressources CODE): • Supprimer la CODE n°256 • Ouvrir la nVIR n°2. En copier le contenu • Ouvrir la CODE n°0. Sélectionner la 3ème ligne et coller le contenu de la nVIR n°2 • Supprimer toutes les nVIR Scores La solution la plus simple (et la plus radicale) est de sauvegarder sur des disquettes neuves tous les documents contenus sur les disques contaminés (le virus ne se transmet pas par les documents, mais uniquement par les applications et les fichiers systèmes), puis de réinitialiser les disques (souples ou durs) atteints, et d’en remplacer le contenu après avoir vérifié que vos programmes originaux sont sains (car vous n’utilisez pas directement vos originaux, n’est ce pas?). Pour le System: • Supprimer les fichiers Desktop, Scores, Note Pad File et Scrapbook File. • Ouvrir le fichier System. • Supprimer les ressources atpl 128, DATA-4001, INIT 6,10 et17. Pour les applications: Il n’existe pas de méthode simple pour guérir des programmes atteints de “Scores”. Supprimer la ressource CODE implantée par le virus ne suffit pas, puisque celui-ci modifie également la CODE n°0. Les deux seules solutions sont, soit utiliser la poubelle pour toutes les applications, soit utiliser KillScores. Mais les créateurs de Killscores ne garantissent pas que leur programme marche à tous les coups et certaines applications traitées peuvent s’avérer inutilisables par la suite. Pour être sûr qu’on en est débarrassé: Si vous avez DiskExpress, lancez le, en activant l’option “Erase Free Space”, puis recherchez avec Fedit la présence sur le disque des chaînes “ERIC” et “VULT”. Si ces deux chaînes sont absentes, le nettoyage a réussi. Attention, certains fichiers peuvent comporter de façon légitime une de ces chaînes (par exemple dans NUMERIC ou AMERICAN) et si vous avez sur votre disque un anti-virus ou un texte sur “Scores” (comprenant une phrase comme “Faire attention à ERIC et à VULT”) seul le contexte pourra vous renseigner. Précautions à prendre Voilà, vous avez vu qu’il n’y a pas de quoi devenir paranoïaque à cause de deux ou trois programmeurs tordus. Pour profiter pleinement de votre Mac sans aucun souci, la solution la meilleure est de laisser en permanence Vaccine dans votre dossier Système et, de temps à autre, de lancer Virus Rx, juste pour s’assurer que tout va bien. La semaine prochaine, le sujet de notre causerie sera: “Comment écrire des virus efficaces sur IBM PC”.
	Thierry Delettre MiCMAC is published under the PotlatchWare concept.