Même si les systèmes Microsoft Windows cristallisent l'immense majorité des attaques virales, notamment du fait qu'ils équipent plus de 90 % des ordinateurs dans le monde, le système d'exploitation Mac OS d'Apple est également la cible des pirates.
Apparu en 1998 sur les ordinateurs Macintosh, le virus CODE 9811 appartient à la famille des virus d'applications. En d'autres termes, il n'infecte que des programmes, pas des documents, et se reproduit en passant de programme en programme.
Pour ce faire, le virus se duplique, dans le répertoire de l'application, en un fichier invisible au nom composé d'une suite aléatoire de lettres capitales (comme par exemple DPEVLZREEYO ou BMQTKECNLI). Une fois cette opération effectuée, CODE 9811 échange le contenu des deux fichiers, le virus prenant la place de l'application originelle. Cette dernière se retrouve donc doublement dissimulée aux yeux de l'utilisateur, sous la forme d'un fichier invisible au nom improbable. Ce faisant, le virus s'assure également qu'il n'y a aucune chance que l'application originelle soit ouverte ultérieurement au lieu de sa version infectée.
Lorsqu'une application infectée est lancée, le virus vérifie d'abord si elle l'a été au travers d'un double clic sur un fichier (par exemple un document qui ouvrirait un traitement de texte). Si c'est le cas, il indique que le fichier n'a pas pu être ouvert depuis le Finder, et invite l'utilisateur à réessayer en ouvrant d'abord l'application lui-même. Autre symptôme de la contamination par ce virus, l'apparition de messages " Mémoire insuffisante " au lancement d'une application.
Ensuite, CODE 9811 tente de désactiver voire d'effacer les programmes antivirus de l'ordinateur. Pour les trouver, le virus parcourt les répertoires racine, Système, Panneau de contrôle et Extensions du volume dans lequel il a été lancé. Puis il procède à l'infection d'autres applications, en choisissant un volume qu'il parcourt en quête de programmes. Quand un répertoire est détecté, il a 50 % de chances d'être parcouru à son tour, et 50 % de chances d'être ignoré.
Si une application infectée est exécutée un lundi, ou bien le 22 août, il y a 25 % de chances que la charge du virus soit déclenchée. Heureusement, celle-ci se révèle assez inoffensive : CODE 9811 dessine en effet une foule de petits vers noirs, qui " grignotent " petit à petit l'écran en se déplaçant. Ils finissent par former un symbole Pi rouge au centre de l'écran, au-dessus duquel s'affiche le message " You have been hacked by the Praetorians! ".
L'utilisateur n'a alors plus qu'un choix : presser la touche commande pour redémarrer l'ordinateur…
