Marburg, un attaquant qu'on se passe sans but et sans le (re)marquer Apparu dans le sillage de la victoire française à la Coupe du Monde de football 1998 (sans qu'aucun lien n'ait toutefois pu être établi entre les deux événements), le virus Marburg aura laissé un souvenir amer à bien des adeptes de jeux vidéo. Tant par son mode de propagation, résolument old school à nos yeux aujourd'hui, que par ses manifestations pour le moins gênantes…
À l'image des " tubes de l'été " que les chaînes de télé et maisons de disque du monde entier nous ressortent impitoyablement à l'approche des beaux jours, l'on rencontre parfois des virus de l'été. Été 1998 : Manau et sa Tribu de Dana faisaient transpirer sur les dance floors de France et de Navarre, du moins avant que la déferlante I Will Survive n'emporte tout sur son passage. Pendant ce temps, loin des spotlights, à l'ombre de nos disques durs, W95/Marburg secouait sans relâche ses kilo-octets de code malicieux (on sait aujourd'hui qu'il n'en a pas perdu un seul, malgré tout l'exercice physique auquel il s'était alors astreint).
Action directe, mais pas terroriste pour autant
Cibles du virus : les utilisateurs de PC équipés de Windows 95, 98 et NT (sur cette dernière version, il n'est toutefois pas capable de se propager), plus particulièrement leurs fichiers exécutables (extensions .EXE et .SCR, notamment). À l'inverse des virus résidents, qui restent actifs en permanence dans la mémoire vive de l'ordinateur, Marburg appartient à la catégorie des virus à action directe : à chaque fois qu'une application contaminée est exécutée, il se met en quête d'autres fichiers exécutables à infecter dans le répertoire courant, ainsi que dans les répertoires Windows et System. Une fois cette opération effectuée, le virus repasse la main à l'application-hôte contaminée par laquelle il a été activé, et redevient inoffensif jusqu'au prochain démarrage d'un programme infecté.
Beau joueur, il épargne tout de même les fichiers dont le nom contient la lettre V, ainsi que ceux commençant par PAND, F-PR ou encore SCAN, ce qui concerne une grande majorité des antivirus. Cette élégance apparente cache toutefois un souci de discrétion proprement malhonnête : ces programmes de protection étant dotés de fonctions d'auto-diagnostic, et donc capables d'identifier une éventuelle altération de leur action par un virus, leur contamination entraînerait aussitôt l'affichage d'un message d'erreur signalant la présence de Marburg sur le système…
Furtif, actif, évolutif…
Décidément remarquable, Marburg fait également figure de précurseur des virus polymorphes. Ceux-ci sont aujourd'hui bien connus pour modifier leur apparence (nom de processus, taille, etc.) à chaque nouvelle infection d'un fichier : leur détection par les outils de protection s'en trouve alors franchement compliquée. Dans le cas de Marburg, l'infection d'un exécutable se fait par l'ajout, après la dernière section du code source, d'une portion malicieuse. Le virus modifie ensuite d'autres parties du fichier, de sorte que l'exécutable lui laisse le contrôle lorsqu'il est lancé. Marburg crypte l'ensemble de ces fragments de code, qui augmentent le poids du fichier contaminé de l'ordre de 7 900 octets, en employant plusieurs méthodes et des algorithmes sur 8, 16 ou 32 bits.
Mais le virus est également doté de fonctions comparables à celles des rétrovirus. Rappelons que ces derniers sont conçus pour s'en prendre spécifiquement aux logiciels antivirus - en plus de leur action " classique " consistant à infecter des fichiers. Marburg tente ainsi de localiser des fichiers correspondant à plusieurs antivirus, et de les effacer afin d'empêcher ces logiciels de repérer son activité. Les fichiers CHKLIST.MS, AVP.CRC et IVB.NTZ sont systématiquement effacés s'ils se trouvent dans un répertoire à l'intérieur duquel le virus furète.
Les 101 erreurs de Marburg
S'il ne touche pas à la date de dernière modification des fichiers qu'il contamine, le virus modifie cependant la taille des exécutables infectés pour en faire un multiple de 101 : cela lui permet de repérer instantanément s'il a déjà contaminé un fichier et, le cas échéant, de ne pas le refaire. Mais puisqu'il faut une faille à tout système, cette " précaution " l'empêche parfois d'infecter des fichiers encore sains, tout simplement parce que leur taille avant son intervention est déjà, par le fruit du hasard informatique, divisible par 101 !
Si une application infectée est exécutée trois mois jour pour jour après son infection initiale, la charge active du virus passe à l'action. Marburg affiche alors à l'écran, de manière parfaitement anarchique, une multitude d'occurrences de l'icône d'erreur de Windows 95, figurant une croix blanche au centre d'un cercle rouge.
Pour contracter un virus, adressez-vous à votre buraliste
L'essor de Marburg a connu plusieurs étapes, mais le moins que l'on puisse dire est qu'il peut remercier l'inventeur du CD-Rom… À cette époque, le Web était encore loin du phénomène de société mondial et trans-générationnel que l'on connaît aujourd'hui. Le vecteur de propagation des virus et autres codes malicieux restait alors l'échange entre particuliers de supports physiques (disquettes ou CD-Rom) contaminés.
C'est ainsi qu'en juillet 1998, Marburg s'est également invité subrepticement sur l'un des deux CD-Rom offerts à ses lecteurs par le magazine informatique anglais PC Gamer, qui contenait trois fichiers contaminés par l'intrus. Également touchées, les versions suédoise et slovène du magazine, avec également trois fichiers contaminés.
Le mois suivant, le virus récidivait sur le CD-Rom joint au magazine australien PC Power Play (deux démos de jeux vidéo étaient concernées), mais surtout sur celui du jeu PC Wargames, édité par Electronic Arts et MGM Interactive. Ce dernier s'est alors fendu d'un communiqué officiel, expliquant que le fichier incriminé n'était autre que le programme d'enregistrement en ligne du jeu, et proposant aux malheureuses victimes de leur renvoyer un CD-Rom vierge de toute contamination en guise de dédommagement.
Soucieux d'associer à tout jamais son pseudo à la réussite de sa création, l'auteur de Marburg a pris la peine de laisser sa carte de visite dans le code source du virus :
[ Marburg ViRuS BioCoded by GriYo/29A ]
Si vous avez été victime, faites-lui un petit signe…
