Ah, Noël, sa féérie, son atmosphère festive et ses mélodies enchanteresses… Sauf que les pirates y distribuent parfois de drôles de cadeaux : un petit ver, par exemple. Fin 2000, Music s'est ainsi glissé dans les souliers informatiques d'un grand nombre d'enfants plus ou moins sages.
Dans le monde entier, à Noël, on s'échange des cadeaux et autres gentillesses. Avec l'avènement du Web, on s'envoie aussi des cartes de vœux électroniques, des messages d'amitié, des photos du petit dernier ou des blagues salaces sur la Mère Noël… Surfant sur cette vague d'e-mails saisonniers, les pirates ont bien compris que la vigilance de certains internautes retombait quelque peu en fin d'année, en même temps que les températures.
Apparu en novembre 2000, W32/Music est l'un des plus célèbres " virus de Noël ". Ce ver, rédigé en Visual Basic, se propage par e-mail, sa charge active étant incluse dans un fichier joint infecté baptisé MUSIC.COM, MUSIC.EXE ou MUSIC.ZIP. L'objet du message est Testing to send file (soit, dans la langue de Bernard Minet, Essai d'envoi de fichier), et le corps du texte promet au destinataire une expérience musicale sympathique : Hi, just testing email using Merry Christmas music file, you'll like it (en français Salut, j'essaie juste la messagerie électronique avec un fichier musical Joyeux Noël, tu vas l'aimer) ou Hi, just testing email using Merry Christmas music file, not bad music (à savoir Salut, j'essaie juste la messagerie électronique avec un fichier musical Joyeux Noël, ce n'est pas de la mauvaise musique).
N'ouvrez pas vos cadeau trop tôt !
Comme souvent, c'est lorsque la pièce jointe est exécutée par l'utilisateur mélomane que celui-ci devient victime. Pour faire diversion, W32/Music joue en effet les premières mesures de l'air traditionnel anglo-saxon We wish you a Merry Christmas, et affiche une image du Père Noël avec la légende Music is playing, turn on your speaker if you have one (La musique est en train d'être jouée, allumez votre haut-parleur si vous en avez un) ou There is error in your sound system, music can't be heard (Il y a une erreur avec votre installation sonore, la musique ne peut pas être entendue).
Lorsque la musique se termine, un message Merry Christmas apparaît et la ritournelle reprend…
Pendant cet interlude musical, les trois composantes de Music passent tour à tour à l'action. La première se copie dans le répertoire système de Windows sous le nom de SYSMCM.EXE, et modifie la base de registres pour être exécutée à chaque démarrage. Ensuite, elle se connecte à Internet afin de télécharger la dernière version des deux autres parties du ver, qu'elle copie dans le même répertoire sous les noms SYSTMP.DLL et SYSDRV.EXE. Si une version plus ancienne de ces deux fichiers figure déjà sur le disque dur, elle la remplace : cette faculté à se " mettre à jour " permet au pirate d'adapter le fonctionnement du ver à ses besoins du moment.
La seconde composante de Music se charge de récolter l'ensemble des adresses e-mail stockées sur l'ordinateur de la victime. Il leur envoie alors des messages avec, en pièce jointe, la première composante du virus. Enfin, la troisième revêt la forme d'une librairie DLL, et peut servir à ouvrir une porté dérobée sur le système à l'attention du pirate.
Dickens à l'heure de l'informatique
Celui-ci a d'ailleurs laissé au cœur de son programme un message adressé à ses victimes et aux spécialistes de la sécurité :
Hi, tracing this file? It's a very friendly program, it do nothing harm to your system. In fact I hate a file like this, but the bad thing is I cant find a job, and I need to rent my basement room, I only hope this file could help me to make my both ends meet. Thanks & regards.
-- The author, Nov 08, 2000.
Soit, en français :
Salut, tu cherches à savoir d'où vient ce fichier ? C'est un programme très amical, il ne fait aucun mal à ton système. En fait je déteste les fichiers comme celui-ci, mais le point négatif est que je n'arrive pas à trouver de boulot, et j'ai besoin d'argent pour le loyer de ma chambre au rez-de-chaussée, j'espère simplement que ce fichier pourra m'aider à joindre les deux bouts. Merci et à bientôt.
