Nous l'avons déjà vu : l'actualité internationale, a fortiori lorsqu'elle se nourrit de crises de civilisation majeures, fournit aux auteurs de virus un terreau propice à la propagation de leurs créations. Après " l'affaire " Toal contre George W. Bush la semaine dernière, étudions le cas Quaters contre Tony Blair…
À l'origine de Toal, l'opposition de l'auteur du virus à la politique menée par le président américain George W. Bush, notamment les opérations militaires engagées en Afghanistan et en Irak. Pour W32/Quaters-A (alias W32.Blare@MM, I-Worm.Blare ou encore W32/Blurt@MM), même cause, même effet : la politique du Premier Ministre britannique Tony Blair. Et là encore, la réaction du pirate apparaît pour le moins épidermique.
De prime abord, Quaters-A est un ver Internet des plus classiques, visant les ordinateurs sous Windows 95, 98, Me, NT et 2000. Il se répand sous la forme de pièces jointes à des e-mails infectés, en s'envoyant à tous les correspondants recensés dans le carnet d'adresses Outlook de ses victimes, et en se propageant sur les canaux de messagerie instantanée IRC. Mais une fois lancée, son exécution entraîne des conséquences à la fois fâcheuses et originales.
Le ver est dans l'e-mail
Les e-mails par lesquels transite le ver n'ont eux non plus rien d'originaux. Ni dans leur objet (soit vide, soit, parmi ses occurrences aléatoires, Your Account has been suspended ou Email Account Infomation), ni dans leur texte (lui aussi vide, ou constitué d'une phrase elliptique du genre Please can you confirm that your account information is correct), ni dans le nom de la pièce jointe (Account Information, Account Update, etc). Notons que la double extension .DOC.EXE des fichiers joints, des plus suspectes, devait suffire à alerter les destinataires les moins naïfs du ver…
À l'exécution de la pièce jointe, Quaters-A entame une série d'opérations sur l'ordinateur de sa victime. D'abord, il tente de se copier dans le dossier Program Files du système, sous le nom ACCOUNT_DETAILS.DOC.EXE. Puis il modifie plusieurs clés du registre Windows, notamment afin d'être lancé à chaque démarrage de l'ordinateur. Il tente aussi de mettre fin à plus de 280 logiciels de communication ou de protection, parmi lesquels Anti-Trojan, BlackIce, F-Protect, GuardDog, Norton Antivirus, Panda Anti-Virus, ZoneAlarm, et même l'éditeur de registre RegEdit.
Vient alors pour le ver le temps de penser à sa progéniture. Si mIRC est installé sur l'ordinateur, Quaters-A enregistre dans le répertoire d'exécution du logiciel de messagerie instantanée un fichier nommé CHAIN_MAIL_WORLD_RECORD.IRC. Il crée ensuite au même endroit un fichier SCRIPT.INI, qui sera chargé par défaut par mIRC (ou tout autre client IRC) et enverra le fichier .IRC sur le réseau. Les destinataires auront l'illusion de participer à une chaîne de solidarité : le message associé clame en effet Hey, Do you want to take part of the iRC chain mail world record? If so all you have to do is load up the program add your irc nick and press submit! Just rename the file from .irc to .exe and your ready to go! (soit, dans la langue de Luis Rego, Salut, veux-tu participer au record du monde de chaîne de solidarité sur iRC ? Si oui, tout ce que tu as à faire est de charger le programme d'ajouter ton pseudo irc et d'appuyer sur submit ! Renomme simplement le fichier de .irc en .exe et c'est parti !). En réalité, les naïfs seront, comme toujours, contaminés à leur tour. En parallèle, Quaters-A s'envoie à tous les correspondants recensés dans le carnet d'adresses Outlook de sa victime.
Un message on ne peut plus clair
Mais le plus " beau " reste à venir. Le ver crée en effet un fichier texte, contenant la phrase Infected by the Win32. SORT-IT-OUT-BLAIR Virus !. Sous les noms DEFAULT et INDEX, suivis de l'extension .ASP, .HTM ou .HTML, il copie ce fichier dans le répertoire C:\inetpub\wwwroot. Si l'ordinateur infecté est un serveur hébergeant un ou des sites Web, la page d'accueil par défaut relaiera alors le leitmotiv politique du pirate.
De manière aléatoire, le Quaters-A provoque également l'affichage d'un message plus complet :
INFECTED BY: WIN32.SORT-IT-OUT-BLAIR
Dear Tony Blair,
Why are you spending all our taxes on illegal immigrants!?!
How about you stop worrying about other countries and worry about ours???
Stop spending money on immigrants and spend it on things like OAP's who fought to keep this country free but are now getting treated worst than illegal immigrants!
How about spend a little money on the NHS or the education system!?!
Think about it Mr Blair.
Your career depends on it.
We've had enough.
Soit, en français :
INFECTÉ PAR: WIN32.RÈGLE-ÇA-BLAIR
Cher Tony Blair,
Pourquoi dépensez-vous tous nos impôts pour les immigrés clandestins !?!
Pourquoi ne pas commencer par arrêter de vous soucier des autres pays et commencer à vous occuper du nôtre ???
Arrêtez de dépenser de l'argent pour les immigrés et dépensez-le pour des choses comme les anciens combattants qui ont lutté pour préserver la liberté de ce pays mais sont aujourd'hui traités plus mal que les immigrés clandestins !
Que diriez-vous de dépenser un peu d'argent pour notre système de santé ou pour l'éducation !?!
Pensez à cela M. Blair.
Votre carrière en dépend.
Nous avons eu notre compte.
Après ce pamphlet, Quaters-A utilise l'utilitaire PING.EXE pour lancer une attaque par déni de service (DoS) contre le site officiel du Premier Ministre britannique (www.number-10.gov.uk, en référence à l'adresse de la résidence de fonction de Tony Blair située au 10 Downing Street), afin de le déconnecter du réseau.
Pour l'anecdote, la découverte d'un virus ciblant un homme politique local n'est pas une nouveauté au Royaume-Uni. Dans les années 1990, le virus Fu Manchu remplaçait le nom de Margaret Thatcher par un juron à chaque fois que l'utilisateur contaminé tentait de le saisir au clavier ! Pour la malheureuse victime, c'était au moins l'assurance d'un bon éclat de rire. Décidément, tout se perd…
