Un adage bien connu dit que les cordonniers sont souvent les plus mal chaussés. Ce n'était visiblement pas le cas du créateur de Shoerec, qui a entrepris en 2000 de mettre un bon coup de pied dans le(s) disque(s) dur(s) de ses victimes. Celles-ci n'avaient alors plus qu'à s'en mordre les semelles…
Le virus W32/Shoerec (alias Win32/Shoerec, Win32:Shoerec-9216, PE_SHOEREC, PE_SHOEREC.A, Virus.Win9x.Shoerec, Win95.Shoerec, W95.Shoerec.9216, W95/Shoerec, Win95/Shoerec.A, Win95.Shoerec.A ou encore W95/Shoerec.8720) a fait son apparition en mars 2000. Le virus s'est initialement propagé aux ordinateurs sous Windows (95, 98, NT et 2000) par le biais d'un fichier d'animation Macromedia Shockwave de 321 536 octets, circulant sur des groupes de discussion (newsgroups).
Nommé FUN.EXE, BOXING.EXE ou NOSTRESS.EXE en fonction de la vague d'infection, ce petit programme d'apparence anodine affiche l'image d'un boxeur et propose à l'utilisateur de le frapper en choisissant un coup de poing dans une barre d'outils.
Mais avant même que cette animation ne s'affiche, le virus a déjà entamé son travail d'infection des fichiers locaux. En pratique, il vise tous les programmes du système. La contamination est invisible pour l'utilisateur : elle s'effectue en effet en arrière-plan d'un processus en cours, derrière lequel Shoerec dissimule son activité. Le virus peut dès lors demeurer en mémoire et se livrer à son funeste ouvrage aussi longtemps que le processus-hôte est actif.
Une infection discrète mais efficace
Pour ce faire, il commence par choisir une lettre au hasard, puis parcourt le disque dur en quête de fichiers exécutables (extension .EXE) dont le nom commence par le caractère choisi : lorsqu'il en trouve, il les contamine. Lorsqu'il n'en trouve aucun, l'utilisateur échappe miraculeusement à de gros problèmes…
Le virus s'incruste à la fin du code du fichier infecté (sous forme cryptée, pour éviter que l'utilisateur ne puisse le débusquer à l'aide d'un simple éditeur de texte), augmentant ainsi sa taille. Il en modifie aussi les en-têtes, afin de mémoriser la date de l'infection et le nom de l'ordinateur. Si le fichier est infecté le 1er, le 2 ou le 3 du mois, le virus y insère en outre une routine de type cheval de Troie.
Un peu de désordre sur le Bureau
Pour la victime, les choses ne se gâtent véritablement que plus tard. Avant d'exécuter sa charge, le virus vérifie en effet, à chaque lancement d'un fichier infecté, si un certain délai s'est écoulé depuis l'infection, et si l'ordinateur sur lequel le fichier est exécuté correspond à celui sur lequel a eu lieu l'infection.
Si 4 mois se sont écoulés depuis l'infection d'un fichier sur le même ordinateur que celui où il est lancé, Shoerec déclenche une routine à la fois taquine et diabolique. À chaque fois que l'utilisateur approche le curseur de sa souris de l'une des icônes installées sur son Bureau Windows, le virus modifie en effet leur disposition de manière aléatoire. Les icônes semblent alors littéralement fuir le pointeur !
Pire : après un délai de 7 mois, l'exécution d'un fichier infecté par la routine de type cheval de Troie entraîne l'effacement pur et simple de tous les fichiers du disque dur correspondant, sauf ceux utilisés par le système à ce moment précis. Le virus crée ensuite un fichier WIN.COM, dans lequel il affiche soit une suite aléatoire de caractères, soit le texte suivant :
