À l'image des artistes, les auteurs de virus puisent parfois leur " inspiration " dans l'actualité immédiate. Dans la foulée des attentats du 11 septembre 2001, la politique extérieure du président américain George W. Bush fit l'objet de nombreuses controverses. Issu de la théorie du chaos alors en vogue, le ver Toal-A a entrepris de prolonger sur le Réseau l'opposition entre Bush et Ben Laden.
Apparu à l'automne 2001 sur les ruines des Twin Towers, le ver W32/Toal-A (alias W32.Toal.A@mm, W95/Toal ou W32/AntiWar) s'est répandu massivement au travers des messageries électroniques. Circulant en plusieurs langues (anglais, portugais, néerlandais notamment), les messages infectés affichent clairement la couleur dès leur Objet. Pour la version française, l'intitulé des messages est choisi au hasard parmi plusieurs phrases de plus ou moins bon goût (NDR : les fautes sont d'origine) : Papier toillette bin laden, Sadam & binladen en amour, Bush nique r donf bin laden, Osama bin laden mal aims ?, Usa contre la convention de geneve?, Le courrier anthrax existe vraiment, Arme biologique: prsventions! ou encore Baiser un mullah r islamabad.
Si le corps du message reste vierge de tout contenu, le virus se terre quant à lui dans une pièce jointe nommée BINLADEN_BRASIL.EXE. La particularité de Toal-A réside dans le fait qu'il n'a pas besoin que l'utilisateur exécute cette pièce jointe pour contaminer son ordinateur. Le ver exploite en effet une faille d'Internet Explorer, permettant l'exécution automatique de la pièce jointe à l'affichage du message infecté. Une simple lecture suffit donc à lancer la contamination…
Le début de la fin
Lorsque BINLADEN_BRASIL.EXE est exécuté, Toal-A place tout d'abord le fichier INVICTUS.DLL dans le répertoire System de l'ordinateur local. Ce fichier contient l'ensemble des routines nécessaires à l'infection de fichiers exécutables. Il se copie ensuite dans le répertoire Windows de, en utilisant un nom de 3 lettres majuscules entre A et O. S'il identifie d'autres machines vulnérables sur le réseau local, il procède, à distance, de la même manière. Sur les ordinateurs équipés de Windows 95, Toal-A en profite pour tenter d'enregistrer dans un fichier les mots de passe réseau stockés dans la mémoire cache.
Pour plus de discrétion, les copies du virus auront leurs attributs réglés sur fichier caché et lecture seule. Lors de sa première exécution, le virus altère en outre le fichier SYSTEM.INI, de manière à être lancé à chaque démarrage de l'ordinateur. Il infecte également d'autres programmes, dont l'Explorateur Windows (EXPLORER.EXE) ou la Calculatrice (CALC.EXE). Ensuite, il active le partage du disque dur C: en modifiant différentes valeurs de la base de registres du système.
Plus on est de fous…
Dans un second temps, Toal-A se met en quête des éventuels programmes antivirus en cours d'exécution : il tente ainsi de stopper le fonctionnement des antivirus édités par Kaspersky Labs, Network Associates ou encore Symantec, ainsi que les logiciels de protection Zone Alarm, Freedom et Avconsol.
Puis, le virus tente de se connecter à un site ICQ distant et de télécharger des informations sur d'autres utilisateurs. Pour cela, il recherche dans les Pages Blanches ICQ (sorte d'annuaire recensant des informations sur divers sujets et utilisateurs) une liste de mots-clés, parmi lesquels history (histoire), friends (amis), airplane (avion), ferrari, orgasm (orgasme), friendship (amitié) ou encore sports. Il envoie ensuite un message contaminé à l'ensemble des adresses électroniques qu'il aura ainsi récoltées, joignant au message le fichier infecté HH.EXE, rebaptisé pour l'occasion BINLADEN_BRASIL.EXE.
Des effets très voyants
Environ 1 fois toutes les 159 exécutions, le virus se manifeste de manière pour le moins envahissante. Des morceaux de fenêtre peuvent en effet être déplacés comme dans un jeu de taquin.
Un maelström aléatoire de slogans colorés, ainsi qu'une boîte de dialogue intitulée Worm/I-Worm/W32.BinLaden, peuvent également investir le Bureau de Windows. Faisant ouvertement allusion à la situation de l'époque en Afghanistan, le message revendique un anti-américanisme féroce :
Bush, you need more hashish in your life
Why to take the Amazon from brazil. if you like polution ?
Brazilian ppl wants the USA destruction, not likeour president, smelling Bush's balls
You are not the cops of the world, and World Trade Center was the first
Now you take the freedom from your own people, and the world is laughing ...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!
BUGS EVERYWHERE
You kill more people per day than AIDS, giving money and arms to other countries
Now you are feeling the taste of your own poison...
Ohhhhhh i am sorry.. It isn't sweet ?
Ce qui donne, dans la langue de Karen Chéryl :
Bush, tu as besoin de plus de haschisch dans ta vie
Pourquoi prendre l'Amazonie au brésil. Si tu aimes la polution ?
Le peuple brésilien souhaite la destruction des USA, pas comme notre président, qui renifle les testicules de Bush
Vous n'êtes pas les flics du monde, et le World Trade Center n'était que le début
Maintenant vous prenez la liberté de votre propre peuple, et le monde entier rigole ...
Ohhhh est-ce là le fameux American Way of Life ? HAHAHAHA !!!
DES PROBLÈMES PARTOUT
Vous tuez plus de monde chaque jour que le SIDA, en donnant de l'argent et des armes à d'autres pays
Maintenant vous goûtez à votre propre poison...
Ohhhhhh je suis désolé.. N'est-ce pas agréable ?
Le processus responsable de l'activité de Toal-A s'achève normalement après 5 à 10 minutes d'exécution. Les plus impatients peuvent toutefois couper court à la plaisanterie (de mauvais goût) au moyen du Gestionnaire de tâches : le virus s'exécute toujours à partir du répertoire Temp de Windows, au travers d'un processus commençant par SFC.
Au final, il ne semble pas que l'Administration Bush ait beaucoup pâti des nuisances de Toal-A. Si les opérations militaires en Afghanistan et en Irak sont (officiellement) finies, populations locales et GI, eux, continuent de souffrir. Doit-on leur conseiller de créer des virus pour faire entendre leurs voix ?
