En dehors de leurs activités illégales, les créateurs de virus sont des gens (presque) comme tout le monde. Ils se rendent à leur travail quotidien, fréquentent des amis et pratiquent des loisirs, comme tout le monde. Le football, par exemple. Seul bémol - de taille - à ce tableau trop ordinaire : que quand ils veulent faire partager leurs passions, ils ont la fâcheuse habitude de le faire au détriment du public…
Flashback : 1998, année de Coupe du monde de football, de liesse populaire sur les Champs-Élysées et… de virus ! Début juin débarque en effet sur la Toile un indésirable particulièrement dans l'air du temps, qui plus est originaire de France. Aux racines du mal, un jeune électricien, codeur de virus à ses heures perdues, ZeMacroKiller98. Baptisée WM97/ZMK-J (alias W97M_WORLDCUP98, W97M/WorldCup98, W97M/Zmk.j ou encore Macro.Word97.Zmk.j), l'une de ses premières créations appartient à la catégorie des virus macro, ces poisons dissimulés dans des documents créés avec des applications bureautiques courantes (tableur, traitement de texte…).
Sur les ordinateurs équipés du système d'exploitation Windows (versions 95, 98, Me, NT4, 2000 ou XP) et du traitement de texte Word 97 de Microsoft, WM97/ZMK-J jongle sans ballon avec les nerfs de ses victimes. À l'ouverture d'un document infecté, la macro (ici rédigée en langage VBA - Visual Basic for Applications) exécute en effet une suite d'actions malveillantes.
Une infection graduelle
Pour commencer, WM97/ZMK-J infecte le fichier modèle de document NORMAL.DOT, que Word utilise comme base pour la création de chaque document. Le fait que ce modèle soit corrompu garantit que chaque fichier texte créé ultérieurement avec le logiciel de traitement de texte sera invariablement porteur de la contamination. Dès lors, chaque fois qu'un lecteur ouvrira un document infecté (transmis par messagerie électronique ou sur un support physique de type CD-Rom ou disquette) sur un ordinateur sain, le virus s'y installera tranquillement…
Comme tout virus qui se respecte, WM97/ZMK-J possède une charge active, destinée à mettre en œuvre les desseins malveillants de son auteur. Selon le format d'affichage de l'horloge système, la charge se déclenche si Word est ouvert le 12 du mois, ou à la douzième seconde d'une minute. Une fois sur deux, le virus affiche alors dans un document Word le texte en rotation " World Cup 98 ". Rien de bien méchant jusque là…
L'autre fois sur deux, il invite l'utilisateur à sélectionner une équipe parmi 9 pays participant au tournoi final de la Coupe du monde de football.
Si la sélection de la victime correspond à celle effectuée de manière aléatoire par le virus (une chance sur 9, donc), un simple message Vive le football!!!, Vive la Coupe du Monde 98!!! est affiché. Toujours rien de bien méchant…
Bien choisir ou en pâtir
Les choses se corsent si l'utilisateur a choisi l'une des huit autres équipes : il est alors à la merci de l'un des trois effets dévastateurs du virus. Il a ainsi 40 % de " chances " que des lignes de code soient insérées dans le fichier AUTOEXEC.BAT pour provoquer le formatage du lecteur C: au prochain démarrage de son ordinateur ; 27 % de chances que tous les fichiers contenus dans les répertoires DOS et WINDOWS\COMMAND, ainsi que IO.SYS et MSDOS.SYS, soient purement et simplement supprimés ; et enfin 33 % de chances que le texte dans le document courant soit remplacé par 98 copies de la ligne Vive la coupe du monde 98!!!!!, que la ligne finale proclame ZeMacroKiller98 aime beaucoup le football et que le document soit imprimé.
Heureusement, la victoire finale de l'équipe de France aura sans doute mis du baume au cœur des victimes de cet électricien allumé…
