Histoire des virus

John Louis Von Neumann

John Louis Von Neumann, mathématicien américano-hongrois, né le 28 décembre 1903 à Budapest (Autriche-Hongrie), mort le 8 février 1957 (à 53 ans) à Washington, est l'un des pères des ordinateurs. C'est à lui que l'on doit l'idée de programmes stockés en mémoire et donc facilement modifiables pour leur mise au point plutôt que des programmes plus rapides, mais figés dans les composants matériels. C'est aussi à lui que l'on doit l'idée que les programmes et les données peuvent partager le même espace d'adressage mémoire. Travaillant aux États-Unis, il publie, en 1939, un article « Théorie et organisation des automates complexes » évoquant la possibilité pour un programme de prendre le contrôle d'un autre programme.

Photo : John Louis Von Neumann devant un pupitre de l'EDVAC

ENIAC (Electronic Numerical Integrator and Calculator)

La guerre fait faire un bond en avant aux ordinateurs grâce à des besoins énormes en puissance de calcul (calcul de balistique des vecteurs d'armes par exemple) et à des budgets quasi illimités. Von Neuman participe à ces travaux qui voient l'ENIAC (Electronic Numerical Integrator and Calculator), le premier gros ordinateur, dit de premières générations, totalement opérationnel le 15 février 1946. Il était programmable et reprogrammable extérieurement par des switchs et des fiches « bananes » et servira à la mise au point de la première bombe atomique. 30 mètres de long ! 30 tonnes ! 170 m² au sol ! Consommation : 200 Kilowatts ! 70 000 résistances ! 10 000 condensateurs ! 1 500 relais ! 6 000 commutateurs manuels ! Une fiabilité légendaire (à l'époque) - il était constitué de 18.000 lampes (tubes) qui ne tombaient en panne que toutes les 7 à 8 minutes ! Photo : un petit bout de l'ENIAC.

La machine de Von Neumann

Von Neumann conceptualise un modèle de machine qui caractérise encore nos ordinateurs aujourd'hui. Le PC sur lequel vous êtes actuellement en train de me lire est une machine de type Von Neumann ! On sort des ordinateurs dont la mémoire est faite d'énormes relais pour passer à des tubes (des lampes) électroniques. Mise en chantier de l'ordinateur EDVAC (Electronic Discrete Variable Automatic Computer), dit de seconde génération, qui sera terminé en 1952 (il fonctionne sur un mode binaire, contrairement à son prédécesseur, l'ENIAC, qui fonctionnait sur un mode décimal).

On appelle « Machine Von Neumann » une machine universelle (non spécialisée) possédant les organes suivants :

1. Une mémoire pour contenir un programme (une séquence d'instructions) et des données - programmes et données partagent le même espace.
   

2. Une unité arithmétique et logique (UAL ou ALU)
   

3. Une unité permettant l'échange d'informations avec les périphériques : l'unité d'entrée/sortie (IOCS ou Input Output Control System)
   

4. Une unité de commande (UC)
   

Ces dispositifs permettent la mise en oeuvre des fonctions de base que l'on connaît dans un ordinateur :

• Le stockage de données

• Le traitement des données

• Le déplacement des données

• Le contrôle.

Les données et les instructions peuvent être stockées dans le même espace, ainsi donc la machine peut, elle-même, modifier son programme et ses données.

Apparition des instructions « go to » (aller à telle adresse du programme) conditionnelles qui permettent un « débranchement » d'une séquence d'instructions d'un programme vers un autre point du programme selon une condition (si < telle condition > [faire ceci], sinon [faire cela]).

Principe d'autoréplication des programmes

Von Neumann, toujours lui, publie un article parlant du principe d'autoréplication des programmes. Ses concepts sur les programmes autoreproducteurs sont considérés comme le premier virus au monde et Von Neumann est considéré comme le père fondateur des théories en virologie informatique. Un travail qui sera publié de manière posthume traite de l'autoréplication des machines (« Self-reproducing machine » - « Theory of Self Reproducing Automata »).

Photo : Film I,Robot. Ce film propose de réfléchir sur l'anthropomorphisme comportemental et morphologique des robots, l'intelligence artificielle, la pensée, l'amitié, les sentiments, les émotions, la colère, la violation des trois lois de la robotique d'Isaac Asimov, etc. ... Ce film met également en pratique l'autoréplication : des robots fabriquant des robots.

Mort de Von Neumann

Von Neumann tombe gravement malade en 1955 d'un cancer des os (ou du pancréas) contracté à cause de ses travaux sur la bombe atomique auprès de physiciens, dont J. R. Oppenheimer (directeur scientifique du projet Manhattan qui produisit la première bombe atomique durant la Seconde Guerre mondiale), en plus de ses travaux sur les calculateurs. Le biographe de Von Neumann cite sa participation, en 1946, aux tests nucléaires de Bikini. Il meurt à Washington à l'âge de cinquante-trois ans.

Photo : Tombe de Von Neumann

Invention du circuit intégré

Invention du circuit intégré par Jack Kilby chez Texas Instruments et du procédé de fabrication "Planar" par Robert Noyce (futur fondateur d'Intel) chez Fairchild Semiconductor.

Photo : Jack Kilby et son premier circuit intégré, de la taille d'un ongle.

Les mécanismes auto-réplicateurs

En juin 1959, le magazine « Scientific American » publie un article sur les mécanismes auto-réplicateurs par L. S. Penrose.

Darwin, puis Core Wars - Jeux fondateurs de techniques qui seront utilisées par les virus

Trois jeunes programmeurs des célèbres Bell Laboratories (une division d'ATT) vont travailler sur les théories de Von Neumann :

1. Robert Thomas Morris (1932 - 2011). De 1960 à 1986, il sera chercheur aux Bell Laboratories et travaillera sur Multics (qui inspirera Ken Thompson pour créer Unix) puis sur Unix. Ses contributions à Unix sont encore utilisées aujourd'hui.
   

2. Douglas McIlory (1932 - ...). Il rejoint les Bell Laboratories en 1958 et, de 1965 à 1986, sera à la tête du Computing Techniques Research Department (la où va naître Unix). Il est l'auteur des pipelines des shell Unix, des composantes logicielles et de nombreux outils Unix comme spell, diff, sort, join, graph, speak et tr.
   

3. Victor A. Vyssotsky (1931 - 2012). Directeur technique du projet Multics aux Bell Laboratories puis Directeur exécutif de la recherche à la division des systèmes d'information des mêmes Bell Laboratories.
   

Ils développent un jeu qu'ils vont nommer Darwin. Le jeu tourne sur un IBM 7090.

Deux ou plusieurs programmes sont chargés en mémoire, dans une zone nommée « Arène » (généralement de 10.000 mots), sous le contrôle d'un superviseur nommé Umpire qui contrôle le jeu d'instruction (limité) utilisé et les résultats des fonctions appelées. Les programmes sont écrits en assembleur IBM 7090 et directement exécutés en code natif (sans interpréteur), d'où une vitesse fulgurante (une partie dure environ 1 minute). Le but du jeu est de se répliquer le plus possible en un temps donné. Le plus petit programme commence le premier. Chaque programme a un point de départ et un nombre d'emplacements protégés. Les fonctions sont limitées à :

1. « Sonder une adresse mémoire ».

2. « Revendiquer une adresse mémoire » qui doit avoir été sondée préalablement - c'est tout l'espace mémoire libre autour de cette adresse qui est revendiqué.

3. « Tuer l'instruction à l'adresse mémoire » qui doit avoir été sondée préalablement.

Chaque fonction est appelée avec une adresse sur laquelle elle tente de s'appliquer et l'identité de l'appelant. Si Umpire détecte que l'adresse demandée est une adresse protégée de l'un des programmes « ennemis », le contrôle est transféré au programme attaqué et à l'instruction se trouvant à l'adresse attaquée, etc.

Le plus petit programme capable d'exécuter les 3 fonctions tient en à peine 30 instructions en assembleur !

Vyssotsky écrivit une fonction de déplacement et relocation qui tenait en 5 instructions !

McIlrory écrivit un programme qui n'exécutait que 2 des trois fonctions et tenait en 15 instructions ! Il fallu modifier le nombre d'emplacements protégés, normalement fixé à 20, sinon son programme devenait immortel.

Morris écrivit un programme de 44 instructions avec une fonction de recherche des espaces vides autoadaptative (et gagnait tout le temps !).

Ce jeu met en oeuvre, longtemps avant la lettre, des techniques qui seront, plus de 30 ans plus tard, utilisées par les virus informatiques.

Spécifications de Darwin (publiées le 29 juin 1971)
Brève présentation de Darwin sur corewar.co.uk

Ce jeu sera modifié en 1984 et renommé « Core Wars » - il est encore joué aujourd'hui (2020) et représente des défis en programmation. Voir, par exemple, le site koth.org.

Boucles ennuyeuses

Apparition des boucles ennuyeuses qui s'auto répliques (mais sont incapables de sauter d'une machine à une autre). Ce ne sont pas encore des virus. On les appelle des « lièvres » et elles courent après le « time slicing » (découpage de temps) et le « time sharing » (partage de temps) des premiers gros ordinateurs, bouffant tout le temps calcul et la mémoire, ne laissant pas la possibilité aux autres tâches de s'exécuter.

The creeper et The Reaper

Architecture logique de la totalité du réseau ARPANET - août 1971

Écriture de deux utilitaires de test et de démonstration de la capacité à exploiter les cycles dit « Idle » des ordinateurs du réseau ARPANET (le réseau d'avant, aux mains des militaires et des universitaires, essentiellement à base de DEC PDP-10 tournant sous le système d'exploitation TENEX).

Le test est écrit par un employé de BBN Technologies, une société membre d'ARPANET, en 1971 : Robert Thomas Morris (1932 - 2011), qui a déjà participé à la création de Darwin 10 ans plus tôt.

Lorsqu'un ordinateur exécute une instruction Idle (une instruction qui le met dans un état d'attente), en fait, il ne fait rien - il se tourne les pouces en attendant d'avoir quelque chose à faire.

Le premier utilitaire s'appelle « The creeper ». « The creeper » saute d'une machine à une autre. Il se copie sur un autre ordinateur et se détruit sur celui d'origine, etc.

Les tests ont lieu sur de très gros (à l'époque) ordinateurs, les 360 d'IBM, et consistent à écrire « I'm a creeper... catch me if you can! » (oui, à l'époque il n'y a pas d'écran, mais des bacs de cartes perforées, des bandes perforées et des dérouleurs de bandes magnétiques gros comme des réfrigérateurs de 400 litres - on sort à peine des séries 1401 d'IBM où la programmation se fait avec des fiches banane enfoncées sur les flancs de l'ordinateur comme sur les vieux centraux téléphoniques).

Le second utilitaire s'appelle « The reaper » et est conçu comme un « anti creeper ». « The reaper » doit courir après « The creeper » et le détruire avant qu'il ne saute sur une autre machine. Puis ces deux utilitaires de test sont légèrement modifiés et « The creeper » ne détruit plus son original (donc il ne saute plus, il se réplique) quant à « The reaper » il doit utiliser au mieux et plus vite que « The creeper » les états Idle (les états d'attente) à travers tout le réseau pour détruire toutes les copies de « The creeper ».

Ils seront considérés, à tort, plus tard, par certains auteurs, comme le premier vers et le premier antivirus.

When H.A.R.L.I.E. was one

Première utilisation du terme de virus dans le livre de David Gerrold, "When Harlie was one" ("When H.A.R.L.I.E. was one - Release 2.0").

PERVADE - Le premier cheval de Troie

Le jeu ANIMAL a été créé sur un ordinateur central (mainframe) UNIVAC 1100-1142 fonctionnant sous le système d'exploitation de cette série : Exec-8. En Janvier 1975, John Walker (plus tard fondateur d'Autodesk, Inc., et co-auteur d'AutoCAD) a créé une sous-routine générale appelée PERVADE16, qui pouvait être appelée par n'importe quel programme. Lorsque PERVADE est appelée par ANIMAL, il cherche autour de lui tous les répertoires accessibles et fait une copie du programme appelant, ANIMAL dans ce cas, dans chaque répertoire auquel l'utilisateur a accès. Il est ainsi possible de savoir, répertoire par répertoire, quelles sont les ressources informatiques accédant à ce répertoire. A l'époque, les programmes sont échangés, entre utilisateurs, relativement lentement, sur des bandes, mais, en un mois, il est apparu un certain nombre de joueurs d'ANIMAL dans un certain nombre d'endroits.

Le comportement de PERVADE est considéré comme celui du premier cheval de Troie, bien que ce terme n'existe pas encore à l'époque (ou du premier Tracking, ou du premier Spyware, ou du premier outil de DRM...).

The Shockwave Rider

Publication de "The Shockwave Rider" de John Brunner, un livre de science fiction où tout n'est que données numériques dans un immense réseau global. L'auteur y parle d'un programme qui réplique des segments de lui-même à travers tout le réseau. On y trouve des "tapeworms", programmes mettant une pagaille complète et illégale sur le réseau et capables de changer de personnalité. C'est probablement de "tapeworm" que pourrait bien être tiré le mot actuel de "worm" pour ce type de virus. Ce livre est un précurseur de la culture cyberpunk. Dans sa foulée, la réalité dépassera la fiction insufflée par ce livre et les premiers vers apparaîtront. The Shockwave Rider

Architecture logique de la totalité du réseau Arpanet - Janvier 1980

Le 27 octobre, le réseau Arpanet est victime d'un crash total. Certains auteurs, cherchant à tout prix le premier des premiers virus, veulent voir dans ce crash le fruit d'un virus alors qu'il ne s'agit que d'une erreur matérielle interne sur un "status-message", message d'état qui devait se propager normalement sur le réseau et qui s'est donc propagé avec son erreur, conduisant au plantage total du réseau. Le résultat fut le même qu'avec un virus malicieux mais ce n'était pas un virus.

Rich Skrenta et le premier virus

En 1982, Rich Skrenta est alors étudiant à la Northwestern University (Chicago). Il écrit " Elk Cloner ", un petit programme autorépliquant pour l'Apple II (Apple 6502 – le micro ordinateur le plus répandu à l'époque). Il semble que ce soit là le premier vrai virus connu, c'est-à-dire le premier programme sortant d'une machine et se répliquant dans le monde extérieur (à l'extérieur d'un lieu unique ou d'un laboratoire). Il connut la vitesse de propagation fulgurante d'un homme au pas traversant la cour du campus en transportant une disquette infectée dans son cartable (il y a probablement eu des pointes de vitesse à vélo, moto ou voiture !). La méthode de propagation était la copie de disquette (le piratage des premiers programmes !). Ce virus s'étant mis à infester la machine de l'un de ses professeurs, Rich Skrenta écrivit, dans l'urgence, un " anti Elk Cloner " et il semble que ce soit, là aussi, le premier véritable antivirus. Lire le CV de Rich Skrenta sur http://www.skrenta.com/.

Frédéric Cohen démontre un virus

Le 3 novembre, au cours de la préparation d'un séminaire sur la sécurité informatique, Frédéric Cohen, déjà Ingénieur en Electronique (Carnegie-Mellon University - 1977) et titulaire d'un Master (Info Sci. - University of Pittsburgh, 1980) crée en 8 heures de temps sur un Vax 11/750 sous Unix, un virus. Dans la semaine qui suit, il mène 5 expériences et, durant le séminaire du 10 novembre, fait une démonstration publique. Il ne publiera jamais rien s'apparentant à une aide à la conception de virus (contrairement à ce que certains auteurs affirment) mais uniquement sur la lutte contre les virus (même s'il est possible de faire une lecture inverse de ses recommandations pour la conception d'antivirus afin de créer des virus). Ses travaux prédisent le polymorphisme.

Le "Neuromancer" de William Gibson

Publication de "Neuromancer" de William Gibson considéré comme le premier et, encore aujourd'hui, le plus important ouvrage cyberpunk.

Neuromancien - William Gibson - Traduction en français

Frédéric Cohen « Computer Viruses - Theory and Experiments »

Frédéric Cohen conduit des expériences et publie « Computer Viruses - Theory and Experiments ». Ce texte est considéré comme la base fondamentale des antivirus. Il est entièrement publié en ligne.

Computer Recreations - A Core War bestiary of viruses, worms and other threats

Dès mars 1985, encore A. K. Dewdney publie, toujours dans le magazine "Scientific American", un nouvel article. Cette fois ci, il s'intitule "Computer Recreations - A Core War bestiary of viruses, worms and other threats to computer memories". Les termes de "virus" et "vers" sont déjà courants. Le texte original en anglais est entièrement scanné - page 1 page 2 page 3 page 4 page 5 page 6

Dans sa thèse de doctorat, Frédéric Cohen crédite Len Adleman du choix du terme Virus

Frédéric Cohen soutient sa thèse de doctorat (Ph.D. Elec. Eng. - University of Southern California, 1986). Il crédite Len Adleman, son maître de conférence, du choix du terme de « virus » pour désigner les concepts et objets sur lesquels il travaillait depuis des années.

Brain - Un virus ou un DRM ou un adware ?

Deux frères pakistanais, Basit et Albi Amjad, propriétaires d'une petite boutique d'informatique à Lahore, lancent une attaque contre les États-Unis et Israël. Leur arme : un virus (« Brain ») de leur conception introduit dans des copies pirates qu'ils font (sur disquettes 5" 1/4) de logiciels, copies pirates qu'ils vendent aux touristes 1,5 US$ au lieu de plusieurs centaines d'US$, à partir de janvier 1986 ^[1]. Certains pensent que ce virus était une simple action commerciale, car il contenait un message de promotion pour un antivirus, le leur ! Les auteurs du virus ont déclaré au Time Magazine ^[2], le lundi 26 septembre 1988, que cette action visait à protéger leurs propres logiciels médicaux contre la piraterie (le virus surveillait effectivement les éventuelles copies pirates d'un logiciel de monitoring cardiaque développé par eux). Ce pourrait tout aussi bien être une guerre économique contre les intérêts des sociétés américaines éditrices de logiciels piratés. Quoi qu'il en soit, le virus « Brain » touche plusieurs centaines d'ordinateurs en s'attaquant aux secteurs de boot (MBR) des disquettes uniquement (pas des disques durs) et est donc l'un des premiers virus largement diffusés. « Brain » est un virus de boot et n'est pas destructif.

Un an après le début de la propagation de ce virus, on commença à trouver une signature augmentée de leurs numéros de téléphone : dans les secteurs de boot infectés, on pouvait lire ce texte (il existe de nombreuses petites variantes) :

Il n'y a pas d'algorithme capable de détecter toutes les formes de virus

Frédéric Cohen démontre qu'il n'y a pas d'algorithme capable de détecter toutes les formes de virus.

Virus « Paix universelle » sur les écrans des Mac II

Le virus Peace, sur Mac, affiche un message de paix universelle sur les écrans des Mac II.

Le premier virus Internet - Le premier ver (Worm)

Le premier virus Internet (le premier Worm). Le 2 novembre 1988 Robert Tappan Morris (1965 - ... Ne pas confondre avec Robert Thomas Morris), fils du plus grand expert américain en sécurité informatique - Robert Morris, de la CIA - lâche un virus à « charge active » nulle sur le réseau Arpanet. Il est alors étudiant en informatique à l'Université Cornell et, remarquant l'absence de sécurité des ordinateurs du réseau Arpanet auquel il a accès depuis son Université, il décide d'en faire une démonstration publique. Le ver ne devait pas causer de dégats, mais simplement se propager sur les très gros ordinateurs du réseau - des VAX. Il prit certaines précautions pour que son ver ne se reproduise pas trop souvent sur une machine déjà infectée afin d'éviter la saturation rapide des disques et ajouta même l'auto-destruction du vers à chaque arrêt/redémarrage d'un ordinateur (évènement qu'il estimait devoir se produire environ 2 fois par mois). Il utilisa, pour la propagation de son ver :

• une faille de sécurité du serveur de messagerie implanté sur ces machines

• un bug de "Finger" (un utilitaire du réseau Arpanet donnant des informations sur les sous-réseaux connectés)

• une faille de sécurité de la zone « Trusted » permettant de désigner d'autres ordinateurs du réseau comme « de confiance » ce qui permettait de s'y connecter sans mot de passe

• une routine de génération de mots de passe pour attaquer en "force brute" des machines protégées par mots de passe

Le 2 novembre 1988, il pénètre la machine du MIT et y lâche son ver. Toutefois, ses précautions se révélèrent insufisantes et son ver se reproduisit en quelques heures à l'infini sur les machines déjà infectées, à tel point qu'elles finissaient par s'écrouler.

Il réagit en tentant d'envoyer des messages (anonymes) à tous les administrateurs Arpanet dont il avait les coordonnées pour les prévenir de l'attaque et leur donner les moyens de s'y opposer en détruisant son ver mais ses messages n'arrivaient plus à destination, les serveurs étant saturés.

Le virus fut nommé « Morris Worm ». À cette époque, le réseau comprenait environ 60 000 ordinateurs. Avec seulement 3 à 4% de machines contaminées, le réseau devint complètement indisponible pendant plusieurs jours jusqu'à ce que des mesures conservatoires soient prises (dont la déconnexion de nombreuses machines du réseau). 6.000 ordinateurs VAX des principaux centres de recherches dans le monde entier furent « plantés » par saturation en quelques heures. 15 millions de dollars de dégâts !

Robert Tappan Morris fut condamné, le 7 mars 1991, pour violation de plusieurs lois, à 4 ans de prison, et fut le premier à être condamné au titre de la loi « Computer Fraud and Abuse Act » de 1984. Il ne sera condamné, en appel, qu'à 10 000 dollars d'amende et 400 heures de travail d'intérêt général et obtint, plus tard, un doctorat d'informatique en soutenant une thèse sur, tenez-vous bien : « Comment contrôler la saturation des réseaux informatiques ».

Les CERT ou CSIRT français

Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team), CERT ayant été, un temps, une marque déposée aux États-Unis, est un centre d'alerte, de coordination et de réaction aux problèmes d'attaques informatiques et insécurités liés à Internet, destiné aux entreprises ou aux administrations, dont les informations sont commerciales et privées (dédiées à une communauté) sauf cas particulier (le CERT du gouvernement français est le seul CERT public en France).

Les alertes et avis de chaque CERT ne sont pas universels, mais spécialisés, et portent sur la surveillance des systèmes, applications et outils communs aux membres de chacune de leurs communautés.

Aux États-Unis, un premier CERT est créé par la DARPA (Defense Advanced Research Projects Agency - « Agence pour les projets de recherche avancée de défense ») en novembre 1988 à la suite du ver de Robert Tappan Morris. Depuis, des CERT se sont créés un peu partout.

La France prend conscience de la menace que font peser les virus et se réveille. Plusieurs CERT sont créés.

Liste des CERT et organismes ayant des activités d'IRT (Incident Response Team) sur le territoire français.

Quelques-uns de ces CERT.

• le CERT-FR est le CERT du gouvernement français dédié au secteur de l'administration française. Il est public.

• le CERT-DEVOTEAM est un CERT commercial français

• le CERT-IST est un CERT dédié au secteur de l'Industrie, des Services et du Tertiaire (IST). Il a été créé à la fin de l'année 1998 par quatre partenaires : Alcatel, le CNES, ELF (Total) et France Télécom (Orange)

• le CERT LA POSTE est le CERT du groupe La Poste, pour ses services internes et ses clients

• le CERT-LEXSI (Laboratoire d'EXpertise en Sécurité Informatique) est un CERT commercial français

• le CERT-RENATER est le CERT dédié à la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l'Enseignement et la Recherche)

• le CERT-Société Générale est le CERT dédié au groupe Société Générale

• le CERT-XMCO est un CERT commercial français

• le CERT-BNP Paribas est le CERT dédié au groupe BNP Paribas

• Orange-CERT-CC est le CERT interne de l'opérateur de télécommunication Orange

Polymorphisme et virus polymorphiques

Le polymorphisme est un dispositif qui permet au code (d'un virus en l'occurrence) de muter tandis que le comportement de son algorithme reste intact. Ces mutations rendent la détection de ces virus extrêmement complexe dans la mesure ou le code change tout le temps et qu'il n'est donc plus possible de rechercher des chaînes de caractères certaines (bases de signatures) qui signeraient la présence du virus.

Le polymorphisme a été prédit par Fred Cohen.

Le premier virus polymorphique connu, sous le nom de « 1260 », a été écrit par Mark Washburn en 1990.

Le virus « Dark Avenger » introduit deux nouvelles idées :

• La vitesse de propagation : si le virus est actif en mémoire, le seul fait d'ouvrir un fichier infecte ce fichier. La totalité des fichiers d'un disque dur est rapidement infectée.

• Les dommages causés : ce virus modifie arbitrairement un secteur sur le disque dur. Si ce secteur se trouve être utilisé par un fichier, le fichier est corrompu. Si cette corruption n'est pas détectée après un certain temps, ce virus écrase la sauvegarde de ce fichier, si elle existe, par la version corrompue. Une restauration ultérieure délivrera donc une sauvegarde corrompue ! Dark Avenger cible donc les sauvegardes, pas uniquement des données. Dark Avenger est déployé sur des BBS - Bulletin Board System (services populaires, dans les années 1990, de messages, de stockages et d'échanges de fichiers, dont des jeux, via un maillage mondial de modems reliés à des lignes téléphoniques, qui sera supplanté par Internet) en utilisant de l'ingénierie sociale et parvient à contaminer les antivirus. Le code source du virus est diffusé de manière à permettre l'apprentissage de l'écriture de virus.
  

Le polymorphisme ne doit pas être confondu avec la capacité de certains générateurs de virus de générer le même code des millions de fois en introduisant des millions de variantes. Si le but est le même (empêcher l'exhaustivité des bases de signatures), la manière d'y parvenir est totalement différente : dans un cas, c'est le virus lui-même qui mute (ce qui est complexe à écrire et brillant, en termes de développement informatique pur), dans l'autre cas, c'est le générateur de virus qui crée des clones comportant des singularités (clones singuliers des virus - génération multiforme d'un virus, ce qui est beaucoup plus trivial).

Virus Michelangelo

Ce virus se déclenche le 06 mars 1992, date anniversaire de la naissance de Michel-Ange, le 06 mars 1475 (sans qu'il soit possible de dire s'il y a une intention de la part de l'auteur du virus). Entre temps, il se déploie sans rien faire. Il a été découvert le 04.02.1991, en Australie, en tant que variante du virus « Stoned ».

Le 06 mars 1992, explosion du virus Michelangelo. L'une des sommités du monde de l'antivirus, John McAfee, pressé par les journalistes de donner un chiffre, donne une fourchette de 5000 à 5 millions d'ordinateurs compromis. Évidemment, la presse retient que jusqu'à cinq millions de PCs dans le monde pourraient voir leurs données totalement détruites/effacées par le virus Michelangelo.