Naissance du virus Vienna : son apparition et sa propagation dans le monde font l’objet d’un vif débat alors que la communauté internationale tente d’identifier l’auteur. C’est Franz Swoboda qui découvre le virus : ses avertissements relatifs à la découverte d’un programme à reproduction automatique nommé Charlie sont publiés par de nombreuses entreprises spécialisées en technologie de l’information et attirent également l’attention des média. Comme on pouvait s’y attendre, nombreuses sont les personnes qui veulent découvrir l’auteur et la source de l’épidémie. Selon certaines informations, Swoboda aurait reçu le fichier de Ralf Burger. Ce dernier dément complètement les propos de Swoboda et affirme qu’au contraire, c’est Swoboda qui lui a envoyé le virus. A ce jour, on ne sais toujours pas qui a véritablement crée ce programme malicieux.

Malgré la confusion entourant la personnalité de l’auteur, l’émergence de Vienna est remarquable à un autre niveau. Rolf Burger, un des auteurs potentiels, envoie une copie à Bernt Fix qui trouve un moyen de la neutraliser. C’est la première fois que quelqu’un parvient à neutraliser un virus. On peut dire que Bernt Fix est le précurseur des spécialistes modernes de la lutte antivirus, même si les spécialistes actuels font plus que d’analyser et de neutraliser des virus. Ils élaborent des modules de protection, de détection et de désinfection.

Burger exploite le travail de Fix et publie le code de neutralisation de Vienna dans son livre intitulé « Computer Virus : The Disease of High Technology », un ouvrage dans la même veine que « Writing Viruses and Anti-Viruses » de B. Khizhnyak. Burger explique comment il est possible de modifier le code du virus afin d’éliminer sa capacité à se reproduire. Toutefois, ce livre doit certainement sa popularité aux pages qui expliquent comment créer des virus. Ces informations allaient déboucher sur la création de milliers de virus inspirés partiellement ou complètement par les idées de Burger.

Cette année voit également l’apparition de plusieurs autres virus compatibles IBM :

  • le célèbre virus Lehigh, baptisé en l’honneur de l’université de Pennsylvanie où il est découvert ; L’ironie de l’histoire veut que cette université soit également l’Alma mater du père de la virologie informatique moderne.
  • La famille des virus Suriv ;
  • Un certain nombre de virus du secteur d’amorçage dans plusieurs pays, dont Yale aux Etats-Unis, Stoned en Nouvelle-Zélande ou Ping Pong en Italie ;
  • Cascade, le premier virus de fichier à cryptage automatique.

Lehigh est entré dans l’histoire comme étant le premier virus à endommager directement les données : le virus détruit les informations sur les disques. Heureusement, l’université de Lehigh pouvait compter sur la présence de plusieurs spécialistes en informatique doués pour l’analyse des virus. Ainsi, le virus ne quitta jamais vraiment les murs de l’université et on ne le trouva jamais en liberté.

Le virus Lehigh lançait une routine destructrice qui, en fin de compte, supprimait le virus ainsi que toutes les données de valeur. Lehigh infectait tout d’abord uniquement les fichiers du système command.com. Après avoir infecté quatre fichiers, Lehigh commençait à détruire les données et finissait pas se détruire également.

Les utilisateurs avaient, à cette époque, commencé à se pencher plus sérieusement sur les questions de sécurité et sur les manières de se protéger des virus. Les utilisateurs plus prudents apprirent vite à surveiller la taille du fichier command.com dès qu’ils surent qu’une augmentation de la taille de ce fichier était le premier signe d’une infection potentielle.

La famille des virus Suriv (lisez le nom à l’envers) fut programmée par un inconnu en Israël mais elle n’en reste pas moins intéressante. A l’instar de Brain, il est difficile de dire si nous nous trouvons face à une expérience qui a dérapé ou face à la création préméditée d’un programme malveillant. De nombreux experts de la lutte contre les virus pensent qu’il s’agissait d’une expérience. Et la découverte de fragments de codes à l’université de Yisrael Radai étaye cette version. L’université fut en mesure de montrer que l’auteur du virus tentait de modifier la procédure d’installation des fichiers au format EXE et que la dernière modification du virus n’était qu’une version de débogage.

Le premier membre de cette famille, dénommé avec justesse Suriv-1, est capable d’infecter les fichiers COM auxquels il accède en temps réel. Pour ce faire, le virus se charge dans la mémoire de l’ordinateur et y demeure actif jusqu’à ce que l’ordinateur soit éteint. Le virus peut ainsi intercepter les opérations sur les fichiers et si l’utilisateur charge le fichier COM, il peut l’infecter immédiatement. Cela favorise la diffusion quasi instantanée du virus aux disques amovibles.

Suriv-2, quant à lui, s’en prend aux fichiers EXE. Il s’agit du premier virus capable de pénétrer des fichiers EXE. La troisième modification, Suriv-3, combine les propriétés des deux premières versions et peut ainsi infecter les fichiers COM et les fichiers EXE.

Suriv-4, connu également sous le nom de Jerusalem, fait son apparition peu de temps après et se propage très vite au reste du monde ; Jerusalem déclenche une épidémie mondiale en 1988.

Le dernier événement valant la peine d’être signalé pour 1987 est l’apparition du virus chiffré Cascade, baptisé ainsi d’après une partie de sa charge utile. Une fois que le virus est activé, les icônes à l’écran tombe en cascade vers le bas (cf. cascade.bmp). Le virus contient deux parties : le corps du virus et un programme de chiffrement. Ce programme encode le corps du virus pour lui donner une apparence différente dans chaque fichier infecté. Une fois le virus chargé, le programme de chiffrement prend les commandes afin de décoder le corps du virus puis de lui transmettre les commandes.

Ce virus peut être considéré comme l’ancêtre des virus polymorphes qui ne possèdent pas un code permanent mais qui maintiennent néanmoins leurs fonctions. Toutefois, à la différence des virus polymorphes qui allaient suivre, Cascade ne code que le corps du virus. La taille du fichier infecté sert de clé de décodage. Le programme de décodage ne changeait pas, ce qui permit aux logiciels antivirus modernes de détecter facilement le virus.

En 1988, Cascade déclenche un incident grave au siège belge d’IBM, ce qui pousse IBM à se lancer dans le développement de sa propre solution antivirus. Jusqu’alors, toutes les solutions antivirus développées par IBM avaient été réservées à un usage interne.

Plus tard, Mark Washburn associe les informations publiées par Ralf Burger sur le virus Vienna au concept de chiffrement automatique de Cascade et crée ainsi la première famille de virus polymorphe : la famille Chameleon.

Les ordinateurs IBM ne furent pas les seuls touchés : les virus ciblaient Apple Macintosh, Commodore Amiga et Atari ST.

La première grande épidémie sur réseau local éclate en décembre 1987 : le ver Christmas Tree, programmé en REXX, se propage sur les systèmes d’exploitation VM/C MS-9. Le ver est lâché sur le réseau Bitnet le 9 décembre au départ du réseau d’une université d’Allemagne de l’Ouest via le portal EARN (European Academic Research Network, réseau européen académique et de recherche) et puis sur le Vnet d’IBM. Quatre jours plus tard (le 13 décembre), le virus avait engorgé le réseau. Une fois chargé, le virus affichait à l’écran un sapin de Noël et envoyait ses copies à tous les utilisateurs du réseau dont les adresses figuraient dans les fichiers NAMES et NETLOG du système.