Souvenirs des archives d’avant les années 2000.., soit mi juillet 1998.


Le Ministère des Finances a diffusé, le 23 Juillet 1998, un communiqué de Presse par le biais d’une liste de diffusion ouverte au public (BercyNet), ponctué d’un fichier apparemment en Rich Text File ( .RTF ), nous étions dans la boucle…

Le communiqué contenait une souche de virus de type Word.

Dès réception dudit message “infecté”, nous avons adressé un Email d’avertissement au Webmaster, avec une copie du message infecté pour AVP FRANCE), pour avis et contrôle. La réponse fut positive, une copie fut envoyée au webmaster du serveur du Ministère des Finances

  • le Ministère devait rectifier le 24 Juillet 98, par un message bref.
  • En fait, malgré les mentions du mail original, il s’agissait bel et bien d’un fichier Winword, lequel était infecté avec le virus Word.Théry et non Wazzu.

Pour mémoire, le premier email reçu :

From bercynet@xxxx.finances.gouv.fr Thu Jul 23 18:05:40 1998
Received: from z13.xxxx.finances.gouv.fr (z13.xxxx.finances.gouv.fr [194.250.14x.xxx]) by eurenet.com (8.8.5) id RAA16325; Thu, 23 Jul 1998 17:00:55 +0200 (CEST)
From: bercynet@xxxx.finances.gouv.fr
Received: from z01.xxxx.finances.gouv.fr by z13.xxxx.finances.gouv.fr (SMI-8.6/SMI-SVR4)
id QAA24755; Thu, 23 Jul 1998 16:55:09 +0200
Received: by z01.xxxx.finances.gouv.fr (SMI-8.6/SMI-SVR4)
id QAA21146; Thu, 23 Jul 1998 16:50:45 +0200
Date: Thu, 23 Jul 1998 16:50:45 +0200
Message-Id: <199807231450.QAA21146@z01.xxxx.finances.gouv.fr>
MIME-Version: 1.0
To: bercynet@xxxx.finances.gouv.fr
Subject: Ouverture a la concurrence des services de telecommunications
Content-ID: <Thu_Jul_23_16_50_45_MET_DST_1998_2@z01>
Content-type: multipart/mixed;
boundary=”z01.21127.Thu.Jul.23.16:50:45.MET.DST.1998″
Status: R

MINISTERE DE L’ECONOMIE ET DES FINANCES
http://www.finances.gouv.fr/presse/communiques/

Objet : Communique de presse
———————————————————–
Le fichier ci-joint est au format
Rich Text Format (*.RTF)
———————————————————–

C9807231.rtf

La réponse envoyée :

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
From : eurenet@xxxx.mcom.fr

Date : At 15:41 23/07/98 +0200
To : bercynet@xxxx.finances.gouv.fr
Subject : Virus “Macro.Word.Thery”

Bonjour,

Il semble que le document que vous venez d’envoyer C9807231.RTF serait “infectés” par une “Macro.Word.Thery”

L’anti virus que nous utilisons est AVP 3.0 build 119 avec maj du 140798
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

ainsi que la confirmation du “VirusLab” de l’époque.

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Identité Message:<4.0.1.19980723183651.01074490@worldnet.fr>
X-Sender: xxxx@worldnet.fr(Non vérifié)
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.0.1
X-Priority: 1 (Maximale)
To: bercynet@xxxx.finances.gouv.fr,
<eurenet@xxxx.mcom.fr>), webmaster@xxxx.finances.gouv.fr
From: AVP Support <xxxx@worldnet.fr>
Subject: IMPORTANCE CAPITALE…IMPORTANCE CAPITALE…IMPORTANCE
CAPITALE…
Cc: “Avp Contact (Anti Virus)” <xxxx@worldnet.fr>
Mime-Version: 1.0
Content-Type: text/plain; charset=”iso-8859-1″
Content-Transfer-Encoding: 8bit

Messieurs,

Nous vous confirmons le verdict d’AVP quant au fichier cite en reference.

Nous avertissons immediatement l’editeur afin de savoir si la propagation de ce virus sur un .RTF rend celui-ci contaminant. En attendant, nous vous engageons vivement a venir telecharger une version d’essai d’AVP sur http://www.avp-france.com et traiter vos ressources.

Helas, tout nous porte a croire ( a en juger par ce qu’il y a de visible dans ce .RTF ) que les ressources suivantes sont infectees :

CABINET
C:\WINWORD\COMMUNIQ\2COM.DOC
K:\COMMUNIQ\TELECOM2.DOC

xxxx
A:\C9807231.doc
A:\C9807231.rtf
A:\diffusion\C9807231.rtf

Vous noterez que figure dans cette liste l’unite A: . Vous devrez donc prendre soin de desinfecter egalement la/les disquettes avec lesquelles le virus Word.Thery aurait pu etre en contact.

N’hesitez pas a nous saisir en cas de difficultes.

Salutations,

http://www.avp-france.com
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

puis

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
X-Persona: <Eur’Net2>

>From bercynet@xxxx.finances.gouv.fr Fri Jul 24 17:29:45 1998
Received: from z13.xxxx.finances.gouv.fr (z13.xxxx.finances.gouv.fr [194.250.14x.xxx]) by eurenet.com (8.8.5) id QAA22114; Fri, 24 Jul 1998 16:25:04 +0200 (CEST)
From: bercynet@xxxx.finances.gouv.fr
Received: from z01.xxxx.finances.gouv.fr by z13.xxxx.finances.gouv.fr (SMI-8.6/SMI-SVR4)
id QAA05204; Fri, 24 Jul 1998 16:19:09 +0200
Received: by z01.xxxx.finances.gouv.fr (SMI-8.6/SMI-SVR4)
id QAA12486; Fri, 24 Jul 1998 16:12:19 +0200
Date: Fri, 24 Jul 1998 16:12:19 +0200
Message-Id: <199807241412.QAA12486@z01.xxxx.finances.gouv.fr>
MIME-Version: 1.0
To: bercynet@xxxx.finances.gouv.fr
Subject: annule et remplace l\’ancien communique verole (WAZZU). DESOLES
Content-ID: <Fri_Jul_24_16_12_19_MET_DST_1998_2@z01>
Content-type: multipart/mixed;
boundary=”z01.12467.Fri.Jul.24.16:12:19.MET.DST.1998″
Status: ROMINISTERE DE L’ECONOMIE ET DES FINANCES
http://www.finances.gouv.fr/presse/communiques/

Objet : Communique de presse
———————————————————–
Le fichier ci-joint est au format
Rich Text Format (*.RTF)
———————————————————–

C98072311.rtf
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*


Epilogue

  • Le Canard enchaîné – Mercredi 12 août 1998 page 4.
  • Personne n’est à l’abri d’une infection par un nouveau virus. [Thery n’etant pas nouveau]
  • Il est urgent de mettre en place une politique de sécurisation et de détection des virus dans les entreprises….