lunes, 13 de abril de 2009

1990, EL TEMA SE COMPLICA

En el año 1990,
surgieron algunas novedades en el panorama de los virus. Mark Washburn había creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos representaron un paso adelante en la evolución de los códigos malignos, al ser capaces de encriptar de forma diferente su código cada vez que cometían una nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos.

Aunque Washburn publicó el código de su virus, y se temió que muchos creadores de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado profusamente después en la creación de 'criaturas víricas' más modernas.

Otra de las consecuencias de los virus polimórficos es el incremento de las falsas alarmas. Si un vendedor de software anti-virus consigue escribir el software apropiado para detectar algo con tantas posibilidades de mutación como 'Viena', existen muchas posibilidades de que en realidad lo que el escáner detecte sea una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para el usuario que un auténtico virus, ya que obliga a poner en funcionamiento absolutamente todos los mecanismos anti-virus de defensa.

También en 1990 asistimos a una oleada de virus procedentes de Bulgaria, especialmente de aquellos cuyo autor se identificaba con el alias 'Dark Avenger'. Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida (el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos virus sobreescribían código cada cierto tiempo, por lo que si el usuario no se daba cuenta y hacía 'backup' de los datos periódicamente, autoreplicaba sin querer todas las líneas de código maligno). Otros virus clásicos de parecida actuación durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'.

Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de sus virus.
Cargaba sus códigos malignos en BBS's, infectando los programas anti-virus shareware, y en sus ataques víricos incluía un archivo que cumplía la función de tranquilizar a todo aquel que comprobara el tamaño del archivo o realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código fuente para que los legos pudieran aprender cómo se creaban virus.

En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus en el que estuviera interesado, si previamente había dejado algún código maligno propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la creación de nuevos virus como la difusión masiva de muchos de ellos.


En la segunda mitad de 1990,
hizo su aparición 'The Whale'. Se trataba de un código muy largo y complejo, que denegaba el servicio al sistema cuando éste se intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la práctica, este virus se podía rastrear perfectamente con la mayoría de las herramientas disponibles en aquel momento, por lo que su fama se debe más a su complejidad que a sus efectos devastadores.

A finales de este año, los fabricantes de anti-virus se dieron cuenta de que estaban mucho más
organizados, casi hasta alcanzar el nivel que tenían los mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European Institute for Computer Anti-virus Research') en Hamburgo, en diciembre de 1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la amenaza de los virus, en el cual participaban vendedores de software, cazadores de virus y expertos, con el objeto de intercambiar ideas (y 'especímenes'), así como animar a las autoridades para la llevar a cabo auténticas estrategias de defensa contra la incidencia de ataques víricos. Cuando esta organización fue fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara' estaba en auténtica ebullición.


No hay comentarios: