lunes, 13 de abril de 2009

1992, UN AÑO MUY COMPLICADO

Enero de 1992
fue el año de la aparición de la 'Self Mutating Engine(MtE) de Dark Avenger. En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ, con el código fuente de un simple virus e instrucciones para enlazar el archivo OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico. Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar detectores para la MtE. En un principio, se creyó que habría cientos y cientos de virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta rápidamente de que un escáner que fuera capaz de detectar un MtE podía detectar todos.

A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de 'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus. Muchos desarrolladores de productos aprovechaban esta facilidad para crear rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de tal manera que los escáneres se veían obligados a chequear todos los archivos, o bien localizar el virus mediante un seguimiento completo del código.

Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de un virus completamente polimórfico, que constaba de una serie de trucos anti-debbuging y anti-checksumming. Los programas de 'checksumming' sirven para detectar un virus en función de que posee código ejecutable que muta para replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran copiados desde el disco duro al disquete. Por lo tanto, los archivos residentes en el disco duro no cambiaban nunca. Pero la copia del disquete estaba infectada, por lo que si este disquete se introducía en otro equipo y se chequeaba el sistema por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship' se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva partición en el 'boot'. Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar el control a la partición 'boot' original.

Probablemente, el virus más importante durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas empresas cundió el pánico, cuando los medios de comunicación se hicieron eco de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y 10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca llegaremos a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron a cabo exhaustivos exámenes de sus equipos en pos del virus. Después de esta fecha, muchos expertos en virus de todo el mundo vieron como sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.


En Agosto
asistimos a la aparición de los primeros paquetes de virus de autor. Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer uso de un PC para escribir su virus personal. En el transcurso de un año, aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos ellos creados mediante el uso de estas herramientas.


A finales de 1992,
un nuevo grupo de creadores de virus, ARCV (Asociación de Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos miembros para su causa particular.

Otro de los hechos destacables en este año tan movido fue la aparición de personas que se dedicaban a la venta de colecciones de virus. Para ser más precisos, se trataba realmente de colecciones de archivos, algunos de los cuales eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia.

No hay comentarios: