El fascinante mundo de los virus informáticos - Virus

Los virus que estudiamos a continuación son históricos (si entramos en los posteriores, habría que citar a tantos maravillosos virus –algunos terroríficos, la verdad- que lo vamos a dejar para otro estudio posterior. ;)

• 1986 Brain, Virdem, Ping-Pong;

• 1987 Vienna y Stoned;

• 1988 Viernes 13;

• 1991 Michelangelo.

Salvo que una “mutación” o variante haya destacado, sólo nos referiremos a los primeros, los originales.

• BRAIN

Pakistani, Pakistani Brain, Lahore o Ashar. 1986. Sector de arranque y stealth.

El primer virus para PC capaz de infectar el sector de arranque de los disquetes y en ciertos aspectos el primero en poder ser considerado como tal (en libertad, con altas tasas de infección y extendido por todo el mundo).

Usó por primera vez una técnica stealth, es decir, capaz de ocultar sus acciones. En aquellos tiempos de MSDOS, la instrucción DIR permitía comprobar el contenido del disquete. Pero el virus dirigía la petición a donde había copiado el sector de arranque original. Teniendo en cuenta que su creador fue pionero, podemos comprender la inmensa creatividad e inteligencia del mismo. ;)

Resulta extraño que dejara su “firma” en la etiqueta de volumen del disquete. No intentaba pasar desapercibido.

• VIRDEM

Virus capaz de infectar ficheros, aunque sólo los COM (más sencillos que los EXE). Fue una creación al estilo de los de Cohen.

Creado por Ralf Burger y distribuido en la reunión del Chaos Computer Club de 1986.

• PING-PONG

Junto con el virus Barrotes (que mostraba unos barrotes en el monitor :), uno de los que obtuvieron más fama por su “payload” gráfico: una pelotita recorría la pantalla rebotando en los lados.

También conocido como “Italian Bouncery” o virus “italiano”. 1986.

Infector de sector de arranque de disquetes y discos duros. Sólo funcionaba en ordenadores de la época (los procesadores 8086) por una instrucción en ensamblador.

Fue detectado en marzo de 1988, en Argentina. Al no tener efectos destructivos se extendió por todo el mundo sin que se le prestara mucha atención.

Era simpático y fácil de borrar.

• VIENNA

Descubierto en abril de 1988. Infectaba ficheros COM y no era residente en memoria. Uno de cada 8 archivos infectados era borrado. Tenía la peculiaridad de que reiniciaba “en caliente” el ordenador.

Su código fuente fue publicado por Ralf Burger (el autor del virus Virdem) en su libro “Computer viruses: A High-Teach Disease”

• STONED

Conocido también como “New Zealand”, fue diseñado por un estudiante de secundaria de Nueva Zelanda. Parece que se le escapó de forma involuntaria. Significa “colocado”.

También llamado "Marihuana". Virus de sector de arranque del disco. Al principio sólo infectaba disquetes, pero en las versiones posteriores afectaba a todo tipo de discos.

Mostraba el mensaje: “¡Tu ordenador está colocado. Legalicen la marihuana!”.

El famoso virus Michelangelo era una modificación del Stoned.

• VIERNES 13

Fue uno de los virus más famosos de la historia, de los más recordados.

Conocido también como "Jerusalem" o "israelí". Detectado en Israel y probablemente creado allí.

Virus residente en memoria y de ficheros (COM y EXE). Procedía al borrado de ficheros si el año no era 1987.

Tuvo tanto éxito que generó una familia extensísima, a pesar de tener algunos bugs o errores.

Las primeras versiones infectaban varias veces el mismo fichero ya infectado, con lo que los archivos crecían hasta hacerse más que evidente su presencia.

• MICHELANGELO

Después del gusano de Morris, éste fue uno de los mayores acontecimientos relacionados con código vírico. Era un virus de sector de arranque (boot sector), con técnica stealth y de infección lenta. Basado en el virus Stoned (idéntico sistema de replicación y los mismos bugs), durante casi un año estuvo infectando ordenadores sin realizar ninguna actividad. Detectado en la primavera de 1991.

Reemplaza el “boot” original del disquete por el código vírico y lo copiaba en otro sector. Se dio la casualidad de ordenadores infectados sucesivamente por Stoned y Michelangelo (muy parecidos), que al sobrescribir el segundo el sitio donde el primero había colocado el sector de arranque original, resultaba imposible recuperarlo.

La fecha del 6 de marzo de 1992 (aniversario del nacimiento del famoso artista Miguel Angel –Michelangelo- Buonarrotti) era el “trigger” o detonante, que puso en marcha el “payload” o carga destructiva.

Ningún antivirus era capaz de detectarlo y eliminarlo.

• GIRIGAT

La primera noticia que tuve de este virus fue en la web de Hispasec, en mayo de 1999. Girigat, el monstruo de 63 cabezas. Significa “camaleón” en hindi.

Win32.Girigat.4937. 4937 bytes. Su autor es el más que famoso Mr. Sandman, del grupo 29A.

Girigat es en realidad 63 virus. Cada vez que cambia de ordenador (“máquina” en la jerga) elige una de las 63 posibilidades.

Puede actuar como un virus residente “per-process”, como un virus de acción directa (runtime), puede infectar ficheros en cualquier directorio. Puede usar alguna o todas las formas. Infecta CPL, EXE y/o SCR.

Un auténtico quebradero de cabeza para los antivirus.