|
|
Historia
|
|
|
|
Somos el museo virtual más grande y mejor en español.
|
La historia de los virus informáticos comienza en 1949, cuando John Louis Von Neumann escribió un artículo, publicado en una revista científica de New York, exponiendo la Teoría y organización de autómatas complejos (Theory and Organization of Complicated Automata), donde presentaba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura. Utilizando este planteamiento, a finales de los 50s, en los laboratorios Bell, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento, iniciaron una competencia creando un juego para computadora al que denominaron Guerra Central (CoreWar). Por aquel entonces la memoria de las compuadoras recibía el nombre de memoria central, core memory, y el juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, el programa se reproducía en memoria y llegaba a ocuparla toda. Dos programadores lanzaban simultáneamente sus versiones del programa y ganaba el que hubiera "conquistado" más memoria del ordenador. Los programas desarrollados para este juego llegaron al punto en el que eliminaban los programas contrarios conquistando la memoria que ellos ocupaban. Este juego fue motivo de concursos en importantes centros de investigación como el PARC de Xerox y el Instituto de Tecnología de Massachussets (MIT), entre otros, sin embargo, durante muchos años Guerra Central fue mantenida en el anonimato, ya que estas actividades eran severamente sancionadas por los ejecutivos, quienes desconocían esta diversión clandestina, por lo cual, terminado el juego, se borraba de la memoria todo rastro de la batalla. De esta manera surgieron los programas subversivos destinados a destruir el contenido lógico de una computadora. Este juego fue desarrollado en ensamblador pnemónico, conocido como código rojo (red code), y hoy en día es posible ejecutarlo por medio de un emulador llamado MARS (Memory Array Redcode Simulator). Para 1970, John Shoch y Jon Hupp, investigadores del PARC de Xerox elaboraron programas con características virales de reproducción, cuya finalidad era verificar el estado de las redes. En este mismo año, en ARPAnet, la red militar y universitaria, el investigador Bob Thomas soltó un programa llamado 'Reptil' (Creeper), el cual se "arrastraba" por toda la red desplegando el mensaje "Soy el reptil, atrápame si puedes!". Entonces otro programador escribió otro "virus" llamado 'Recolector' (Reaper) el cual se reproducía en la red recolectando reptiles, lo cual en cierta forma lo hace ser el primer antivirus. En 1981 apareció un programa para Apple II llamado "Elk Cloner" el cual se clonaba escribiendo en la pantalla un pequeño verso y en 1982, también para la Apple II, Jim Hauser crea un programa de características virales diseñado para sólo viajar y no para dañar, descrito por su autor como un viajero de aventón electrónico (electronic hitchhicker) que se pegaba a programas sin ser detectado. En 1983 Ken Thompson cuando recibía el premio A. M. Turing de la Asociación de Maquinaria Computacional (Asociation of Computing Machinery, A.C.M.) en su discurso basado en el juego "Core Wars" motivó la experimentación con estas "creaturas lógicas". El primer virus, o al menos el primero en recibir esa denominación, fue ideado en Noviembre de 1983, en un seminario sobre seguridad en computadoras, en el que a Frederick B. Cohen, se le ocurrió experimentar en una minicomputadora VAX 11/750, haciendo un programa que pudiera modificar a otros para incluir una copia, posiblemente evolucionada, de si mismo, acuñando el término "virus" para describir un programa informático con esta característica. En Mayo de 1984, en la revista "Scientific American", A.K.Dewdney en la sección "Computer Recreations" describe el juego "Core Wars", e inclusive ofreció una copia del programa por US$2.00. Estos artículos siguieron publicándose bajo el título genérico de Recreaciones Computacionales por mucho tiempo, con lo que le da amplia difusión. En este mismo año, el doctor Cohen expuso por primera vez por escrito el concepto de virus informático, durante el desarrollo de una conferencia sobre seguridad. Se trataba de la Conferancia Nacional de Seguridad Computacional (National Computer Security Conference), celebrada en Toronto, Canadá. En 1985 aparecieron los primeros caballos de Troya, uno disfrazado como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les siguió una vasta cantidad de virus más complejos. El primer virus que infectó de manera masiva los ordenadores IBM compatibles, con sistema operativo MS-DOS, es el "Pakistani Brain", que fue detectado por primera vez en la Universidad de Delaware, en EE.UU., en el mes de octubre de 1987. Este virus, al parecer escrito y difundido por dos hermanos de Pakistán, estudiantes de la Universidad de Lahore, es un virus del sector de arranque. La historia según se sabe fue así: En Lahore, Pakistán, existía una tienda de informática especializada en la venta pública y manifiesta de software comercial pirateado. Los turistas de los países más industrializados se encontraban con la sorpresa de poder comprar las últimas versiones de los programas más difundidos a muy bajo precio. Pero algún problema debió existir entre éstos hermanos (Amjad Farooq Alvi y Basit Farooq Alvi) y el dueño de la tienda, a los que al parecer unía alguna relación comercial. Estos diseñaron el virus e infectaron los disquetes que se distribuían en la tienda. La infección afectó principalmente a EE.UU. y Canadá ,al parecer eran los mejores clientes de la tienda. Al estar los programas desprotegidos, su difusión fue más ágil. El virus es notoriamente atrevido para la época en que fue desarrollado, la etiqueta de volumen se cambia a "(c) Brain", por lo que con un simple DIR se detecta. En el sector de arranque incluye gran cantidad de texto, de la cual en una parte es como sigue: "Bienvenido al calabozo. (c) 1986 Basit & Amjad (pvt) Ltd. Basit y Amjad se percataron de que el sector de arranque de un disquete contenía código ejecutable, y que este código era ejecutado siempre que se reiniciaba oa computadora con un disquete. También se dieron cuenta de que era posible reemplazar este código con uno propio sin alterar la ejecución del sector de arranque, pudiendo ser éste un programa residente en memoria, y que podía instalar una copia de sí mismo en cada disquete que se accediera. Como el programa se copiaba a sí mismo, le dieron el nombre de 'virus', por su semejanza con los virus biológicos. Este proyecto de virus solamente infectaba disquetes de 360KB. También en 1986, un programador llamado Ralf Burger vio que un archivo podía hacer una copia de sí mismo por el método simple de atacharla en otros archivos. Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la cual el tema principal eran precisamente los virus. La demostración tuvo tanto éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún a los virus del sector de arranque. . Lograron reemplazar ese código por uno propio, residente en memoria, que tenía la capacidad de instalar réplicas de sí mismo en cada disquete que fuera utilizado en tanto estuviera el virus en memoria. Este virus esta casi extinto, pero existen mutaciones que siguieron su secuela por mucho tiempo. En diciembre de 1986, Ralf Burger distribuye en la conferencia del Chaos Computer Club su programa VIRDEM, el cual era una demostración de la idea de un programa que se copiaba a si mismo agregandose a otros programas de tipo .COM. Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque (boot sector). Para ese entonces, ya se había empezado a diseminar el virus Vienna. El primer contagio masivo de computadoras tuvo lugar en 1987, y se dió a través del MacMag, una revista especializada para usuarios de Macintosh, sobre ordenadores Macintosh. Este virus también fue llamado Peace Virus. La historia, según se cuenta, fue así: Dos programadores, uno de Montreal, Richard Brandow, y otro de Tucson, Drew Davison, crearon un virus incluyéndolo en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes que recibió una copia de este juefo fue Marc Canter, quien por aquel entonces era consultor de Aldus Corporation, llevándose consigo el disco a Chicago y contaminando su ordenador. Como parte de su trabajo de consultoria para Aldus, al realizar pruebas con una versión de Aldus Freehand contaminó el disco maestro, que posteriormente devolvió al fabricante, quien realizó las miles de copias que iban a salir al mercado comercializando el software con el virus incluido. Este virus era bastante benigno, ya que el 2 de Marzo de 1988, coincidiendo con el primer aniversario de la aparición del Macintosh II, debutó en público mostrando en la pantalla de la computadora un mensaje pidiendo la paz entre los pueblos, destruyéndose a sí mismo. Se estima que este virus afectó a doscientos cincuenta mil ordenadores en todo el mundo. Existe un versión de este virus detectada en la red internacional de correo electrónico de IBM y al que se denomina IBM Christmas Card o Xmas que felicita el 25 de Diciembre. Se calcula que afectó a trescientas cincuenta mil terminales en todo el mundo. En 1987, Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo podía infectar COMMAND.COM y dañar increíblemente su host después de tan sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet. El 11 de Diciembre de 1987 un estudiante de Alemania del Oeste envió una tarjeta navideña electrónica a sus amigos en una red local, indicando a la vez que se enviara una copia del mensaje a cada una de las personas en la lista de correo del destinatario, el mensaje se reprodujo exponencialmente en una red de miles de mainframes de I.B.M. saturándolos y dejando inoperativa la red por horas. Se le llamó el 'Christmas Exec Mail Worm'. Para 1988 los virus todavía no eran considerados algo serio, y en realidad la información no estaba muy distribuida, sucediendo que algunos expertos del momento realizaran comentarios ahora risibles:
En este 1988, quitándoles el aliento a los expertos, irónicamente fue un año pleno de actividad viral y sería conocido entre los informáticos como el año que comenzó el baile El 2 de Marzo, Aldus Corporation descubrió que al menos 5,000 copias de su programa Freehand para computadoras Macintosh fueron infectadas por un virus, fué el primer caso de software comercial infectado. Aunque el virus no causaba daño, sólo mostraba el mensaje en esa fecha. También en Marzo aparece el famoso virus de Ping-Pong o Italiano. Este virus desapareció pues sólo funcionaba en computadoras 8088 y 8086 El viernes 13 de Mayo de 1988 el virus Jerusalem o Viernes 13 se activó por primera vez, en el 400 aniversario de la fundación de Israel, por lo que se cree que fué programado para fines terroristas, sin embargo otros opinan que lo de la fecha de aniversario fué simple coincidencia. Este mismo año, Franz Swoboda tuvo noticia de un virus incluido en un programa llamado 'Charlie'. Por ello, le llamó el 'Virus Charlie'. Hubo mucho revuelo en la opinión pública acerca de este virus, al difundirse las dos versiones de una misma historia: Burger afirmó que había obtenido una copia del virus de manos de Swoboda, pero Swoboda lo negó siempre. En cualquier caso, Burger se hizo con esa copia que envió a Bernt Fix, el cual 'desarmó' el virus, y Burger incluyó en su libro la demostración del análisis, después de añadirle varios parches para variar su comportamiento. El comportamiento normal de 'Vienna' (o 'Charlie', como lo llamaba Swoboda) era colocar un archivo entre otros ocho para reiniciar el PC (el virus 'parchea' los primeros cinco bytes de código); Burger (o quizá Fix) reemplazaron este código con cinco espacios. El efecto fue que los archivos parchados trababan la computadora, en vez de reiniciarla. No era una mejora muy satisfactoria, pero se inició la actividad dañina en computadoras personales. Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen demostró que uno no puede escribir un programa que sea capaz de, con un cien por cien de aciertos, visualizar un archivo y decidir si es o no un virus. Desde luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un teorema matemático, y así fue como se ganó el doctorado. Sus experimentos sobre la difusión de virus en los sistemas informáticos demostraron que la expansión de las infecciones resultaba ser mucho más rápida de lo que nadie hubiera esperado. De hecho, fue el año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una moda de lo que en principio sólo era un problema potencial. Los vendedores de software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente en serio. Esta conclusión no la tomaron debido a la incidencia del popular 'gusano del árbol de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus 'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a sus clientes que ellos también habían sido infectados. Desde este momento, el 'High Integrity Laboratory' de IBM fue el encargado del área virus. En 1988 aparecieron, desde luego, múltiples rebotes de 'Brain', 'Italian', 'Stoned', 'Cascade' y 'Jerusalem'. Esto representó la prueba definitiva de la existencia real de los virus. Peter Norton, en una entrevista, había comentado que eran una leyenda urbana, como los cocodrilos de las alcantarillas de Nueva York, y un experto informático del Reino Unido llegó a proclamar que tenía la prueba de que los virus eran un producto de la imaginación de mentes calenturientas... En aquel momento, cada nueva aparición de virus provocaba la aplicación de un análisis paso-a-paso. El software existente era utilizado para detectar virus de sector de arranque, y solamente fue escrito un programa anti-virus, de manera excepcional, para afrontar los rebrotes de 'Cascade' y 'Jerusalem'. Entonces, apareció el virus 'Virus-B'. No se alojaba en memoria residente, y resultó ser una modificación de aquel que borraba los archivos todos los viernes y 13. Cuando 'Virus-B' se ponía en funcionamiento, desplegaba el siguiente mensaje: "Warning! This program is infected with Virus-B! It will infect every .COM file in the current sub directory!". Un virus que se manifiesta de una manera tan obvia, obviamente no puede ser tan pernicioso: evidentemente, se trata de la demostración de la forma de actuación de un virus, de ahí el mensaje. Muy difundido también fue el caso de Robert Morris en Noviembre de 1988, que contaminó toda la Red Internet y sus asociadas incluyendo la red Arpanet del Pentágono, paralizando gran número de ordenadores estatales; los daños causados se calcularon en unos 100 millones de dólares y el autor fue procesado. Afortunadamente el virus no estaba diseñado para ocasionar perdidas de datos. A finales de 1988, se dieron varios sucesos importantes. En primer lugar, se produjo la aparatosa intrusión del virus 'Jerusalem' en una importante institución financiera, que durante varios días se vio en la necesidad de 'limpiar' a conciencia sus bases de datos. Por otro lado, la compañía S&S impartió el primer 'Seminario sobre Virus', en el cual se explicó pormenorizadamente lo que era un virus y de qué forma actuaba. Por último, en enero del año siguiente rebrotó otra vez 'Jerusalem', como todos los viernes y 13, y se difundió ampliamente en diversas empresas e instituciones... Estaba clara la necesidad de una herramienta que permitiera limpiar masivamente los sistemas de cualquier virus en activo. El doctor Alan Solomon, consciente de esta necesidad, desarrolló un anti-virus, le añadió algunas herramientas que, según su experiencia, podían ser útiles, y creó de esta forma la primera herramienta anti-virus, 'Dr. Solomon's Anti-Virus Toolkit'. A finales de 1988, 'Jerusalem' se había difundido de forma espectacular por España y Reino Unido. Debido al comportamiento destructivo de este virus, los expertos llegaron a la conclusión de que era necesario habilitar algún tipo de alarma para alertar a los usuarios. Pero los medios de comunicación también entraron en el juego: la posibilidad de predecir la aparición de un virus cautivó su imaginación, y de esta forma la actividad de los virus informáticos traspasó las fronteras de las universidades y empresas de informática y llegó al usuario habitual de PCs **************************** el virus Sylvia o Holland Girl. Al parecer escrito por el ex-novio de una chica
holandesa, en el código del virus se encuentra el teléfono y la dirección
postal de la chica, solicitando que se la llame o se le envíen postales,
(suponemos que para pedirle que no abandone a su novio). Pero no todo Este es un virus de posible intencionalidad política, de hecho uno de sus nombre es
PLO (Organización de Liberación de Palestina), y tampoco es el último. El virus Fu
Manchú intercepta el buffer del teclado y detecta el nombre de varios políticos (Reagan,
Thatcher, Botha, Waldheim, etcétera), vertiendo insultos (otros dicen que los interpretan
como divertidos En 1988 aparecieron dos nuevos virus: Stoned, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989 En la actualidad, la sociedad empieza a reaccionar para defenderse de este fenómeno; las leyes comienzan a cambiar para adecuarse a este nuevo tipo de delito informático, si bien las empresas son reacias a confesar que sufren las consecuencias de los virus por temor a perder prestigio. En Estados Unidos ya funciona la Computer Virus Industry Association que contabilizó el año 1988 más de noventa mil casos de ordenadores infectados en empresas, y en 1989 por encima del medio millón, por lo que su cifra bien podría ser el doble en la realidad. Ello indica que el fenómeno se extiende en proporción geométrica. Si bien las cifras citadas se refieren a todo tipo de ordenadores, debemos considerar que se estima que el parque actual de compatibles IBM-PC en el mundo supera los 37 millones. En España, este papel lo ha tomado la Asociación Española de Empresas de Software (A-Soft), si bien su papel prácticamente se redujo a un somero seguimiento del brote epidémico del Viernes 13, y a la distribución gratuita de programas especificos contra ese virus y el troyano AIDS. La industria informática no para de generar programas, e incluso hardware, para luchar contra los virus informáticos, creando una nueva especialidad dentro de la informática de gestión. Actualmente los virus pueden recorrer miles de kilómetros en pocos minutos. La moda
americana de los BBS (Bulletin Board System), especie de club de usuarios al que se accede
via modem telefonico, ya está llegando al resto de los países. Las redes nacionales e
internacionales (como FIDONET) abundan y aumentan. Un ejemplo fue la infección de la red
Internet que llegó a Australia antes de poder ser detenida. Esto obliga a que la
circulación de información sea igualmente fluida y los conocimientos del fenómeno
amplios.
1989, será siempre recordado como el año en el que las cosas se pusieron difíciles. El virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado porque al parecer, su fecha de activación estaba prevista para el día 13 del mes siguiente. Cuando el virus fue analizado, sin embargo, se llegó a la conclusión de que, cualquier día después del 12 de octubre de 1989, podría formatear a bajo nivel el cilindro cero del disco duro, lo cual en la mayoría de los discos, borraría la FAT, dejando al usuario sin su información. También se desplegaba un mensaje con el nombre del virus, 'Datacrime'. Se redactó un informe sobre los efectos de este virus, que se publicó en una revista, y otros medios de comunicación se hicieron eco del caso, llegando en Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre, cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era capaz de borrar toda la información contenida en el disco duro. En Norteamérica, la prensa empezó a llamarle 'El virus del Descubrimiento', y se corrió la voz de que había sido escrito por terroristas noruegos, hartos de que se otorgara la autoría del Descubrimiento de América a Colón, en vez de a Erik el Rojo. Mientras, en Holanda, la policía empezó a distribuir un detector del virus 'Datacrime', vendiéndolo a un dólar en todas las comisarías de policía. Se vendió muy bien, pero daba una serie de falsas alarmas, por lo que enseguida fue sustituido por una segunda versión. Esto provocó mucha confusión en la opinión pública, porque realmente nadie era capaz de saber si tenía o no el virus. En el mes de julio, debido al mayor índice de concienciación ciudadana, un gran número de compañías holandesas solicitaron información a IBM sobre si los virus eran realmente un problema serio. Existían muchas posibilidades de que una empresa pudiera infectarse de 'Datacrime', 'Jerusalem', 'Cascade' o 'Stoned'. IBM contaba con un programa software de detección y eliminación de virus para su uso interno, que si no ofrecían inmediatamente a sus clientes, podía representar un menoscabo en su reputación. Los técnicos sabían que en cualquier momento podría producirse una infección masiva de cualquiera de estos virus, en especial de 'Datacrime'. En septiembre de 1989, IBM lanzó su versión 1.0 de este escáner, junto con una carta en la que explicaba a sus clientes lo que era y para qué servía. Las empresas usaron el software, y se encontraron con que no estaban infectados por 'Datacrime', pero sí por multitud de versiones de los virus vigentes en ese momento. El 13 de octubre de ese año fue viernes, y por tanto fecha posible de activación de dos de los virus más conocidos en aquel momento: 'Jerusalem' y 'Datacrime'. En los Estados Unidos, los avisos de alerta sobre la actividad de 'Datacrime' habían sido excesivos, dado el carácter prácticamente inocuo del citado código, pero no se registró ninguna infección. En Europa, sólo afectó a unos pocos usuarios. El Instituto Nacional de Ciegos (RNIB) anunció que había sido infectado, y que había perdido gran cantidad de datos de sus cuentas y muchos meses de trabajo. Pero se trataba de una infección de baja intensidad de 'Jerusalem', que había borrado unos cuantos archivos fácilmente reemplazables. Cuatro PC's fueron infectados, pero este hecho pasó a la historia de los virus como "el Gran Desastre del RNIB". Este año tan agitado terminó con la distribución de 20.000 copias de un famoso código malicioso, el Aids Information Disquette, que fueron enviadas por correo a usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el PC Business World. Este documento contenía instrucciones de instalación detalladas que originaban la creación de archivos y directorios ocultos, editando el contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba presente en cada motor de arranque. El 'troyano' que contenía encriptaba todos los archivos del disco duro, otorgándoles los atributos alojados en él. La consecuencia más destacada de este incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código malicioso protagonista del hecho en realidad era un troyano. Además, un sorprendente número de personas instalaron el software, de tal manera que PC Business World tuvo que desarrollar un programa para solucionar los desaguisados que provocó la distribución de este 'troyano'. En el año 1990, surgieron algunas novedades en el panorama de los virus. Mark Washburn había creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos representaron un paso adelante en la evolución de los códigos malignos, al ser capaces de encriptar de forma diferente su código cada vez que cometían una nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos. Aunque Washburn publicó el código de su virus, y se temió que muchos creadores de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado profusamente después en la creación de 'criaturas víricas' más modernas. Otra de las consecuencias de los virus polimórficos es el incremento de las falsas alarmas. Si un vendedor de software anti-virus consigue escribir el software apropiado para detectar algo con tantas posibilidades de mutación como 'Viena', existen muchas posibilidades de que en realidad lo que el escáner detecte sea una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para el usuario que un auténtico virus, ya que obliga a poner en funcionamiento absolutamente todos los mecanismos anti-virus de defensa. También en 1990 asistimos a una oleada de virus procedentes de Bulgaria, especialmente de aquellos cuyo autor se identificaba con el alias 'Dark Avenger'. Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida (el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos virus sobreescribían código cada cierto tiempo, por lo que si el usuario no se daba cuenta y hacía 'backup' de los datos periódicamente, autoreplicaba sin querer todas las líneas de código maligno). Otros virus clásicos de parecida actuación durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'. Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de sus virus. Cargaba sus códigos malignos en BBS's, infectando los programas anti-virus shareware, y en sus ataques víricos incluía un archivo que cumplía la función de tranquilizar a todo aquel que comprobara el tamaño del archivo o realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código fuente para que los legos pudieran aprender cómo se creaban virus. En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus en el que estuviera interesado, si previamente había dejado algún código maligno propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la creación de nuevos virus como la difusión masiva de muchos de ellos. En la segunda mitad de 1990, hizo su aparición 'The Whale'. Se trataba de un código muy largo y complejo, que denegaba el servicio al sistema cuando éste se intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la práctica, este virus se podía rastrear perfectamente con la mayoría de las herramientas disponibles en aquel momento, por lo que su fama se debe más a su complejidad que a sus efectos devastadores. A finales de este año, los fabricantes de anti-virus se dieron cuenta de que estaban mucho más organizados, casi hasta alcanzar el nivel que tenían los mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European Institute for Computer Anti-virus Research') en Hamburgo, en diciembre de 1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la amenaza de los virus, en el cual participaban vendedores de software, cazadores de virus y expertos, con el objeto de intercambiar ideas (y 'especímenes'), así como animar a las autoridades para la llevar a cabo auténticas estrategias de defensa contra la incidencia de ataques víricos. Cuando esta organización fue fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara' estaba en auténtica ebullición. En el año 1991, el problema de los virus ya era lo suficientemente preocupante como para atraer a las grandes compañías de marketing. Symantec lanzó a principios de este año el producto Norton Anti Virus, y Central Point CPAV en abril. Pronto los siguieron Xtree, Fifth Generation y unos cuantos más. Muchas de estas compañías reutilizaron los programas de otras empresas (casi todas las israelíes, por ejemplo). Pero el gran problema de este año fue el llamado 'glut'. En diciembre de 1990, había alrededor de 100 ó 300 virus. En diciembre del siguiente año, 1000 (ya que en este año se escribieron gran cantidad de virus). 'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de proliferación de virus, causó la aparición de múltiples y desagradables nuevos problemas. Los programar tenían muchas limitaciones. En particular, era necesario el almacenamiento de gran cantidad de datos en memoria para proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640 Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos, en proporción al gran número de virus que debían detectar. Además, el análisis de virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar, analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa también más trabajo para los desarrolladores. Además, todos estos nuevos virus eran similares unos a otros, provocando errores de identificación, y por lo tanto una desinfección ineficaz. Muchos escáneres fallaban en la clasificación del virus en cuestión. La mayoría de los virus procedían de Europa del Este y Rusia, pero en Bulgaria se localizó otro importante foco de producción de códigos malignos. Enseguida muchos países se unieron a la nefasta carrera de producción de virus: Alemania con 'Gonorrea', Suecia con 'Demoralised Youth', Estados Unidos con 'Hellpit', Reino Unido con 'Dead on Arrival' y 'Semaj'. Algunos de estos virus jamás salieron del laboratorio, pero contribuyeron a extender la fama de estos códigos por todo el mundo, animando a los creadores de virus a ser cada vez más productivos. La rapidez de creación produjo el efecto de contribuir al plagio: cualquier creador de virus no tenía más que descargar código fuente y efectuar en él unos cuantos cambios. 1991 fue también el año de los virus polimórficos, que tuvieron un gran impacto sobre los usuarios. En abril de 1991, 'Tequila' recorrió el mundo de parte a parte. Fue escrito en Suiza, y fue robado al autor por un amigo, que lo introdujo en los equipos informáticos de su padre. El padre era un vendedor de shareware, y así fue como 'Tequila' se difundió ampliamente. Se trató del primer virus polimórfico difundido a escala mundial. En mayo, los nuevos motores de búsqueda lo detectaban, pero no fue hasta septiembre que se empezó a reducir su expansión. Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no se desinfectaba de forma efectiva. En septiembre de 1991, el virus 'Maltese Amoeba' hizo de las suyas por toda Europa. Se trataba de otro virus polimórfico que provocó la aparición de una docena de variantes antes de fin de año, todas clasificadas como 'de difícil erradicación'. En este año se anunció la inmediata aparición de un virus que podía tomar nada más y nada menos que 4 billones de formas diferentes, pero esto sucedería ya para 1992, y no se trataba de un virus. Enero de 1992 fue el año de la aparición de la 'Self Mutating Engine(MtE) de Dark Avenger. En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ, con el código fuente de un simple virus e instrucciones para enlazar el archivo OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico. Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar detectores para la MtE. En un principio, se creyó que habría cientos y cientos de virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta rápidamente de que un escáner que fuera capaz de detectar un MtE podía detectar todos. A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de 'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus. Muchos desarrolladores de productos aprovechaban esta facilidad para crear rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de tal manera que los escáneres se veían obligados a chequear todos los archivos, o bien localizar el virus mediante un seguimiento completo del código. Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de un virus completamente polimórfico, que constaba de una serie de trucos anti-debbuging y anti-checksumming. Los programas de 'checksumming' sirven para detectar un virus en función de que posee código ejecutable que muta para replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran copiados desde el disco duro al disquete. Por lo tanto, los archivos residentes en el disco duro no cambiaban nunca. Pero la copia del disquete estaba infectada, por lo que si este disquete se introducía en otro equipo y se chequeaba el sistema por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship' se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva partición en el 'boot'. Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar el control a la partición 'boot' original. Probablemente, el virus más importante durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas empresas cundió el pánico, cuando los medios de comunicación se hicieron eco de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y 10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca llegaremos a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron a cabo exhaustivos exámenes de sus equipos en pos del virus. Después de esta fecha, muchos expertos en virus de todo el mundo vieron como sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio. En Agosto asistimos a la aparición de los primeros paquetes de virus de autor. Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer uso de un PC para escribir su virus personal. En el transcurso de un año, aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos ellos creados mediante el uso de estas herramientas. A finales de 1992, un nuevo grupo de creadores de virus, ARCV (Asociación de Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos miembros para su causa particular. Otro de los hechos destacables en este año tan movido fue la aparición de personas que se dedicaban a la venta de colecciones de virus. Para ser más precisos, se trataba realmente de colecciones de archivos, algunos de los cuales eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia. A principios de 1993, XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre, 'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE, y mucho más difícil de evitar sus falsas alarmas. Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de compresión que automáticamente se incluía en archivos para autoinstalarse en tantos equipos como fuera posible. Mientras tanto, 'Nowhere Man' y el grupo 'Nuke' había estado, también, bastante ocupados. A principios de este mismo año, fue lanzado el 'Nuke Encryption Device (NED). Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina polimórfica. También 'Dark Angel' quiso apuntarse a la moda del polimorfismo. Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device (NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba. Un poco después de esta oleada de códigos polimórficos, Lucifer Messiah, de Anarkick Systems, había tomado la versión 1.4 de TPE y escrito un virus llamado 'POETCODE', utilizando una versión modificada de esta máquina (la 1.4b). Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue 'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue difundido a través de un show de la televisión alemana dedicado precisamente a las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la mayoría de los recipientes usaban para descomprimir los archivos que recibía. A mediados de 1993, el grupo 'Trident' aumentó su preeminencia con la entrada de Dark Ray y John Tardy en el grupo. Tardy había lanzado un virus completamente polimórfico de 444 bytes, y todos los expertos estaban pendientes del grupo, en espera de nuevas y malignas creaciones, posiblemente de rango superior. Lo peor que tuvo lugar en este fatídico año fue la emergencia de un creciente número de paquetes de virus de autor y máquinas polimórficas, que hacían más fácil escribir virus que los escáneres encontraban difíciles de detectar. También en este año, desaparecieron muchas importantes empresas desarrolladoras de software anti-virus, como Certus (uno de cuyos productos más representativos era Novi) ó Fifth Generation (creadores del producto 'Untouchable'). No obstante, también hubo algunas buenas noticias: la empresa S&S International recibió el galardón 'Queen's Award for Technological Achievement'. Este premio se otorgó por el lenguaje de descripción de virus VIRTRAN, que es la base fundamental de FindVirus y VirusGuard. Los siguientes años conocieron una superabundancia de virus escritos por medio de paquetes, lo cual causó enormes dificultades a los desarrolladores de software anti-virus. Se hizo, de repente, necesario mecanizar los procesos de análisis de códigos malignos. La solución fue la GDE ('Máquina de Desciframiento Genérico'), que descifraba el código de un archivo sospechoso, permitiendo así llegar a la conclusión de si se trataba o no de un virus. Esto eliminaba el peligro de las falsas alarmas, ya que una vez que un virus es descifrado, se facilita muchísimo el proceso de una identificación positiva del citado virus. En abril del año 1994, la firma Central Point Software dejó de existir. Central Point llegó a ser uno de las principales empresas del mercado de los desarrolladores de soluciones anti-virus, con su producto CPAV. En este mismo año también aparecieron muchas máquinas polimórficas y nuevos virus, como 'SMEG', que fue lanzado por su autor como 'Smeg.Pathogen' y 'Smeg.Queeg'. Debido a que estos virus se difundieron inmediatamente después de su creación, supusieron una especie de curioso test que denotaba la capacidad de reacción de las empresas desarrolladoras de anti-virus. El 26 de marzo de 1996, Chrisopher Pile, de 26 años, oriundo de Plymouth (en Inglaterra), fue condenado de acuerdo con la ley de Utilización Errónea de Equipos Informáticos en conexión con la aparición y posterior difusión de los virus 'Smeg'. 1999 marca el inicio de las plagas virtuales. Happy99 supone el boom de los virus transmitidos a través de Internet, una vía mucho más directa y rápida de dispersón ya que hay millones de ordenadores conectados al mismo tiempo y a que el volumen de información que circula de unos a otros es muy elevado. |
Un miembro de
|
|
Aceptamos saludos, felicitaciones, colaboraciones, aportaciones,
información, sugerencias, patrocinios, donaciones en capital o especie. 
|
