|
por Jesús Manuel Márquez Rivera <JmMr> 29 Julio 2003
VIDA ARTIFICIAL
EL FASCINANTE MUNDO DE LOS VIRUS INFORMÁTICOS
3. DEFINICIÓN, CLASIFICACIÓN Y TIPOS.
Al igual que en el reino animal, establecer una taxonomía o clasificación de las especies y subespecies de
virus y códigos “malignos” en general es extremadamente difícil, especialmente teniendo en
cuenta que muchas “criaturas” comparten características de varias especies. Por ejemplo, el
reciente gusano Nimda reúne en sí parte de virus, de gusano y de troyano. Una criatura realmente digna
de ser estudiada. :)
Virus, gusanos, troyanos, bombas lógicas, “malware” en general, forman una fauna de gran
riqueza y variedad :-)
Se impone establecer una definición básica y sencilla de cada tipo:
Programa con capacidad reproductiva (replicación) que infecta
ficheros como medio de propagación (y estos ejecutables infectados “viajan” a través de
disquetes, cdroms o descargas por Internet).
Ejemplos: Brain, Virdem, Stoned, Viernes 13, Michelangelo, Win32.Jacky, CIH-Chernobil,
...
Programa que genera copias de sí mismo (igual que un virus) PERO NO SE
“PEGA” A NINGÚN FICHERO EJECUTABLE y se envía a través de una red.
Ejemplos: Gusano de Morris, Melissa, Iloveyou, CodeRed, SirCam, Nimda, Slammer...
Programa o código oculto dentro de otro programa de interés para el usuario
con el objeto de que el usuario confíe en su ejecución, a semejanza del episodio del regalo del caballo de
Troya (carácter estático).
Ejemplos: Back Orifice o BO, SubSeven, Netbus, Assasin, Optix, Ptakss, Cabronator,
etc.
Instrucciones malignas camufladas en el código de un programa que se activan
según determine el programador (en una fecha, por medio de una tecla o al no cumplirse una exigencia).
Ejemplo: el caso más típico es el programador que al no recibir el pago por su
trabajo activa o no inutiliza la orden que ejecuta el código cuya misión puede ser borrar, encriptar,
etc.
VIRUS
DEFINICIÓN
Los virus son programas informáticos capaces de replicarse o reproducirse
mediante la infección de otros programas (ejecutables).
La característica fundamental que los define es la infección. La
ocultación es un elemento esencial que añade complejidad al virus.
La propagación se realiza mediante ficheros infectados (que llevan pegadas
copias del virus). La vía puede ser a través de un disquete, de un correo electrónico o bien que el
virus sea capaz de conectarse y enviar copias de sí mismo.
Se “pega” a un fichero ejecutable. Generalmente, si comprueba que
no puede transmitirse a otro ordenador por no existir una conexión a una red, el programador le habrá
incluido una rutina para infectar el ordenador en el que se encuentra. No es necesario que dañe o destruya,
cosa que se encuentra erróneamente en muchas definiciones de virus.
La infección se producía al principio de forma masiva a través del
intercambio de disquetes, luego por correo electrónico, ficheros adjuntos, software pirata, etc.
Internet ha supuesto el boom de los virus y de los
gusanos. Los programas de intercambio de música y películas son un filón
inagotable.
ESTRUCTURA
La estructura de un virus es tripartita:
-
Mecanismo de reproducción. Infección que genera copias del virus
“pegadas” en ficheros ejecutables o en el sector de arranque de discos (en realidad son programas
también).
-
Detonante (trigger). Esta parte del virus (de su código) se
encarga de comprobar si se cumplen las situaciones previstas por el programador. Cuando se cumplan una o varias
circunstacias: puede ser una fecha concreta, una acción por parte del usuario, etc.
-
Carga (payload). La acción que realiza el virus. No tiene por qué
ser destructivo: puede ser mostrar una ventana, un mensaje, etc. Entre los payload destructivos o
perjudiciales pueden encontrarse desde el borrado de ficheros hasta el envío de información
confidencial a destinos no autorizados.
El virus intentará sobrevivir el máximo tiempo posible e infectar al mayor
número de ficheros y/o ordenadores. Para esto, desde el sencillo "Brain" en 1986, se usan las
llamadas técnicas de ocultación, que buscan engañar al usuario y a los antivirus.
Uno de los mitos más persistentes hacen referencia a las llamadas
“mutaciones” de los virus, que en la mayoría de las ocasiones son cambios que
realizan determinados programadores sobre el código de un virus o gusano exitoso (y los medios de
comunicación no se refieren al polimorfismo sino a lo citado).
Otro es que la infección vírica destruye, pero la realidad es que no es
destructora salvo errores (bugs) de programación. Lo que puede destruir es el
“payload”.
LENGUAJES DE PROGRAMACIÓN
Pueden verse virus en casi cualquier lenguaje, desde el más sencillo como es el
BATCH hasta el más complejo como es el ENSAMBLADOR.
Los virus interpretados, tanto de macro como de lenguajes script
(VBScript, etc... ), están ganando un espacio considerable en los últimos años, por ser bastante
más fáciles de crear que los realizados en ensamblador para infectar ejecutables en Windows
32.
CLASIFICACIÓN DE VIRUS (Aproximación)
|
| TIPO |
DESCRIPCIÓN
BREVE |
| Virus de sector
de arranque |
Infecta la parte del disco usada
para arrancar (tiene código) |
| Virus infector de
ficheros |
Infecta los ficheros ejecutables
(no sólo los EXE) |
| Virus
interpretado: macro, script, ... |
Activa una serie de
instrucciones a través de “ejecutables” que automatizan ciertas acciones |
| |
|
SEGUN TÉCNICAS INFECCIÓN
|
| TIPO |
DESCRIPCIÓN
BREVE |
| Virus de
sobreescritura |
Escribe el código
vírico sobre el fichero, dejándolo inservible |
| Virus
añadido (appenders) |
Infectan el fichero sin
destruirlo |
| Virus de
compresión |
La utilizan para evitar que
aumente el tamaño (también es una forma de ocultación) |
| Virus de
cavidad |
Aprovecha los espacios libres de
los ficheros |
| Virus de
directorio |
Aprovecha la estructura de los
directorios |
| Virus
multiproceso |
Infecta el kernel32.dll
(centro de llamadas del S.O.) |
| Virus
multipartito |
Varias técnicas de
infección: arranque, ejecutable |
| Virus
multiplataforma |
Afectan a varios sistemas
(Windows, Mac ... ) |
| Virus de
compañía (companion) |
Crea un fichero COM para
infectar uno EXE del mismo nombre (el Sistema lo ejecuta antes) |
| Virus de
macro |
Infectan las macros de
documentos de texto |
| Virus
parásito |
Aquel que pega su código al
ejecutable infectado |
| |
|
SEGÚN TÉCNICAS DE OCULTACIÓN
|
| TIPO |
DESCRIPCIÓN
BREVE |
| Stealth
(sigiloso) |
Engañar al sistema y al
usuario ocultando la infección |
|
Encriptación |
Ocultar el código mediante
cifrado y clave variable |
|
Polimorfismo |
El virus cambia completamente en
cada mutación (muy difíciles de detectar) |
|
Tunneling |
Evitar la monitorización de
los antivirus (se anticipa) |
| Antibait |
Evitan los cebos (bait)
de los antivirus |
| Armoring |
Dificultar el desamblado
(estudio) para buscar una “firma” (identificador) que permita detectar al virus |
| Retro |
Ataca al antivirus. Desactiva la
lista de virus y los registros de integridad de los ficheros (checksums). |
GUSANOS
La diferencia fundamental con respecto a los virus es que no pretenden infectar
ficheros. El gusano se replica y envía copias para propagarse si encuentra una conexión a una red
(generalmente Internet).
Los gusanos han experimentado un crecimiento extraordinario, por la facilidad de
propagación y de creación en comparación de un virus en ensamblador, capaz de infectar ejecutables,
residente en memoria o polimórfico, por ejemplo. Usan el correo electrónico como vía de
propagación, como adjuntos al email o en el cuerpo del mensaje.
Algo más de 300 bytes conocidos como "Slammer" pusieron al borde
del colapso buena parte de Internet en enero de 2003.
Pero también usan:
Ingeniería social; su propio motor de correo; aprovechan fallos de
software muy utilizado: IE ejecución en vista previa, fallos IIS, SQL; propagación por
redes locales; propagación por redes p2p; a través de IRC o similar;
escondidos en el HTML del correo; e incluso directamente en páginas de Internet, puertos
desprotegidos (Opaserv, Hai).
Es posible encontrar cualquier variante. El gusano "Ramen" ataca servidores
Linux. Nadie sabe lo que deparará el futuro.
Los primeros gusanos agotaban los recursos del ordenador y saturaban las redes y/o los
servidores. Hoy son criaturas muy complejas con código de virus y troyanos al mismo tiempo, capaces
de actualizarse o completarse descargando plug-ins (añadidos) de Internet.
Se pueden clasificar según el lenguaje de programación empleado, la técnicas
de propagación (el medio), etc.
Unos emplean el correo electrónico, otros el IRC (mIRC y Pirch),
la mayoría están escritos en VBS (Visual Basic Script) o están orientados a Windows 32
(API de Windows).
Cada vez son más frecuentes los gusanos que aprovechan todo para propagarse.
También abundan los híbridos, que mezclan características de dos o de los tres tipos
fundamentales de "malware".
Desde 1999-2000 hasta la actualidad, la mejor fuente
en español para estudiar los gusanos es VSAntivirus, el sitio uruguayo creado por José Luis
López. Me ha servido para verificar los datos, ya que su información es muy fiable.
4. “SCENE”: HISTORIA, GRUPOS, EZINES Y CREADORES.
La pregunta clave es ¿por qué?
¿Qué es lo que lleva a una persona a dedicar muchas horas de su tiempo libre a la realización de un
virus? sin contar el que emplea en adquirir los conocimientos básicos. ¿Un reto intelectual y creativo, una
venganza, una forma de pasar el rato, de huir de una sociedad insufrible? ¿Una forma de ser y vivir adelantada a
su tiempo, que la mayoría de la gente no entiende porque aún no viven “en” la Red? De todo un
poco.
Circula una imagen distorsionada sobre los
creadores de virus, al igual que sobre los hackers. Freaks, inadaptados sociales, tarados... quizás esta
descripción tenga más que ver más con los que están al otro lado de la trinchera
cibernética.
La “scene” es el mundo, la “sociedad” que forman los creadores de
virus, los grupos, las revistas en formato electrónico, las páginas web y en definitiva todas
aquellas actividades relacionadas con el estudio serio y responsable del código vírico, la programación
y el intercambio de ideas y código.
Tiene su ética y sus normas no
escritas. Se sabe quién está dentro y quién está fuera, quién forma parte de los
mejores y quién está aprendiendo ...
SCENE
1986-1987 es el comienzo de las epidemias. 1988 se convirtió en el año de la
mayoría de edad. 1989 el del primer lugar de intercambio de virus, el de la gestación de la
“factoría búlgara” de virus. Rusia también dominó en estos
años el panorama de los virus.
En los 90 aparecen los primeros grupos de creadores de virus: Phalcon Skism y Nuke en
EE.UU. y Trident en Holanda. Las primeras revistas electrónicas sobre virus
(ezines) aparecen en los BBS.
Salvo Bulgaria a principios de los 90 y España a partir de 1995-1996, no se puede hablar de
países con especiales “manifestaciones víricas”. EE.UU. siempre tiene un papel
omnipresente por ser la cuna de los hackers informáticos, de ARPANET, del phreaking, etc., y por el
desarrollo masivo de la informática.
El creador del gusano "Iloveyou" es filipino; uno de los mejores coderz es Vecna,
brasileño; en China y en Rusia se crean muchos virus y gusanos interesantes, en Argentina hay
larga tradición, en México también... Israel, Holanda, Alemania. Por esto
los grupos suelen ser internacionales en cuanto a sus integrantes.
Los búlgaros y los rusos
dominaron el panorama vírico a comienzos de los 90. Dark Avenger es una figura mítica.
Su pugna con el periodista Vesselin Bontchev generó toda clase de rumores e historias.
DARK AVENGER, EL VX SIN ROSTRO
Uno de los mitos más extraños del mundo de la creación de virus es la figura conocida con el
nombre de “Dark Avenger” (Vengador oscuro o de la Oscuridad). En una época en que
Bulgaria se convirtió en el centro vírico más importante del mundo –llegó a
hablarse de la “factoría búlgara”-, no es extraño que surgiera el más
“terrible” coderz.
 El antiguo director del Laboratorio de Virología de la Academia de Ciencias de
Bulgaria Vesselin Bontchev (ahora en ISLANDIA, trabajando para el antivirus F-PROT) jugó un
doble papel: por un lado informaba sobre cada virus que surgía en Bulgaria y sobre sus autores, y por
otro se hacía cada vez más famoso en todo el mundo.
En el caso de“Dark Avenger”, esta fama no llegaría a ser igualada nunca más.
Cada nueva criatura compleja y dañina se le atribuía automáticamente. Sus virus "Eddie",
"Nomenklatura" ... eran obras maestras en aquellos tiempos.
Una de las hipótesis más sugestivas
se basa en que el creador de virus conocido como “Dark Avenger” sería el lado oscuro del
mismo “Vesko” Bontchev.
|
En junio de 1991 se publicó una revista electrónica con el nombre de 40HEX, que
estuvo en activo hasta agosto de 1995, lanzando 14 números de textos y códigos víricos. Ante el
éxito suscitado, en torno a ella se formó el grupo Phalcon/Skism.
La idea de los grupos y de los e-zines prosperó y se crearon grupos míticos como Inmortal
Riot, VLAD, etc.
En la actualidad, los más destacados de la scene vírica son 29A y IKX (International
Knowledge eXchange).
Existe una parte oculta de todo lo relacionado con
los usos “sobrenaturales” de la informática.
Dejando esto de lado, no cabe duda que el origen del panorama vírico español está vinculado al
nombre del BBS Dark Node, uno de los mejores del mundo y embrión del grupo 29A.
En abril de 1995, antes las restricciones para intercambiar códigos de virus en Fidonet, Luis
Gómez-Ulla creó un BBS con un Amstrad de 517 K de memoria RAM: Dark Node.
En 1996 se forma el grupo 29A (666 en formato hexadecimal). Nació en la cabeza de Mr.
Sandman como revista en la que publicar los artículos y los virus creados por la gente de “Dark
Node”. Se publicaba en inglés, por el afán de llegar a todo el panorama vírico
mundial. Ante el éxito del primer número (una auténtica joya), se unieron para sacar el
número 2. Así nació el mejor grupo de viriing de la actualidad.
Como en tantas esferas de las “artes” de la informática no convencional, muchos escritores
de virus se cansan, se “queman” o se apartan de la “scene” durante un tiempo.
No cabe duda de que nunca se puede dejar de ser un Vx.
GRUPOS
Nuke, Inmortal Riot, DAN, VLAD ... 29ª y IKX
Suele decirse que existe una “buena scene” que escribe en ensamblador y una
“mala” que escribe en lenguajes de script (VBA, Macro y VBScript). Pero esto no
quiere decir que un buen creador no use los HLL o lenguajes de alto nivel para determinadas tareas o para un
gusano concreto, ni que algunos gusanos no sean extraodinariamente complicados de hacer con estos lenguajes.
Entre los grupos que vamos a mencionar en este apartado se encuentran:
- Phalcon Skism / 40hex (1991-1995)
- Nuke / Nuke Info Journal (1991-1994)
- Trident (principios de los 90) Holanda
- Inmortal Riot / Insane Reality Magazine (1993-1996) Suecia
- VLAD / VLAD Magazine (1994 –1996)
- DAN / Minotauro Magazine (1994-1997) Argentina
- Codebreakers / Codebreakers Magazine (1997-1999). Sitio cerrado tras el asunto Melissa.
- 29A / 29A (1996-2003 ... )
- IKX / Xine (1996-2003 … )
Forzando un poco las cosas, existen dos generaciones al menos en los grupos víricos:
1. Un primer grupo formado a principios de los 90 y que llega más o menos
hasta 1995.
Phalcon Skism, Nuke, Trident, etc.
1995 marca la aparición del Windows 95 (Windows 32
bits, ejecutables PE, etc).
2. Un segundo grupo nacido a partir de 1995-1996.
29A, IKX, Codebreakers, etc.
- PHALCON SKISM ha sido uno de los grupos originarios y más conocidos de la “scene”.
Su revista es el equivalente más aproximado en el mundo vírico a lo que representa
“Phrack” en el hacking.
Norteamericano (EE.UU. y Canadá), formado por hackers y escritores de
virus.
La competencia entre este grupo y Nuke fue épica. En 1992 crearon
el “Phalcon-Skism Mass Produced Code Generator” o PS-MPC (aparecido en el número 8 de
40Hex) y el grupo rival Nuke realizó el VCL (Virus Creation Laboratory) –su autor fue
“Nowhere Man”-, la primera herramienta de creación de virus.
40Hex se publicó desde 1991 hasta 1995 (12 números). Fue la
primera.
Algunos de los miembros más relevantes han sido: Priest, Hellraiser,
Stormbringer, Skism One, Dark Angel, ...
- NUKE, también norteamericano,
Su revista NUKE Info Journal se publicó desde 1991 hasta 1994 (14
números).
Importante grupo holandés que compartió los inicios de ls
“scene” de los 90 con Phalcon Skism y Nuke. Se les atribuyen más de 150
virus y la creación de TridenT Polymorphic Engine (TPE) en 1992 que añadía
polimorfismo a los virus.
John Tardy fue el fundador y destaca la figura de Masud Khafir entre
sus miembros.
Grupo australiano con miembros de todo el mundo (Virus Laboratory And
Distribution). A finales de 1996 quedó disuelto.
Su ezine tiene 7 números. 1994-1996.
Metabolis y Qark fueron sus fundadores. Sepultura, Quantum,
etc.
International Knowledge eXchange (grupo de virus, pero tb. Hacking, phreaking …
)
Su publicación se llama “Xine”. Comienza en 1995
Quizás el miembro más conocido sea Billy Belcebú. Psychodad
(el aglutinador del grupo), Bozo, JBH, Int13h son otras figuras.
GRUPO 29A
|
|
Grupo muy interesante de la escena vírica. Nace en 1996 en España. Desde el principio tienen muy
clara su vocación internacional y escriben en inglés para saltar todas las fronteras. Surge de
un BBS gallego sobre temas víricos llamado “Dark Node” y algunos de los miembros
más destacados se reúnen para la edición de un ezine. Más tarde, dado el éxito de ese
primer número, se forma el grupo.
Hacer una lista de los actuales miembros de 29A y de los que en algún momento lo han sido no deja de
producir admiración: Mr. Sandman, Jacky Qwerty, GriYo, Virus Buster, Wintermute, Vecna, Mr. White, Benny y
algunos más …
EZINE 29A
En julio de 2003 tienen 6 números de su prestigioso ezine en la Red. Lo mismo que decía para los
miembros es válido para los que firman los artículos. Lo mejor de lo mejor publica en ella. El
7 está en preparación.
Contiene artículos de opinión, entrevistas y sobre todo artículos sobre técnicas y virus
comentados.
|
5. VIRUS Y ANTIVIRUS. ¿CÓMO SE HACEN Y ACTÚAN?
Escribir virus puede ser una motivación especial para aprender a programar: batch, visual basic, C,
ensamblador... Muchos empiezan estudiando a fondo códigos de virus sencillos, como un ajedrecista
estudiaría las partidas de los maestros. Es habitual que buenos virus generen muchas variantes y copias de
métodos exitosos de infección o de ocultación.
Es algo realista empezar a estudiar un virus infector de ficheros COM y luego EXE, y no hacerlo por
uno con polimorfismo o multiproceso. En ese sentido, los libros de Mark Ludwig son un buen comienzo. La
revista 29A puede ser la continuación. Mucho cuidado con lo que se hace.
Cuando un programador quiere realizar un programa para gestionar correo, chatear o lo que sea en Windows, debe usar
los recursos (APIs, librerías, etc.) que utiliza este sistema operativo. Un creador de virus busca
controlar los accesos normales para enviar correos, desactivar el monitor del antivirus, etc., por lo que requiere
conocimientos importantes del funcionamiento del ordenador, del sistema operativo y del software, mayores
si programa en ensamblador y menores si lo hace en lenguajes interpretados (macros,
scripts, etc).
La mejor opción para abrir la mente es msdos y batch (insisto que SÓLO ES MI OPINIÓN).
Aunque si ya tienes experiencia, puedes pasar directamente a visual basic y a ensamblador. El verdadero
escritor de virus tiene que conocer ensamblador, pero muchas veces ocurre como con Linux, que los lamers van diciendo a
diestro y siniestro que hablan en ensamblador y tienen sueños compilando el kernel sin ayuda :) Los virus y
gusanos se pueden escribir en el lenguaje apropiado pero el ensamblador es para un coderz como linux para un
hacker.
EJEMPLOS DE VIRUS en MS DOS
BAT.ZEP
Este código pertenece a uno de los virus más pequeños que existen,
programado para ms-dos como fichero por lotes (.bat). Mi antivirus lo detecta como
BAT.Zep
VIRUS infector *.COM
Un código vírico muy simple en ensamblador del que es autor Mark Ludwig. Se
trata de un virus que infecta ficheros *.COM y que no queda residente en memoria.
Está sacado del disquete que acompaña a "The Giant Black
Book...".
*Se han escogido virus antiguos, bajo MS-DOS, con tan apenas
efectividad hoy en día, y menos en S.O. modernos.
Los escritores de virus (virus writer, Vxers, coderz) necesitan un conocimiento importante del
sistema operativo que eligen como objetivo para que actúe su “retoño”, así como
de los programas que serán transmisores de la infección (generalmente gestores de correo).
En los comienzos de la informática de masas, la mayor parte de los virus fueron escritos para MSDOS. Hoy en
día ha pasado el tiempo de MSDOS, pero tenemos Windows 95, Windows 98 y todos los demás (Windows 32
bits), macros de Access, de Word, de Excel, de PowerPoint y los deliciosos programas tan amistosos con los
virus y sobre todo con los gusanos: Outlook o Outlook Express.
La preponderancia de Microsoft entre los usuarios domésticos y pequeñas empresas genera un
“monocultivo” vírico, pues un creador de virus busca poner en evidencia un fallo y
naturalmente en la mayoría de los casos intentará la máxima difusión para sus criaturas:
Windows e Internet Explorer, Outlook / Outlook Express, IIS... Esta ingeniosa expresión pertenece al
famoso abogado de hackers Carlos Sánchez Almeida, defensor entre otros de los acusados del caso
Hispahack, que la usa en una entrevista realizada a GriYo publicada en Kriptópolis (ya no
está disponible).
Esto hace que un creador de virus busque la mayor difusión para sus “ingenios biológicos
artificiales”, un medioambiente “amigable” :)
KITS DE CONSTRUCCION / GENERADORES DE VIRUS
Una opción muy usada, pero despreciada en el verdadero mundo de la creación de los virus es el uso
de los kits de desarrollo. Los que hacen los programas son muy buenos, pero los que abusan de ellos... De
hecho, dicen que existe una “scene” buena y otra mala: la primera que infecta ejecutables y la segunda que
utiliza visual basic o variantes.
No hay que confundirlos con las “engines” que
proporcionan ciertas funciones a los virus.
Virus Construction Set. Fue el primer programa creado expresamente para
generar virus (1990). Los responsables fueron un oscuro grupo alemán denominado VDV (algo
así como Asociación alemana de amantes de los virus). Muy básico, ¡pero fue el
primero!
Virus Creation Laboratory. Julio 1992. Grupo Nuke. The Nowhere
Man fue su creador. Tenía una interfaz gráfica cuidada, se podía usar con el
ratón, etc. Se podía escoger un virus infector de fichero COM, uno de compañía o de
sobreescritura. También bombas lógicas y caballos de Troya. No tuvo mucho éxito entre los amigos de
los virus porque eran fácilmente detectados por los antivirus de la época. Venía con una
documentación muy interesante.
Phalcon-Skism Mass Produced Code Generator. Julio 1992. Grupo Phalcon
Skism. En respuesta al “lanzamiento” de VCL por los rivales de Nuke. Su autor fue Dark
Angel. Era capaz de crear virus residentes en memoria infectores de COM y EXE. Produjo cientos de virus. No
daba el código vírico completo, pero la modificaciones para hacerlo operativo eran triviales.
Una versión más avanzada es G2 (G Squared).
OTROS:
- Black Knight Macro Virus Construction Kit
- Biological Warfare
- Digital Hackers' Alliance Randomized Encryption Generator
- Senna Spy Internet Worm Generator
- VicodinES Macro-Poppy Construction Kit
ENGINES
Creada por el mítico Dark Avenger. Aparecida en agosto de 1991. Una de
las primeras engines polimórficas. Incorporaba buena documentación para su uso. Sirvió de
inspiración a muchos creadores de engines polimórficas. Fueron fácilmente detectados por los virus.
Unos 33 virus han usado MtE para incorporar capacidades
polimórficas.
- TPE (Trident Polymorphic Engine)
Realizado por Masud Khafir, coderz holandés, en 1992.
Perteneciente al grupo Trident.
- NED (NuKE Encryption Device)
Primer motor polimórfico de EE.UU. Escrito por Nowhere Man. Apareció en
1992, al mismo tiempo que TPE.
VBSWG, [K]ALAMAR y KOURNIKOVA
|
|
Visual Basic Script Worms Generator (VBSWG) es un generador de gusanos, interesante por varios
motivos. Su autor es el coderz argentino [K]alamar. Lo puso a disposición del público en el año
2000, para crear gusanos de script. Se han ido sucediendo las versiones mejoradas hasta la última,
cuyas capturas de pantalla incluimos en el artículo: Vbswg 2 Beta.
Un holandés de 20 años con el apodo OnTheFly realizó el gusano más conocido que ha
sido creado con la herramienta:
El gusano VBS/SST-A o Anna Kournikova. El 12 de febrero de 2001 fue detectado.
Usa las dobles extensiones para engañar al usuario inexperto o confiado, que
creyendo abrir una imagen de la famosa y guapa tenista (AnnaKournikova.jpg), en realidad ejecuta un
fichero vbs (AnnaKournikova.jpg.vbs).
En ese momento se inicia la infección. El gusano utiliza las direcciones
almacenadas en la Libreta de correo y les envía una copia.
El único peligro era la saturación de los servidores. Fue creado con
la versión 1.50b de VBSWG. En la imagen inferior la cuidada ayuda que incluye [K]alamar en su
herramienta para investigar con gusanos informáticos.
|
- Anterior -
- Siguiente -
- ANTIVIRUS y BICHOS -
|
