Logo de NAUTOPIA y de la Comunidad Nautópata    NAUTOPIA: Privacidad, Seguridad y Libertades Civiles    Foro Local de TARRACO, Tarragona

  

ANILLO     CONTACTAR    CULTURALIA     DOWNLOADS    KIOSKO    FORO         HOME
 

 Translate 
 

 

por Jesús Manuel Márquez Rivera  <JmMr>  29 Julio 2003

 

VIDA ARTIFICIAL

EL FASCINANTE MUNDO DE LOS VIRUS INFORMÁTICOS

 

6. ALGUNOS VIRUS Y GUSANOS INTERESANTES.

Hemos visto varios aspectos interesantes, la cronología de los virus y una aproximación a la scene, una tabla sobre los tipos de virus según las técnicas que utilizan para infectar y ocultarse. Ahora es el momento de analizar brevemente algunos de los virus y gusanos que a lo largo de la historia han destacado por una u otra causa.

 

6.1. VIRUS.

Los virus que estudiamos a continuación son históricos (si entramos en los posteriores, habría que citar a tantos maravillosos virus –algunos terroríficos, la verdad- que lo vamos a dejar para otro estudio posterior. ;)

  • 1986 Brain, Virdem, Ping-Pong;

  • 1987 Vienna y Stoned;

  • 1988 Viernes 13;

  • 1991 Michelangelo.

Salvo que una “mutación” o variante haya destacado, sólo nos referiremos a los primeros, los originales.

 

  • BRAIN

Pakistani, Pakistani Brain, Lahore o Ashar. 1986. Sector de arranque y stealth.

El primer virus para PC capaz de infectar el sector de arranque de los disquetes y en ciertos aspectos el primero en poder ser considerado como tal (en libertad, con altas tasas de infección y extendido por todo el mundo).

Usó por primera vez una técnica stealth, es decir, capaz de ocultar sus acciones. En aquellos tiempos de MSDOS, la instrucción DIR permitía comprobar el contenido del disquete. Pero el virus dirigía la petición a donde había copiado el sector de arranque original. Teniendo en cuenta que su creador fue pionero, podemos comprender la inmensa creatividad e inteligencia del mismo. ;)

Resulta extraño que dejara su “firma” en la etiqueta de volumen del disquete. No intentaba pasar desapercibido.

 

  • VIRDEM

Virus capaz de infectar ficheros, aunque sólo los COM (más sencillos que los EXE). Fue una creación al estilo de los de Cohen.

Creado por Ralf Burger y distribuido en la reunión del Chaos Computer Club de 1986.

 

  • PING-PONG

Junto con el virus Barrotes (que mostraba unos barrotes en el monitor :), uno de los que obtuvieron más fama por su “payload” gráfico: una pelotita recorría la pantalla rebotando en los lados.

También conocido como “Italian Bouncery” o virus “italiano”. 1986.

Infector de sector de arranque de disquetes y discos duros. Sólo funcionaba en ordenadores de la época (los procesadores 8086) por una instrucción en ensamblador.

Fue detectado en marzo de 1988, en Argentina. Al no tener efectos destructivos se extendió por todo el mundo sin que se le prestara mucha atención.

Era simpático y fácil de borrar.

por maty

PRIMERA VACUNA vs. TELEVISION ("Fuente de la Verdad")

matyDetectado el virus Ping-Pong durante el curso 1986/87 en la primigenia sala de PCs de l'Escola Tècnica Superior d'Enginyeria de Telecomunicacions de Barcelona ETSETB. Un estudiante (X. P.) programó la primera vacuna antivírica a los pocos días de la infección generalizada (el 2º ó 3º de la promoción y posterior doctor).

Como suele suceder en estos casos, el mérito fue atribuido a un profesor de la Facultad de Informática de Barcelona FIB, al ser difundida así la noticia por el canal de la televisión pública autonómica catalana TV3 un par de semanas después.

La fuente de la información es totalmente fiable.

 

 

  • VIENNA

Descubierto en abril de 1988. Infectaba ficheros COM y no era residente en memoria. Uno de cada 8 archivos infectados era borrado. Tenía la peculiaridad de que reiniciaba “en caliente” el ordenador.

Su código fuente fue publicado por Ralf Burger (el autor del virus Virdem) en su libro “Computer viruses: A High-Teach Disease”

 

  • STONED

Conocido también como “New Zealand”, fue diseñado por un estudiante de secundaria de Nueva Zelanda. Parece que se le escapó de forma involuntaria. Significa “colocado”.

También llamado "Marihuana". Virus de sector de arranque del disco. Al principio sólo infectaba disquetes, pero en las versiones posteriores afectaba a todo tipo de discos.

Mostraba el mensaje: “¡Tu ordenador está colocado. Legalicen la marihuana!”.

El famoso virus Michelangelo era una modificación del Stoned.

 

  • VIERNES 13

Fue uno de los virus más famosos de la historia, de los más recordados.

Conocido también como "Jerusalem" o "israelí". Detectado en Israel y probablemente creado allí.

Virus residente en memoria y de ficheros (COM y EXE). Procedía al borrado de ficheros si el año no era 1987.

Tuvo tanto éxito que generó una familia extensísima, a pesar de tener algunos bugs o errores.

Las primeras versiones infectaban varias veces el mismo fichero ya infectado, con lo que los archivos crecían hasta hacerse más que evidente su presencia.

 

  • MICHELANGELO

Después del gusano de Morris, éste fue uno de los mayores acontecimientos relacionados con código vírico. Era un virus de sector de arranque (boot sector), con técnica stealth y de infección lenta. Basado en el virus Stoned (idéntico sistema de replicación y los mismos bugs), durante casi un año estuvo infectando ordenadores sin realizar ninguna actividad. Detectado en la primavera de 1991.

Reemplaza el “boot” original del disquete por el código vírico y lo copiaba en otro sector. Se dio la casualidad de ordenadores infectados sucesivamente por Stoned y Michelangelo (muy parecidos), que al sobrescribir el segundo el sitio donde el primero había colocado el sector de arranque original, resultaba imposible recuperarlo.

La fecha del 6 de marzo de 1992 (aniversario del nacimiento del famoso artista Miguel Angel –Michelangelo- Buonarrotti) era el “trigger” o detonante, que puso en marcha el “payload” o carga destructiva.

Ningún antivirus era capaz de detectarlo y eliminarlo.

 

  • GIRIGAT

La primera noticia que tuve de este virus fue en la web de Hispasec, en mayo de 1999. Girigat, el monstruo de 63 cabezas. Significa “camaleón” en hindi.

Win32.Girigat.4937. 4937 bytes. Su autor es el más que famoso Mr. Sandman, del grupo 29A.

Girigat es en realidad 63 virus. Cada vez que cambia de ordenador (“máquina” en la jerga) elige una de las 63 posibilidades.

Puede actuar como un virus residente “per-process”, como un virus de acción directa (runtime), puede infectar ficheros en cualquier directorio. Puede usar alguna o todas las formas. Infecta CPL, EXE y/o SCR.

Un auténtico quebradero de cabeza para los antivirus.

 

 

6.2. GUSANOS

Comentados con mayor extensión en los apéndices de este capítulo, los tres gusanos más famosos del siglo XX: el gusano de Morris o “Internet Worm” (1988), el gusano de macro Melissa (marzo 1999) y el gusano de VBScript, “Iloveyou” (mayo 2000).

 

Normalmente los gusanos son más peligrosos en las modificaciones posteriores a su primera y original versión.

  • Bubbleboy 1999

  • Babylonia 1999

  • Hybris 2000

  • Codered 2001

  • SirCam 2001

  • Nimda 2001

  • Goner

  • Slammer 2003

 

  • BUBBLEBOY

Conocido como VBS/BubbleBoy. Septiembre 1999. Un nueva especie capaz de infectar sin necesidad de ejecutar un fichero adjunto. El “virus” iba en el mismo cuerpo y aprovecha el automatismo de MIME.

No incluye ninguna rutina dañina. Sólo se hace cargo del correo para enviar copias de sí mismo.

 

  • BABYLONIA

Conocido como W95.Babylonia. 1999. Este gusano empleó una técnica totalmente novedosa: se conectaba Internet para actualizarse.

Se transmite por IRC con el engaño de ser un parche para el problema del año 2000. Una vez ejecutado, el resto del virus se descargaba de Internet.

Era un virus residente en memoria, parásito y al mismo tiempo tenía un gusano (worm) y un backdoor (troyano).

Sólo afectaba a Windows 9x por razones técnicas. Capaz de infectar ficheros PE EXE, ficheros de ayuda o HLP y librerías de sockets (conexiones a redes).

El análisis que realiza VSAntivirus es de lo mejor que puede encontrarse.

 

  • HYBRIS

I-Worm.Hybris. Septiembre de 2000. Gusano capaz de actualizarse a través de Internet, por lo que el programador mantiene control sobre su creación. En este caso es el conocido coderz brasileño Vecna.

Su objetivo es hacerse con el control de la librería WSOCK32.DLL

Y tiene una filosofía curiosa: busca los “plug-ins” en Internet (se han detectado hasta 32 diferentes).

El gusano utiliza cifrado fuerte de 128 bits. Lo que hace realmente muy difícil neutralizarlo.

 

  • CODERED

Gusano de origen chino.

Explota una vulnerabilidad del servidor IIS 5.0 de Microsoft. Escanea IPs en busca de servidores ISS, intentando entrar por el puerto 80.

Una vez dentro, controla el kernel, intercepta las peticiones de los usuarios del servidor y les muestra una página.

Si la fecha se encuentra entre los días 20 y 28 del mes, inicia un ataque contra el sitio de la Casa Blanca (www.whitehouse.gov) enviando muchos datos basura al puerto 80.

No modifica nada, funciona residente en memoria.

 

  • SIRCAM

Win32.Sircam. Detectado el 17 julio 2001. Virus de archivos, gusano y caballo de Troya. Escrito en lenguaje Delphi. De origen mexicano (Michoacán), utilizaba técnicas parecidas al Magistr para propagarse.

Afecta a todas las variantes de Windows. Toma el control del Registro de Windows.

Usa la libreta de direcciones y las direcciones que encuentra en la memoria caché (Archivos Temporales de Internet). Los mensajes eran en español y también los realizaba en inglés.

Tras 8.000 ejecuciones, el virus deja de funcionar.

 

  • NIMDA

W32/Nimda.A. Este gusano recibe su nombre de la inversión de la palabra ADMIN (ADMINinstrador). Escrito en Microsoft Visual C++. Detectado el 18 Septiembre 2001.

Su característica principal es la velocidad de propagación. Utilizaba varios métodos: un fallo de IIS.

Se aprovecha de numerosos fallos ya conocidos (hasta 16).

Los analistas de seguridad detectan un aumento del tráfico en determinado puerto y éste puede estar asociado a la actividad de un gusano: en el caso de Nimda fue el 80. Se llegaron a 2 millones de testeos por culpa de Nimda.

Sus secuelas han sido especialmente peligrosas.

 

  • GONER

Win32/Goner.A. Detectado el 4 de diciembre de 2001. Este gusano está escrito en Visual Basic y codificado como ejecutable, aparenta ser un salvapantallas con el icono de Dark Vader (gone.scr), siendo capaz de desactivar antivirus y cortafuegos.

Detecta los procesos en ejecución y los compara con una lista que tiene (ejecutables de los principales antivirus y cortafuegos), pasando a borrar todos los ficheros de las carpetas donde se encuentran los referidos ejecutables (avp.exe, zonealarm.exe, etc.) y si no puede lo hará cuando se reinicie el ordenador.

Sus autores fueron cuatro adolescentes israelitas. Al pretender usar el gusano como parte de ataques de negación de servicio, las autoridades pudieron seguirles la pista a través del IRC (DALnet).

El gusano además mostraba un mensaje con los nicks que usaban los autores en un canal de IRC.

 

  • SLAMMER

Win32/SQLSlammer. Gusano de SQL.

Al igual que los gusanos que aprovechan fallos de IIS, el servidor de páginas web de Microsoft, éste atacaba el servidor SQL o gestor de bases de datos relacionales (servidor SQL bajo Windows 2000). Su único objetivo es propagarse. No realiza ninguna acción destructiva.

El 25 de enero de 2003 se detectó su acción. Abre un socket para NetBIOS, genera IPs (direcciones del tipo 127.0.0.1) aleatorias y envía paquetes de manera repetitiva al puerto 1434 UDP, una y otra vez. Produce una denegación de servicio (DoS). Al enviarse en multicast, llega a las 255 direcciones de cada subred. Cada máquina infectada inicia el mismo procedimiento y la saturación va creciendo de forma impresionante.

La revista “Wired” publicó el código del virus en su edición impresa. 376 bytes de ensamblador.

Posiblemente ha sido el mayor ataque sufrido por Internet. Más a fondo que el histórico gusano de Morris y más rápido que CodeRed ...

 

  • MTX

Tras estudiar algunas características de virus y gusanos conocidos, nos encontramos con esta criatura extraordinaria. W32/MTX (I-Worm.MTX), surgido en septiembre del año 2000. Es una especie de “tres en uno”: virus, gusano y troyano.

NO ES DESTRUCTIVO. ¡Qué tomen nota los que todavía demonizan a los verdaderos creadores de virus! Este “monstruo” es un claro ejemplo de un reto intelectual y técnico.

Uno de los más complejos de los últimos tiempos. Comprimido (apenas 18 KB), cifrado, con técnicas anti-antivirus.

Al ser ejecutado se instalan 3 ficheros en el directorio (carpeta) Windows: IE_PACK.EXE, MTX_.EXE y WINN32.DLL. Infecta la librería que gestiona las conexiones en Windows WSOCK32.DLL

  • El virus es el elemento principal: un infector de ficheros ejecutables PE. Utiliza la técnica EPO.

  • El gusano IE_PACK.EXE aprovecha el envío de correos para enviarse.

  • El troyano (backdoor) MTX_.EXE se conecta a un servidor ya cerrado y busca actualizaciones utilizando el puerto TCP 1137.

No era destructivo y mostraba este mensaje:

Software provide by [MATRiX] VX team
Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos
All VX guy in #virus channel and Vecna

 

 

7. PROTECCIÓN CONTRA EL MALWARE

Las revistas de informática y las páginas web especializadas presentan a menudo comparativas de los antivirus más conocidos, realizando múltiples pruebas.

Kaspersky, NOD32, McAfee, Norton, Panda ... on algunos de los gigantes de este maná que suponen los programas de detección contra virus, gusanos y demás.

Hoy se hace imprescindible tener protección antivirus: programas y borrado manual, y protección específica contra troyanos, spyware, etc.

Lo más importante es tener instalado un antivirus (convenientemente configurado y actualizado). Lo siguiente es un buen cortafuegos, dadas las “habilidades” de los nuevos gusanos y troyanos.

Según el juicio del autor de la web de “Troyanos Indetectables”, McAfee VirusScan con una configuración sensible, detecta la mayoría de los troyanos con su potente motor heurístico.

 

10 NORMAS BÁSICAS PARA COMBATIR LOS VIRUS, GUSANOS Y TROYANOS

  1. Consigue un buen antivirus y mantenlo actualizado cada quince días como mucho. Te recomiendo AVP, NOD32 o McAffee. Panda también, que no se me enfaden.

  2. Procura escoger con cuidado los sitios de donde te bajas los programas.

  3. Ya sé que muchos seguirán usando Outlook Express. Mantente actualizado y usa un buen cortafuegos. ¡Lo vas a necesitar! La Universidad de Cambridge ha prohibido este programa de correo. Dicen que ha recibido algún premio como el mejor amigo de los virus :) Si puedes, escoge un gestor de correo distinto y estudia bien su manejo y configuración (The Bat, Eudora, Pegasus, etc.)

  4. Las copias de seguridad de los materiales cuya pérdida sería una catástrofe deben realizarse a menudo. Usar un programa específico facilita el trabajo.

  5. Si usas Windows, evita los programas más difundidos (Internet Explorer, Outlook Express y el servidor IIS). Casi todo el malware se lleva muy bien con ellos.

  6. La mejor opción es Linux. Cuesta trabajo al principio (por miedo, pereza, etc.), pero al final resulta mejor. Nadie te pide que lo uses en exclusiva, pero para Internet es la opción más segura. Usa arranque dual o una máquina virtual tipo Vmware.

  7. La mejor solución de seguridad es una persona formada y con curiosidad por mantener un nivel de seguridad aceptable.

  8. La instalación de un cortafuegos gratuito como Zonealarm es incuestionable. Luego podrás comparar con Kerio y otras marcas.

  9. El software contra troyanos y spyware puede dotarte de una seguridad añadida.

  10. El pánico no es una buena solución, pero la prudencia sí. Una buena dosis de paranoia te mantendrá a salvo en Internet.

 
 

por maty

PANORAMICA de SOTWARE (agosto 2003)

Los mejores antitroyanos son precisamente dos antivirus: McAfee y Kaspersky, superando en detección a los antitroyanos. Pero como antivirus, el producto de McAfee no es de los mejores (otro tanto con NORTON y PANDA), a diferencia del efectivo Kaspersky, el cual da problemas de ralentización su módulo residente (monitor) a unos usuarios y a otros no a partir de las versiones 4.* (misterio sin resolver). De ahí que para residente muchos apuestan por el más rápido y efectivo NOD32 v.2 (la v.1.* sólo alcanzaba un ratio de detección del 80%, a diferencia de los dos anteriores, con un 90 - 95%). Tiempo atrás el KAV era la mejor opción, mas hoy en día se ha de buscar un compromiso:

Una excelente combinación es tener el NOD32 como residente y utilizar el KAV para escaneo de ficheros de forma manual o programada, para el correo (dada su plena integración con el mejor y más seguro gestor de correo THE BAT) y para las descargas (FLASHGET, STARDOWNLOADER, ... ). De esta forma podemos prescindir de tener residente antitroyano alguno. Otros usuarios apuestan por el Dr.Web como residente o utilizan uno gratuito, mas el NOD32 v.1 ha demostrado ser el mejor con diferencia en lo que no se refiera a troyanos.

 

En cuanto a cortafuegos, los mejores son: KERIO, OUTPOST y SYGATE en windows, siendo el primero gratuito y plenamente configurable, a diferencia del ZONEALARM (mejor el PRO que navegar sin cortafuegos alguno).

El que hay obviar es el NORTON Firewall, con tantos reportes, agujeros, ... aún así es mejor opción que el  "cortafuegos" interno del XP, y que tanta falsa sensación de seguridad da.

En LINUX se dispone de los IPtables para asegurar la conexión.

 

 

 

8. EL FUTURO DE LA VIDA ARTIFICIAL

Existe una ley no escrita, pero con una validez aplastante, y es que cuando alguien ha intentado recortar las libertades o prohibir algo en Internet siempre han ido las mentes creativas un poco más allá, hacia el corazón del Ciberespacio. Leyes y antivirus nunca acabarán con los virus. Siempre los habrá, aunque se dictara la pena de muerte para los hackers o los escritores de virus (como ocurre en China).

La explosión de los gusanos para Internet, el desarrollo de la naciente Inteligencia Artificial aplicada a los virus, la nanotecnología, la realidad virtual, la red de satélites artificiales, las nuevas tecnologías... son campos que excitan la imaginación de las mentes que ven con claridad lo que nosotros apenas intuimos, es decir, lo que vendrá en las próximas décadas.

Sólo podemos especular y soñar con las posibilidades de la cuántica aplicada a los ordenadores y a las comunicaciones, la unión de microchips y neuronas, la posibilidad de que los virus informáticos funcionaran a nivel molecular... cualquiera sabe lo que se avecina.

No es difícil imaginar pequeños “monstruos” de varios megas de puro ensamblador capaces de decidir sus acciones según criterios complejos y con objetivos elevados. Ya los hay que comprueban el sistema operativo y actúan según el que encuentren, o que se actualizan por Internet.

 

Desde hace muchos años se desarrollan virus informáticos con fines militares. El ciberterrorismo, la ciberguerra, el hacktivismo, el cracking mercenario... son todos terrenos que van a llevar la vida artificial a un desarrollo inimaginable. ¿Lo veremos nosotros?

Cada vez serán más sofisticados y peligrosos. El Dr. Ludwig ha estudiado estas cuestiones en sus libros y artículos.

La evolución “artificial” de estas formas de vida son una parte del mundo apasionante y terrible a un tiempo en el que llevamos unos 30 años inmersos.

 

 

9. GLOSARIO VÍRICO. BIBLIOGRAFÍA. RECURSOS EN INTERNET

GLOSARIO

La lengua de los Vx (Vxers, coders, escritores) es el inglés. La documentación, la mayoría de los ezines, los comentarios incluidos en los códigos...están en inglés. Así que la opción es clara. De todas formas se suele mezclar español e inglés, o traducir términos ingleses sin buscar su equivalente apropiado. El uso ha impuesto términos como autenticar, comando, etc.

  • Active X: tecnología de Microsoft que presenta serios riesgos de seguridad por permitir la ejecución de código.

  • ANSI: estandar internacional sobre los caracteres de escritura. Bomba ANSI: alteración de la correspondencia tecla – carácter (la tecla <Esc> podría ejecutar un borrado, p. ej.).

  • Batch: lenguaje de programación para MSDOS que ejecuta listas de instrucciones (lotes). Extensión .bat.

  • Bomba lógica: instrucción ocultada por el programador para ejecutar cierta acción en unas condiciones determinadas.

  • Debugger: programa que permite el debugging… es decir, el estudio de un programa escrito en ensamblador (no en lenguajes de alto nivel).

  • Desamblado, traceado: análisis de un programa reconstruyendo su posible código original.

  • Dropper: programa usado como “nodriza” para esconder el virus, troyano, etc.

  • Editor hexadecimal: programa capaz de mostrar al usuario el contenido de cualquier fichero.

  • Engine: porción de código capaz de dotar de una característica (polimorfismo) a cualquier virus.

  • Ensamblador: el lenguaje de programación preferido de los escritores de virus (perfecto para crear virus por su reducido tamaño final y por el control que permite sobre el sistema). Su dificultad es mayor.

  • Hexadecimal: sistema numérico basado en letras y números usado en programación.

  • HLL (High Level Language): lenguaje de alto nivel (generalmente se usa en tono algo despectivo, en oposición al ensamblador o lenguale de bajo nivel).

  • Hoax: falso mensaje sobre un virus inexistente, engaño.

  • Gusano: programa que se reproduce y se envía a través de las redes (no infecta los ficheros).

  • Heurística: sistema de escaneo (búsqueda, monitorización) usado por los antivirus en busca de posibles virus todavía desconocidos, siguiendo unos criterios determinados.

  • Macro: Característica de ciertos programas que automatiza la ejecución de tareas (sería semejante a un script o un fichero en batch). No son los textos o bases de datos los infectados.

  • MBR: sector de arranque de un disco duro (al formatearse posee un cierto programa infectable). El famoso comando de MSDOS fdisk /mbr soluciona algunos problemas.

  • Mutación: cambio total del código del virus. Los medios lo confunden con las variantes (versiones) programadas con nuevas características que suceden al éxito de un virus o gusano.

  • Payload: carga, acción que ejecuta el virus según lo especificado por el programador.

  • PE (Portable Executable): fichero ejecutable propio de Windows 32 (W 9x-W XP).

  • Polimorfismo: característica avanzada de los virus por la que se generan mutaciones en gran cantidad y totalmente diferentes unas de otras (no sólo el cuerpo sino la rutina encargada de cifrar y descifrar).

  • Rutina: porción de programa que ejecuta una acción (comprobar la fecha, desencadenar la acción del virus: borrar, enviar correo, mostrar mensaje, etc.).

  • Sector de arranque: parte de un disco que se utiliza para guardar código que permite acceder al contenido del mismo o arrancar el sistema.

  • Stealth: Oculto. Técnica que oculta al usuario o al antivirus la presencia y acciones del virus.

  • TSR: residente en memoria (permanencia del virus en la memoria RAM o en otros tipos de memoria).

  • Virus: programa capaz de reproducirse infectando ficheros (pegando, añadiendo o sobreescribiendo su código).

  • Wild, in the: en libertad. Virus que se encuentra activo, “suelto”.

 

 

BIBLIOGRAFÍA

  • Mark Ludwig. The Giant Black Book of Computer Viruses. (VX Heaven).

  • Mark Ludwig. The Little Black Book of Computer Viruses. (VX Heaven).

  • Dirk van Deun. The Hidden Strenghs of the Dos Batch Languages. 1994. (VX Heaven).

  • Andrew Tannenbaum. Sistemas operativos modernos.

  • Matt Pietrek. Windows 95 System Programming Secrets.

  • Andrew Schulman, Ralf Brown y otros. El DOS no documentado. (Undocumentad DOS).

  • Peter Norton / John Socha. Nueva Guía del programador en ensamblador para IBM PC/XT/AT y compatibles.

  • Jon Beltrán de Heredia. Lenguaje Ensamblador de los 80x86. Guía práctica.

 

Los buenos libros de programación son la base. Nadie puede programar un buen virus si no domina el lenguaje que usa. Es mejor un libro en inglés que una mala traducción del mismo en español. Cuidado con las traducciones, podrías terminar con un virus que se enamorara de Linterna Mágica. :)

Los virus comentados por sus autores o por otros especialistas son una fuente inapreciable de conocimiento.

  • Wintermute. Curso de programación de virus. 2001. Extraordinario, en dos palabras.

  • Luis de la Iglesia Rodríguez. Libros 3 (recopilatorio de la revista) y 5 (tratado “Los virus informáticos”) de Arroba sobre Virus. Autor:

  • Espero que me disculpe Ciriaco García de Celis por citarlo en un artículo sobre virus, pero es que su libro “El universo digital” es de inapreciable valor para el conocimiento responsable de los virus (para aprender msdos y ensamblador). El universo digital del IBM PC, AT y PS/2. 4ª edición.

 

 

RECURSOS EN LA RED

Si el mundo de las páginas webs es una realidad cambiante, el de las que tienen contenidos víricos es extremadamente “volátil”, salvo algunas excepciones.

  • Grupos de news: alt.comp.virus, comp.virus ...

  • Canales de irc: #virus y similares.

Los buenos son los de siempre. No conozco el nivel de grupos o canales de países o ciudades.

 

SOBRE VIRUS (conservacionistas :)
 

  • VX Heaven. La mejor página al otro lado de la trinchera (en inglés). Excesiva ;)

  • 29A. El mejor grupo de creadores e investigadores de virus. Su revista es muy interesante.

  • IKX. El principal “rival” de 29A.

  • Vdat 2000-2, por Cicatrix (No es sólo una verdadera enciclopedia vírica. No hay palabras). En VX Heaven.

  • BioLab. La página de GriYo, de 29A.

  • Mark Ludwig en la página de “American Eagle Publications”.

 

SOBRE VIRUS (eliminadores)

  • VSAntivirus. Una de las mejores páginas sobre/contra virus en español, con José Luis López como "alma".

  • Hispasec. Una referencia obligada en seguridad y bichos.

  • SOS Virus / Perantivirus. Página de Jorge Machado. Laborioso y sistemático. Esfuerzo notable.

  • Virus Attack. Página de Ignacio Sbampato. Destacan sus artículos.

  • Fernando Bonsembiante. Ubik World Domination. Virus Report.

  • Páginas de Antivirus: Kaspersky (AVP), NOD32, McAfee, Norton, Panda, etc.

 

  • Cuando estaba terminando el trabajo de documentación encontré la Enciclopedia del antivirus Panda, con una introducción y un glosario muy bien perfilado.

  • Viruslist.com. Web en inglés de Kaspersky, "su enciclopedia". Enlace añadido por maty.

  • Enciclopedia de Virus. Web de la distribuidora de software ONTINET (distribuidor hispano del KAV, NOD32, THE BAT, ... ) dirigida por Vicente Coll. Enlace añadido por maty.

 

 

EJEMPLO PARA NOVATOS

Una de las mejores formas de comprender cuestiones técnicas es buscar ejemplos de la vida cotidiana. Uno de los más adecuados que he podido encontrar es el símil entre el ordenador y un edificio. Este edificio puede ser simple o muy complejo, formando un entramado de estructuras que requieren una organización adecuada. Para nuestro ejemplo vamos a escoger uno sencillo, de varias plantas.

  • El antivirus sería un vigilante que hace sus rondas constantes por el edificio buscando intrusos o gente peligrosa. Lleva una libreta (base de datos del antivirus) con fotos de los inquilinos y solicita la identificación a los que no aparecen en su listado y le hacen sospechar (búsqueda heurística).

Si el antivirus está residente en memoria sería como rondas y turnos contínuos, apoyados por cámaras de circuito cerrado en zonas críticas (monitorización). Si las búsquedas las hace por deseo del usuario, serían rondas a determinadas horas o en algunas circunstancias, o inspecciones a determinadas personas y objetos.

  • El cortafuegos sería el guardia de la puerta del edificio (y de las ventanas = puertos, pero esto complicaría el ejemplo). Según unos criterios establecidos por el propietario del piso o la empresa de seguridad, permitirá la entrada y salida de la gente que se ajuste a las órdenes especificadas.

 

Una intrusión es como un acceso no autorizado a ese edificio. Aunque en el mundo real esas intrusiones están motivadas en un altísimo porcentaje por el deseo de robar, no ocurre así en el mundo digital.

  • Los puntos vulnerables “externos” podrían ser:

ingeniería social, peculiaridades del guardia como persona y costumbres, distracciones, días de vacaciones, limitaciones de personal de la empresa de seguridad para los relevos, etc.

  • Los puntos vulnerables “físicos” serían:

el techo, las ventanas, el sótano, la ventilación, el garaje, los repartidores, cobradores, visitantes, etc

 

Simplificando mucho, podríamos encontrarnos con algunos “escenarios”:

  1. Un antivirus que es engañado. El intruso se disfraza, roba la libreta y altera su foto, se oculta en el piso de un inquilino legítimo, etc.

  2. Un cortafuegos que es engañado. Si entre las órdenes del guardia de la puerta está no dejar pasar a gente que no venga de determinadas direcciones, un intruso podría falsificar un albarán de una empresa que tiene negocios habituales con dueño del edificio (una relación de confianza).

Las posibilidades son infinitas y ya queda al lector imaginarlas. ;)

 

 

 

Contactos de Jesus Marquez

 

- Anterior -                    - Siguiente -

 

- ANTIVIRUS y BICHOS -

 
 

 
 
 

NAUTOPIA © 2003. Reservados todos los derechos.