La f brica de virus de Bulgaria
por Vesselin Bontchev
En la segunda parte de este trabajo, Vesselin Bontchev
nos presenta el "Virus eXchange BBS", un hito fundamental
en la producción de virus en Bulgaria y en el resto del
mundo. Tambien nos da a conocer las ideas sobre virus
originadas en Bulgaria.
El BBS "Virus eXchange"
Hace aproximadamente un año, la creación de virus en
Bulgaria ingresó en una nueva fase. Los escritores de
virus comenzaron a organizarse. El primer paso consistió
en la creación de un BBS, dedicado al intercambio de
virus. Se trata del "Virus eXchange BBS".
Su SysOp, T.T. es un estudiante de computación de la
Universidad de Sofía. Este estudiante ha instalado el BBS
en su propia casa. En él existen dos clases principales
de archivos: los programas antivirus y los virus
propiamente dichos. Los programas antivirus se pueden
bajar libremente.
Para tener acceso al área de virus, se debe subir al BBS
un virus nuevo. Cualquiera que incorpore un nuevo virus,
tendrá acceso a la colección completa de virus. Luego,
podrá bajar cualquiera de los virus disponibles en forma
individual, o bien todos ellos. No se le harán preguntas,
por ejemplo, nadie preguntará por que el solicitante
requiere estos virus.
Más aún, el SysOp no efectuará ningún tipo de control
para verificar la identidad de los usuarios del BBS. En
realidad, los usuarios están autorizados a emplear
nombres falsos e incluso se les sugiere que lo hagan.
Entre dichos nombres falsos, podemos mencionar los de
mayor actividad en el sistema, Dark Avenger y W.T., pero
también existen nombres como George Bush de New York,
Saddam Hussein de Baghdad, Ozzy Ozburn y muchos otros.
Debido a que este BBS ya posee una gran colección de
virus de computadora (alrededor de 300), es bastante
difícil encontrar nuevos virus para incorporar en él. Si
alguien quiere acceder desesperadamente al área de virus,
advertirá que resulta más simple crear un nuevo virus que
tratar de encontrar uno. Esto fue exactamente lo que hizo
W.T. Por lo tanto, es claro que este BBS alienta la
creación de nuevos virus.
Más aún, en este BBS existen toda clases de virus,
algunos de ellos, por ejemplo el 1260, el V2P6Z, FLIP,
WHALE, son considerados como extremadamente peligrosos,
ya que utilizan varias ideas nuevas y trucos ingeniosos
que los hacen muy difíciles de detectar, reconocer y
eliminar de los archivos infectados. La política del
Virus eXchange BBS pone estos y otros virus libremente a
disposición de cualquier hacker que se moleste en
bajarlos. Esto, por supuesto, va a llevar a la creación
de virus cada vez más complejos en el futuro inmediato.
La libre disponibilidad de virus vivos ya ha dado sus
frutos más terribles. Ayudó a que numerosos virus
creados fuera de Bulgaria y que no estaban muy
difundidos, causaran graves epidemias en nuestro país.
Eso fue exactamente lo que sucedió con el virus DATALOCK.
Fue creado en California, USA, y luego fue subido al
Virus eXchange BBS.
Algunas semanas más tarde se detectó en la Universidad
Técnica de Sofía. Probablemente, alguno de los usuarios
del BBS lo bajó y lo distribuyó con el sólo propósito de
"divertirse". Del mismo modo, entraron en nuestro país
los virus INTERNAL, TYPO y 1575.
Pero el acceso libre a la obtención de virus vivos no es
el aspecto más peligroso de esta situación. Después de
todo, como ya se conocen, existen programas para
detectarlos y probablemente para eliminarlos. ¡Mucho más
peligroso resulta el hecho de que en este BBS existe
libre disponibilidad de códigos fuente de virus!
En realidad, en el BBS Virus eXchange se puede obtener
libremente códigos fuente originales completos o virus
desensamblados y muy bien comentados, como cualquier otro
virus vivo. Sólo por mencionar algunos, digamos que usted
puede encontrar allí:
DARK AVENGER, OLD YANKEE, DIAMOND, AMSTRAD, HYMN,
MLTI830, MURPHY, MAGNITOGORSK, ICELANDIC, MIX1, STONED,
JERUSALEM, DATACRIME, BURGER, ARMAGEDON, OROPAX, DARTH
VADER, NAUGHTY HACKER, 512, VIENNA, 4096, FISH#6, PING
PONG, BLACK JEC, WWT, MG, TSD, BOOTHORSE, BAD BOY,
LEECH...
La mayoría de ellos son códigos fuente perfectamente
ensamblables.
La publicación de códigos fuente de virus ha demostrado
ser lo más peligroso en este campo. Lo virus VIENNA,
JERUSALEM, CASCADE y AMSTRAD son los mejores ejemplos de
ello. Sus códigos fuente se conocieron públicamente, lo
que condujo a la creación de nuevas variantes de estos
virus. Las variantes conocidas, solamente de estos cuatro
virus, representan alrededor del 20 por ciento del total
de virus conocidos, lo que significa más de cien
variantes. Es fácil imaginar las terribles consecuencias
derivadas de dar a conocer públicamente los códigos
fuente de todos los virus detallados anteriormente. En
menos de un año, probablemente estaremos sumergidos en
miles de nuevas variantes...
En realidad, este proceso ya ha comenzado. Los virus HIV,
MIGRAM, KAMASYA, CEMETERY y ANTICHRIST obviamente fueron
creados tiempo atrás por alguna persona que tuvo acceso
al código fuente del virus MURPHY. El virus ENIGMA está
claramente basado en el código del OLD YANKEE. Ha habido
informes de infecciones con estos virus en Una escuela de
Italia y un escritor de virus italiano conocido bajo el
nombre de Cracker Jack es uno de los usuarios de Virus
eXchange...
Los daños ocasionados sólo por este BBS al resto del
mundo son suficientemente grandes. Pero esto no es todo.
Debido a que la posesión "conocimientos virales" (por
ejemplo, sobre virus vivos, códigos fuente de virus,
etc,) siempre ha tentado a los hackers, y debido también
a que los legítimos investigadores antivirus generalmente
intercambian este tipo de información sólo entre ellos y
de una manera sumamente restringida, no deberá sorprender
que comiencen a aparecer en todo el mundo "Boletines
sobre Virus" similares a este. Actualmente existen BBS
de este tipo en USA, Alemania, Italia, Suecia,
Checoslovaquia, Reino Unido y la Unión Soviética. Resulta
sumamente difícil, en términos legales, poder detener sus
actividades, debido a que la posesión, almacenamiento o
incorporación deliberada de virus de computadora, por lo
general no se consideran como actos delictivos.
Y por otra parte, tampoco debería considerarse como tal,
de lo contrario, los investigadores de antivirus no
tendrían manera alguna de intercambiar muestras de virus
para poder trabajar sobre ellas.
La creación de un BBS para actividades relacionadas con
virus, y el hecho concreto de que su operador se dedica a
crear, diseminar e intercambiar códigos de virus, no ha
pasado desapercibido en Bulgaria. La mayoría de los
escritores de virus han obtenido un módem (esto no es
algo común en Bulgaria) y se han contactado con dicho
BBS. Luego comenzaron a contactarse entre sí mediante
mensajes electrónicos a través del BBS. Más aún, han
creado una conferencia local especializada (local en
Bulgaria) para mantenerse en contacto e intercambiar
ideas sobre cómo crear virus cada vez más inteligentes.
Por lo tanto, pondríamos decir que han comenzado a
organizarse, cosa que no se puede decir acerca de la
comunidad de investigadores antivirus en todos los
paises...
Nuevas Ideas
Tal como se puede inferir de los ejemplos anteriores,
toda Bulgaria se ha convertido de alguna manera en una
especie de laboratorio de desarrollo de virus de
computadora, donde cualquier programador, sea alumno o
estudiante, y tenga o no suficiente capacidad para ello,
se siente la tentación de escribir su propio virus y de
ponerlo a prueba de manera salvaje. Por lo tanto, no
resulta inusual que muchas ideas completamente nuevas se
hayan desarrollado por primera vez en nuestro país. A
continuación intentaré mencionar algunas de ellas, sólo
las más importantes.
- La técnica de rastreo de interrupciones, capaz de
localizar el manejador (handler) original (en el DOS o en
el BIOS) de cualquier vector de interrupción, fue
implementado por primera vez en los virus YANKEE DOODLE
(TP). Luego, otros virus en todo el mundo comenzaron a
utilizarla (4096, NAUGHTY HACKER).
- Los virus de "infección rápida" son virus que infectan
en el momento de abrir un archivo o aun durante cualquier
operación de archivos, y fueron desarrollados por primera
vez en Bulgaria. El primer virus de este tipo fue el DARK
AVENGER. Ahora existen una gran cantidad de virus de
contaminación rápida. Uno de ellos, el 1963, ejerce su
actividad nociva incluso durante el proceso de borrado de
un archivo.
- Los virus "semi stealth", aquéllos que ocultan el
aumento de tamaño de los archivos infectados (por ejemplo
el virus 651) o que los borran de los archivos afectados
cuando se los carga con un debugger (YANKEE DOODLE),
fueron creados en nuestro país.
- El ocultamiento de la verdadera longitud de un archivo,
generalmente ocasiona problemas porque CHKDSK puede
detectar la diferencia entre el espacio de disco marcado
como "utilizado" en la FAT y la longitud de archivo
informada. Existen sólo dos virus Búlgaros en el mundo
capaces de manejar este problema, DIAMOND y V2100.
- El primer infectador de archivos realmente "furtivo"
(stealth), el virus 512, fue de origen Búlgaro. Sin
embargo, es verdad que la idea se descubrió de manera
independiente y casi al mismo tiempo en otras partes del
mundo (por ejemplo,
el virus 4096 de Israel).
- El único virus parasitario stealth cuyas
caracterísitcas de ocultamiento funcionan hasta el nivel
del BIOS (por ejemplo, no se lo puede detectar si está
activo en memoria, aun si el archivo infectado se lee a
nivel de sectores y no a nivel de archivos) es el virus
INT13 de Bulgaria.
- Uno de los primeros virus multipropósito (pueden
infectar archivos y sectores de booteo), el virus
ANTHRAX, fue desarrollado en Bulgaria. No obstante, se
tiene noticias de ideas similares en otros virus como el
4096 y GHOST BALLS, desarrollados mucho antes. Además,
otros virus multipropósito (VIRUS-101, V-1, FLIP,
INVADER) se crearon independientemente casi al mismo
tiempo (y aun antes) en otras partes del mundo.
- La idea usada originariamente en el virus LEHIGH que
consistía en ubicar el cuerpo del virus en una parte no
utilizada del archivo COMMAND.COM, fue luego desarrollada
por varios virus de Bulgaria. Todos ellos (a diferencia
del virus LEHIGH) pueden infectar cualquier archivo COM o
EXE de la manera habitual, pero cuando infectan el
intérprete de comandos, se ubican en un área completada
con ceros al final del archivo y por lo tanto, en este
caso no aumentan la longitud del mismo. Entre este tipo
de virus podemos mencionar a TERROR, NAUGHTY HACKER y
otros.
- El método mencionado anteriormente fue desarrollado, en
mayor profundidad aún, por otros virus Búlgaros. Sus
creadores se dieron cuenta que un área suficientemente
grande ocupada con ceros en cualquier archivo (no solo en
el COMMAND.COM) se puede usar para esconder el cuerpo del
virus. Los virus que emplean este método son una vez más,
de origen Búlgaro: PROUD, EVIL, PHOENIX, RAT, DARTH
VADER... Este último, ni siquiera escribe en los archivos
infectados, deja esta tarea para que la realice el DOS.
El virus RAT se oculta en la parte no utilizada de los
encabezamientos de los archivos EXE.
- Uno de los virus extremadamente mutantes es el virus
LEECH, de Dark Avenger. Puede existir en más de 4.500
millones de variantes. No obstante, cabe destacar que
éste no es el primer virus totalmente mutante (el virus
1260 fue el primero), ni tampoco posee el mecanismo de
mutación más flexible (es mucho más simple que el virus
V2P6Z).
- Un tipo completamente nuevo de virus de computadora
(DIR II) fue desarrollado por dos alumnos Búlgaros. Este
virus no infecta ni a los archivos, ni a los sectores de
booteo. En cambio, infecta a sistemas de archivos como
una unidad, o más exactamente a directorios completos.
- Existen diferentes trucos para tomar el control sin
tomar directamente el vector de la INT 21h. Estos trucos
fueron desarrollados por varios escritores de virus
Búlgaros. El virus TERROR ubica una instrucción JMP hacia
sí mismo en el manejador original del DOS de la INT 21h.
Los virus de la familia PHOENIX (el 800, 1226, PROUD,
EVIL y el PHOENIX) toman una interrupción que invoca el
DOS en cada función relacionada con archivos (INT 2Ah,
AH=82h). El virus DIR II se instala en la cadena de
controladores de dispositivos de disco del DOS.
- El primer virus, capaz de infectar controladores de
dispositivos (archivos SYS solamente), es, por supuesto,
Búlgaro. Me refiero al virus HAPPY NEW YEAR (1600).
- El primer virus parasitario totalmente funcional,
escrito integramente en lenguaje de alto nivel (Turbo
PASCAL) es el virus SENTINEL de origen Búlgaro.
- El virus de origen Búlgaro ANTHRAX es el primero que
reside en memoria sólo en forma temporaria. Se borra de
manera automática después de haber infectado el primer
archivo y luego actúa como virus no residente.
- El virus residente en memoria de menor tamaño en el
mundo de las PC IBM (sólo 128 bytes) es de origen
Búlgaro. Existen algunos informes acerca de un virus
residente de 108 bytes, también de ese origen, pero no
están aún confirmados.
- El virus más corto en el mundo de las PC IBM, sólo 45
bytes de extensión, es el virus Búlgaro denominado
MINIMAL-45. Sin embargo, aparentemente es posible reducir
aún más su tamaño llevándolo a 31 bytes, con una gran
pérdida de confiabilidad.
Nota de la revista: En la tercera parte de esta nota
veremos las causas de por que se escriben tantos virus en
Bulgaria, y algunos de las posibles causas de creación de
virus en el resto del mundo.