Analisis de virus
Por Fernando Bonsembiante
Ya hablamos en otra nota del Virus Creation Lab, el
programa que permite crear virus sin esfuerzo. Ahora
veremos algunos otros programas similares.
El Virus Creation Lab fue el primer programa de creación
de virus que llegó a la Argentina, pero no es el único.
Además de él, existen muchos otros, más complejos o más
simples, que cumplen la misma función: permitir la
creación de virus sin esfuerzo y sin conocimientos. Vamos
a pasar revista brevemente a algunos de ellos:
Satanic Brain virus tools
Este es el primer generador de virus argentino. Fue hecho
basándose en el VCL, y los virus que generan son
variantes de los generados por el VCL. Su autor se hace
llamar Azrael. La documentación está escrita en
castellano, con muchos errores de ortografía. Aclara
explícitamente que los virus que genera están basados en
los del VCL ligeramente modificados. El programa funciona
con menúes, de donde se puede configurar para crear el
virus deseado. Las únicas opciones que tiene son elegir
el nombre del virus, que día del mes se activará, y la
acción a realizar, a elegir entre beeps por el parlante
de la PC y mostrar un texto a elección. Con tan pocas
opciones, casi podríamos decir que genera un solo virus
con una acción variable. Como en todos los programas de
este tipo, el autor promete una próxima versión con
capacidades destructivas.
Instant Virus Production Kit
Este programa, también llamado IVP, fue creado por
Admiral Bailey de un grupo llamado YAM (Youngsters
Against McAfee, jóvenes contra McAfee). El programa
funciona con una configuración que hay que modificar con
un editor de texto común, en modo ASCII. En esta
configuración se eligen las opciones que el autor desee
para su virus. Entre ellas se puede definir el nombre del
autor y del virus. Entre las opciones de creación del
virus en sí, se puede elegir el tipo de infección, .com,
.exe, ambos o generar un troyano. Se puede hacer que el
virus sobreescriba el huésped o que su código se agrege
al programa. El virus puede hacerse encriptado o sin
encriptar. La rutina de encripción es un simple XOR, nada
complicada, con un valor elegido al azar. Con respecto a
la activación, se puede elegir la fecha y hora, con
precisión de segundos. Lo que hará en el momento de la
activación es totalmente configurable. En principio se
puede hacer que muestre un mensaje por pantalla, pero
esto puede complicarse todo lo que se quiera. Existe la
posiblidad de escribir rutinas en assembler que hagan lo
que se desee y activarlas con el virus. Entre los
ejemplos que trae hay rutinas desde borrar parte del
disco hasta hacer un ruido extraño por el parlante de la
máquina. El virus generado no es demasiado complicado, y
ni siquiera puede hacerse un virus residente.
G²
G² es un generador de virus creado por Dark Angel de
Phalcon/Skism. Como el IVP, se configura editando un
archivo de texto con un editor en modo ASCII. Este
programa puede ser configurado para crear virus de .com,
de .exe, y que infecten ambos tipos de ejecutables. En la
configuración se especifica el nombre del virus y del
autor. Se puede hacer un virus residente o uno que
infecte sólo en el momento de ser ejecutado. Existe
también la opcion de crear un virus encriptado, tambien
en forma muy sencilla con XOR o con un ADD y un valor
elegido al azar. El programa usa algunos trucos para
evitar que se haga un string de detección simple y único
para detectar todos los virus generados con él. Lo que
hace es cambiar al método de encripción al azar y cambiar
algunas instrucciones de lugar para evitar generar el
mismo código dos veces aún sin modificar la
configuración. A pesar de todos estos esfuerzos, las
pruebas que hicimos demostraron que el F-Prot detecta sin
problemas todos y cada uno de los virus generados con
este programa.
Fernando Bonsembiante es jefe de redacción de Virus
Report y está estudiando los virus informáticos desde
hace varios años. Tambien es miembro de la comisión
directiva del Círculo Argentino de Ciencia Ficción,
(CACyF) y participa como columnista de varias revistas
sobre informática. También es consultor en seguridad
informática de varias empresas. Puede ser contactado en
Fido en 4:901/303 o en Internet en
ubik@ubik.to