ILoveYou, Chernobyl o el español Barrotes han sido algunos de los virus más peligrosos de los últimos 20 años. Aunque sea del lado oscuro de la informática, son parte importante para que la seguridad informática piense en nuevas estrategias.
Hagamos un repaso a una selección de virus informáticos que fueron celebres en su momento. Puede que no sean los más interesantes, ni los mejor programados, ni siquiera los más interesantes como objeto de estudio, una selección de amenazas que han sido seleccionadas por ser protagonistas de grandes epidemias en nuestras computadoras.
Algunos utilizaban disquetes como vía de contagio como el Casino, Barrotes o el Viernes 13; unos años antes de que Internet se hiciera popular entre los usuarios y se convirtiera en el medio más habitual para la distribución de virus. Los primeros comienza en la edad dorada de la informática los años 80 y 90.
Los primeros virus que aparecieron para PC ni siquiera realizaban tareas malignas: su función era solo el de causar molestia. Se necesita introducir un diskettes infectado para ejecutar el virus. Cuando el usuario ejecutaba programas EXE o COM se cargaban en memoria RAM, y comenzaban a infectar en silencio otros programas que íbamos utilizando (aumentando ligeramente su tamaño).
Un virus no era más que una pequeña aplicación programada para llevar a cabo ciertas tareas molestas. Los virus empezaron a evolucionar en complejidad de programación, con características más destructivas: eliminaban determinados ficheros, borraban el sector de arranque del disco o cosas por el estilo. Veamos algunos de los los virus más peligrosos de la historia.
Viernes 13 (1988)
El primero en la lista es el conocido como ‘Viernes 13’ o ‘Jerusalem’, creado en Israel en 1988 y por el que, cada viernes 13, todos los programas que intentaban ejecutarse en la computadora se borraban. «Supuestamente conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalem».
El virus infectaba archivos .COM y .EXE, cada vez que eran ejecutados y mientras estaba el virus activo en memoria. La primera versión se auto-instalaba residente en la memoria RAM del sistema, tomando control de las interrupciones 08h y 21h, y desde allí infectaba a archivos con extensión .COM, a los cuales incrementaba 1,792 bytes y a los .EXE que incrementaba entre 1,808 a 1822 bytes adicionales. Cuando el calendario coincidía en viernes 13, el virus se activaba borrando todos los programas que se intentaban ejecutar, mientras que si no era esa la fecha simplemente ralentizaba el uso del equipo al poner un delay en la interrupción del reloj.
Aunque el virus lleva circulando desde dicha fecha, todavía siguen apareciendo alertas cada vez que se acerca la fecha. Esto se debe en parte a la especial predilección por esa fecha de muchos creadores de virus, que hace que el viernes 13 sea un día especialmente negro para los usuarios de computadoras. “Viernes 13″ Es quizá el virus más longevo y con más versiones de la historia de la informática.
Casino (1991)
Uno de los virus con más estragos de la historia que borraba la FAT. El virus se activa los días 15 de enero, 15 de abril y 15 de agosto, era de los más temibles y macabros de la época. Se trataba de un virus que se cargaba la FAT del disco duro, pero haciendo antes una copia en RAM.
El juego te daba la posibilidad de echar una partida de JackPot, si perdías o reiniciabas, nunca más sabrías nada de tus datos, si ganabas, te restauraba la FAT y no hacía ningún daño, eso sí, te aconsejaba no volver a encender la computadora ese día.
mostrando el siguiente mensaje en pantalla:
Que traducido, significa:
“DESTRUCTOR de DISCO. UN RECUERDO DE MALTA
¡Acabo de DESTRUIR la FAT de tu Disco!
Sin embargo, tengo una copia en RAM, y voy a darte una última oportunidad
de restaurar tus preciosos datos.
SI REINICIAS AHORA, TODOS TUS DATOS SE BORRARÁN – ¡PARA SIEMPRE!: PELIGRO
Tus datos dependen de una partida de JACKPOT
CASINO DE MALTE JACKPOT
5 : CREDITOS
LLL = Tu Disco
??? = Mi número de teléfono
CUALQUIER TECLA PARA JUGAR
El virus borraba la FAT, estructura básica de cualquier disco DOS que permite encontrar los datos. Sin embargo, según indicaba en el mensaje, había guardado una copia de seguridad en memoria que el usuario podía recuperar si ganaba la partida. Y entonces daba comienzo una partida de tragaperras en la que nos jugábamos los datos de nuestro disco duro. Si conseguíamos sacar tres “L”, podíamos respirar tranquilos. El virus restauraba los datos y se despedía con el siguiente mensaje:
Traducción:
¡BASTARDO! HAS TENIDO SUERTE ESTA VEZ, PERO POR TU
PROPIA SEGURIDAD, ¡APAGA TU COMPUTADORA AHORA Y NO LO ENCIENDAS HASTA MAÑANA!
Y si no conseguíamos las tres “L”… bueno… digamos que esa será la última partida que jugaremos en esa computadora.
Barrotes (1993)
Le sigue ‘Barrotes’, el primer virus español, que apareció en 1993. Una vez infectada la computadora, el virus permanecía oculto hasta el 5 de enero, fecha en la que se activaba y aparecían unas barras en el monitor. Este es un virus de la vieja escuela. Un auténtico clásico que todos los que tuvieran comput6adora antes de 1993 seguro que recordarán. En aquel entonces, este tipo de programas se transmitían a través de diskettes infectados, por lo que normalmente cuando alguien pescaba el virus, todos sus amigos solían contagiarse por el intercambio de disquetes en los colegios. Su principal vía de propagación era, por tanto, el intercambio de juegos piratas.
Barrotes no era un virus especialmente dañino, pero si muy llamativo. Cuando lo pescabas, enseguida te dabas cuenta. El virus era un pequeño programa que, al entrar en un nuevo sistema, buscaba y escribía su código en los archivos .COM y .EXE de MS-DOS (archivos ejecutables). Una vez hecha la jugarreta, el virus permanecía en estado latente hasta el 5 de Enero, momento en que se activaba sobrescribiendo el sector de arranque del disco. El resultado era que a partir de entonces, cada vez que el usuario utilizara la computadora, se podían ver unas barras azules verticales, como los barrotes de una cárcel (de ahí el nombre del virus). En pantalla aparecía además la firma de su creador: “Virus BARROTES por OSoft”.
Las siguientes versiones del virus eran más malignas. De esta forma existía Barrotes.1463, que intenta borrar múltiples archivos el día 22 de cada mes, pero que debido a un error de programación, se activaba los días 34 (o sea, nunca). El Barrotes.1303 es la versión más dañina, ya que destruye el sector de arranque del disco duro los días 23 de Septiembre, Barrotes reivindica las programación española en el mundo de los virus.
Falling Letters(1997)
Otro virus del ranking es el ‘Cascade o ‘Falling Letters’, que nació en Alemania en 1997 y actuaba de forma que cuando un PC se infectaba, hacía caer las letras de la pantalla como si se tratara de una cascada. Muy divertido verlo en el Wordperfect.
CIH (1998)
‘CIH’ o ‘Chernobyl’ nació en junio de 1998 en Taiwán y sólo tardó una semana en distribuirse e infectar a miles de computadoras. El virus, programado por el taiwanés Chen Ing Hau sobrescribía información crítica en muchos archivos del sistema y lo que es peor, puede llegar a causar corrupción de la BIOS del sistema, lo que supone tener que tirar la placa base a la basura.
Es el virus más dañino de todos los que se han expandido masivamente. Su expansión se debe tanto a sus múltiples vías de propagación (archivos infectados) como a errores en controles de calidad de las empresas. Así, en 1998, Yamaha lanzó una actualización de firmware para sus unidades de CD-ROM CD-R400 que estaba infectada por el virus. Pero la cosa no acaba ahí. En 1999, una partida de computadora IBM Aptiva fueron entregados a sus compradores con el software infectado por el virus CIH, debido una vez más a un error humano.
CIH es el virus más dañino de la historia. Ha causado de 20 a 80 millones de dólares en pérdidas en todo el mundo, sin contar toda la información que ha destruido. CIH no afecta a sistemas operativos Windows 2000 y posteriores como Windows XP. Daño estimado. Curiosidades: CIH fue distribuido en uno que otro importante software como un Demo del juego de Activision “Sin”.
Melissa (1999)
Melissa hizo su aparición el 26 de marzo de 1999 en Estados Unidos y fue uno de los primeros virus que utilizó técnicas de ingeniería social, ya que llegaba por email con el mensaje «Aquí está el documento que me pediste, no se lo enseñes a nadie». Daño Estimado: 300 a 600 millones de dólares. Localización: Un miércoles 26 de Marzo de 1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de las computadoras del mundo. Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos.
I Love You (2000)
Uno de los mas famosos virus que llegaba por email desde Filipinas ‘ILoveYou’ o ‘Loveletter’ apareció en el año 2000, desde Filipinas. Llegaba con el asunto ILoveYou y fue capaz de infectar a millones de computadoras e importantes instituciones como el Pentágono. Uno de los virus más simples y, sin embargo, más difundidos de la historia. El virus “ILOVEYOU”, creado por el estudiante filipino Onel A. de Guzman. Este gusano marcó un hito en la historia de la informática, no sólo por su rápida expansión, sino porque enseño a millones de personas a no creerse todo lo que recibían por e-mail.
La forma de infección del virus “VBS/Loveletter” o “ILOVEYOU”, como se le conoce comúnmente, es de lo más simple. Se trataba de un e-mail cuyo asunto era “ILOVEYOU” que incluía un archivo adjunto llamado “LOVE-LETTER-FOR-YOU.TXT.vbs” (“Carta de amor para ti”). Esto hoy en día nos parece ridículo y haría sospechar a cualquiera, pero en el año 2000, en el que la infección por correo electrónico no era tan conocida, millones de incautos picaron el anzuelo y abrieron el archivo adjunto, creyendo que efectivamente tenían un/a admirador/a secreto/a.
El gusano estaba programado en Visual Basic Script, un sencillo lenguaje de programación diseñado por Microsoft para ser utilizado fundamentalmente en procesos de automatización, esto es, simplificar y/o acelerar tareas monótonas. Pero este lenguaje pronto se reveló como una potente herramienta para los programadores de virus por dos razones principales: la primera es que el icono parecido a un pergamino que representa a los ficheros .vbs puede llevar a pensar a los usuarios inexpertos que se trata de un fichero de texto. La segunda es su facilidad de uso: se necesitan pocas líneas de código para programar un programa malicioso.
También escaneaba el disco duro de la computadora infectada y reemplazaba todos los archivos *.jpg, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA con copias de los mismos en las que escribía su código y a las que añadía la extensión .VBS. Asimismo, también buscaba archivos *.MP3 y *.MP2 y repetía el proceso de reemplazarlos por copias de si mismo a las que daba el mismo nombre que el archivo original, pero con añadiendo la extensión .VBS.
Un gusano fácil de detectar y bastante tosco pero “ILOVEYOU” afectó a miles de computadoras en todo el mundo y causó aproximadamente 10 billones de dólares en pérdidas y como Filipinas no tenía leyes sobre la creación de virus informáticos, el autor de ILOVEYOU quedó en libertad sin cargos. Daño Estimado: 10 a 15 billones de dólares.
Code Red (2001)
Code Red fue un gusano que infecto computadoras por primera vez el 13 de Julio de 2001. Fue un virulento bug porque su objetivo era atacar a computadoras que tuvieran el servidor (IIS) Microsoft’s Internet Information Server. El gusano era capaz de explotar una importante vulnerabilidad de este servidor. Daño Estimado: 2.6 billones de dólares. También conocido como “Bady”, Code Red fue diseñado para el máximo daño posible. En menos de una semana infectó casi 400.000 servidores y mas de un 1.000.000 en su corta historia.
Nimda (2001)
El siguiente fue un dolor de muelas para los administradores de sistemas, ‘Nimda’ nombre que viene de ‘admin’, al reves, nacido en China el 18 de septiembre de 2001, era capaz de crear privilegios de administrador en la computadora afectada.
SQLSlamer (2003)
‘SQLSlammer’ «también fue un verdadero quebradero de cabeza para las empresas». Nació el 25 de enero de 2003 y llegó a afectar a más de medio millón de servidores en cuestión de días rompiendo muchas bases de datos. Menos mal que hay que tener Backup de servidores. Daño Estimado: Como SQL Slammer apareció un sábado su daño económico fue bajo. Sin embargo este atacó 500.000 servidores. SQL Slammer, también conocido como “Sapphire”, data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismo estas IPs. Si la IP corría bajo un Microsoft’s SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria. Slammer infectó 75,000 computadoras en 10 minutos.
Blaster (2003) y Sasser (2004)
Otro clásico en el verano de 2003 se dio a conocer Blaster tambien llamado “Lovsan” o “MSBlast”.
El virus se detectó un 11 de Agosto y se propagó rápidamente, en sólo dos días. Transmitió gracias a una vulnerabilidad en Windows 2000 y Windows XP. Se propagaba a través de Internet utilizando una vulnerabilidad de Windows 2000 y Windows XP. Es el virus de propagación más rápida de la historia, ya que afectó a millones de computadoras en tan sólo dos días. ‘Blaster’, procedente de Estados Unidos, creado el 11 de agosto de 2003, contenía en su código el mensaje: «Sólo quiero decir que te quiero san» y añadía: «Billy Gates, ¿por qué haces posible esto? Para de hacer dinero y arregla tu software». Daño Estimado: 2 a 10 billones de dólares, cientos de miles de computadoras infectadas.
Al activarse, el virus mostraba un cuadro de diálogo con una cuenta atrás que indicaba que la computadora sería apagado en unos minutos. Por suerte Microsoft se dio prisa en sacar un parche que arreglara dicha vulnerabilidad, pero durante un tiempo este virus supuso a los usuarios de Windows un auténtico quebradero de cabeza. Si no sabias escribir shutdown -u en el cmd del Windows.
En cuanto a Sasser, su efecto era similar al Blaster: el apagado del sistema al cabo de un minuto. Otra vez un nuevo parche de Microsoft solucionó el problema, pero el daño ya estaba hecho: la confianza de los usuarios hacia la seguridad de Windows sufrió un duro revés dada la masiva propagación de estos dos gusanos. Sasser fue escrito por un joven alemán de 17 años que propago el virus en su 18 cumpleaños. Como el escribió el código siendo un menor salió bien parado aunque fue declarado culpable de sabotaje informático.
Sobig (2003)
Sobig también atacó en Agosto de 2003 un horrible mes en materia de seguridad. La variante mas destructiva de este gusano fue Sobig.F, que atacó el 19 de Agosto generando mas de 1 millón de copias de él mismo en las primeras 24 horas. Daño Estimado: De 5 a 10 billones de dólares y más de un millón de computadoras infectadas.
Curiosidades: El virus se propagó vía e-mail adjunto archivos como application.pif y thank_you.pif. Cuando se activaba se transmitía.
El 10 de Septiembre de 2003 el virus se desactivó asimismo y ya no resultaba una amenaza, Microsoft ofreció en su día 250.000$ a aquel que identificara a su autor.
MyDoom (2004)
Durante unas pocas horas del 26 de Enero de 2004, MyDoom dio la vuelta al mundo. Era transmitido vía email enviando un supuesto mensaje de error aunque también atacó a carpetas compartidas de usuarios de la red Kazaa. Ralentizo el rendimiento de Internet en un 10% y la carga de páginas en un 50%. MyDoom estaba programado para detenerse después del 12 de Febrero de 2004.
