VR5: La fábrica de virus de Bulgaria
por Vesselin Bontchev
Publicamos la primera parte de este trabajo de Vesselin Bontchev donde este importante investigador de virus de origen Búlgaro nos explica por que en su país se hacen tantos virus.
Nota: Este trabajo fue escrito en 1991, y su autor nos autorizó su publicación con la condición de que aclaremos que en este momento las condiciones en Bulgaria cambiaron un poco. Ya no se hacen tantos virus y la industria del software está funcionando mejor que hace un par de años. Es indudable que los cambios políticos introducidos en Bulgaria últimamente cambiaron las condiciones incluso de la creación de virus en ese país.
Cómo comenzó la historia
Hace apenas tres años no existían virus de computadoras en Bulgaria. Después de todo, estas eran cosas que sólo podían suceder en los países capitalistas. La primera mención que se hizo de los virus de este tipo fue en la edición de Abril de la revista de computación de Bulgaria "Komputar za vas" ("Computación para usted") en una nota traducida de la revista Alemana "Chip". Inmediatamente después de que el artículo mencionado apareciera, la misma revista Búlgara publicó un artículo escrito por mi, explicando el motivo por el cual los virus no podían ser peligrosos. Los argumentos allí presentados eran en general correctos, pero el autor había olvidado por completo el hecho de que la mayoría de los usuarios de PC no son programadores experimentados.
Algunos meses más tarde, en el otoño de ese mismo año, llegaron dos hombres a la oficina del jefe de redacción de la revista y manifestaron que habían encontrado un virus de computadora. Después de una cuidadosa investigación se llegó a la conclusión de que se trataba del virus VIENNA.
En ese momento el virus de computadora significaba una idea completamente nueva para nosotros. La posibilidad de generar un programa de computadora, cuya performance sea semejante a la de un ser vivo, capaz de reproducirse y desplazarse de una computadora a otra aún contra la voluntad del usuario, parecía extremadamente excitante.
El hecho de que "se puede hacer" y más aún, "se había hecho" se esparció en nuestro país como un reguero de pólvora. De inmediato los piratas informáticos consiguieron una copia del virus y comenzaron a "piratearlo". En poco tiempo se pudo comprobar que el programa no contenía ninguna "magia negra" y hasta había sido escrito de manera muy descuidada. De inmediato aparecieron nuevas versiones caseras y mejoradas del mismo. Algunas de ellas se generaron simplemente reuniendo los diferentes módulos del virus pero utilizando un assembler que optimizaba mejor el código. Algunas de estas versiones directamente se optimizaron a mano. Como resultado, en la actualidad existen varias versiones de este virus que fue creado en Bulgaria --- versiones con longitudes de infección de 627, 623, 622, 435, 367, 353 y aún 348 bytes. El virus se redujo casi dos veces respecto de su tamaño original (su longitud de infección original era de 648 bytes) sin que por ello se haya visto afectada en lo más mínimo su eficacia operativa.
Este virus fue el primer caso. Inmediatamente después, fuimos "visitados" por los virus CASCADE y PING PONG. El último fue el primer virus de sector de booteo y demostró que este área especial, presente en todos los diskettes también se puede utilizar para transportar virus. Los tres virus mencionados probablemente se importaron a través de copias ilegales de programas pirateados.
¿Quién, Qué y Por Qué? El primer virus Búlgaro.
Por aquellos días los dos virus conocidos ( VIENNA y CASCADE) infectaban solamente los archivos COM. Debido a ello, yo creía que la infección de los archivos EXE era mucho más difícil. Lamentablemente, cometí el error de comentarle mi opinión a un amigo. Llamémoslo "V.B." por razones de privacidad.(Estas son las iniciales de su verdadero nombre. Lo mismo sucederá con otros escritores de virus que mencionaré más adelante. Por favor, tenga en cuenta que a pesar de que yo tengo las mismas iniciales (y que aún el nombre completo es muy parecido al mío), somos dos personas distintas.) El desafió se aceptó de inmediato y rápidamente después de mi comentario recibí un virus simple que era capaz de infectar sólo a los archivos EXE. En la actualidad, ese virus se conoce en el mundo bajo el nombre de OLD YANKEE. El motivo por el cual recibe este nombre es porque cada vez que el virus infecta un nuevo archivo, ejecuta la melodía "Yankee Doodle".
El virus en sí era bastante trivial. Su única característica especial consistía en la capacidad de infectar los archivos EXE. El autor de este virus además distribuyó su código fuente (o más exactamente, el código fuente del programa que lo libera). De todos modos, el virus no se extendió demasiado ampliamente ni tampoco sufrió grandes mutaciones. Sólo algunos pocos lugares informaron haberse infectado con este virus. Probablemente la razón de esta expansión limitada haya sido el hecho de que se trataba de un virus no residente y que sólo infectaba archivos que se encontraban en la diskettera default. Por lo tanto la única posibilidad de infectarse con él era copiar un archivo infectado de una computadora a otra.
Una vez resuelto el acertijo de crear un virus que fuese capaz de infectar archivos EXE, V.B. perdió el interés por seguir trabajando en este campo y no creó ningún otro virus. Hasta donde yo sé, actualmente está trabajando en procesamiento de señales en tiempo real.
El caso T.P.
El segundo escritor del virus Búlgaro, T.P., ocasionó mucho más daño. Cuando escuchó por primera vez la idea acerca de crear un programa que se reprodujese a sí mismo de manera automática, estuvo muy interesado en el tema y decidió escribir su propio virus, objetivo que logró satisfactoriamente. Luego intentó implementar un esquema de protección antivirus y nuevamente consiguió sus fines. El próximo movimiento consistió en mejorar su virus para poder burlar su propia protección antivirus, luego mejoró también la protección del virus y así sucesivamente. Es por este motivo que en la actualidad hay alrededor de 50 versiones diferentes de sus virus.
Lamentablemente, varias de estas versiones (aproximadamente una docena) fueron sumamente "exitosas". Se esparcieron por todo el mundo. Existen informes sobre los mismos provenientes de todos los países del antiguo bloque del Este, como así también de Estados Unidos y del Oeste de Europa.
Versiones anteriores de estos virus de T. P. se conocen bajo el nombre de VACSINA, porque contienen esa sucesión de caracteres. En realidad es el nombre del programa de protección antivirus del autor del virus. Se instala como un controlador de dispositivo con este nombre. El virus simplemente intenta abrir un archivo con este nombre, que significa "Hey, soy yo, déjenme pasar."
Las últimas versiones del virus son más conocidas bajo el nombre YANKEE DOODLE, porque ejecutan esta melodía. Las condiciones en las cuales se generan los sonidos son diferentes según las diferentes versiones del virus --- por ejemplo, cuando el usuario intenta rebootear, o bien, cuando el reloj del sistema marca las 5 p.m.
Todos los virus TP son estrictamente no destructivos. El autor de los mismos prestó particular atención en que no fuesen a destruir ningún dato. Por ejemplo, el virus no infecta archivos EXE para los cuales la longitud de archivo real y la longitud de la parte ejecutable como está declarada en el encabezamiento EXE, no sean iguales. Hasta donde yo tengo conocimiento, no existe otro virus capaz de infectar archivos EXE que funcione de esta manera.
Además, el virus no intenta eludir los programas residentes que han interceptado INT 13h, por lo tanto corre el riesgo de ser detectado por la mayoría de los softwares de monitoreo de actividades de virus. El autor del virus podría, obviamente, haber evitado este riesgo - -- por ejemplo utiliza una técnica muy inteligente, conocida en la actualidad como "rastreo de interrupción" para eludir todos los programas que han establecido INT 21h. La única razón para no eludir también INT 13h, es que de este modo también se pasarían por alto todos los programas de caché de disco, y ello podría ocasionar serios problemas deteriorando datos.
Por supuesto, el hecho de que el virus no sea intencionalmente destructivo no significa que no cause daño alguno. Existen varios informes sobre incompatibilidades con otros softwares, o que indican el pánico de los usuarios que han formateado sus discos; o bien, como mínimo, el daño ocasionado por pérdidas de tiempo, negativas de servicios de la computadora o gastos en los cuales se debió incurrir para combatir el virus. Es bien sabido que "no hay nada que pueda superar a un buen virus."
Los virus TP no se expandieron intencionalmente; la causa podría caratularse como "negligencia criminal." La computadora utilizada por T.P. para desarrollar sus variedades de virus también fue utilizada y compartida con muchas otras personas. Esta es una práctica común en Bulgaria, lugar en el que no todo el mundo puede tener una computadora "personal" para trabajar. T.P. advirtió a los otros usuarios que estaba escribiendo virus, pero en ese momento la idea del virus de computadora era completamente nueva, razón por la cual nadie tomó seriamente esta advertencia. Debido a que T.P. no se preocupó por efectuar una "limpieza" del sistema después de utilizarlo para su tarea, estos usuarios -- por supuesto -- se infectaron con el virus. Sin querer intencionalmente hacerlo, ellos contribuyeron a diseminar la infección.
Cuando se le consultó a T.P. el motivo por el cual había decido escribir virus, respondió que lo hizo para probar nuevas ideas; para aprender mejor cómo funcionaba el sistema operativo y diversos trucos de programación. En la actualidad ya no está interesado en trabajar en este campo --- ha dejado de escribir virus hace aproximadamente dos años.
Dark Avenger
En la primavera de 1989 apareció un nuevo virus en Bulgaria. Obviamente era de fabricación "casera" y simplemente para aventar cualquier duda al respecto incluía una leyenda que decía "Este programa se escribió en la ciudad de Sofia (C) 1988-89 Dark Avenger."
El virus era increíblemente infeccioso --- cuando estaba en memoria, era suficiente copiar o simplemente abrir un archivo para infectarse. Cuando el usuario detectaba la existencia de un virus en su sistema y ejecutaba un programa antivirus que no estuviese advertido de la existencia de este nuevo virus sin rebootear (hacer arrancar nuevamente el sistema) desde un diskette de sistema protegido contra escritura y no infectado, infectaba todos sus archivos ejecutables.
La idea de infectar un archivo al abrirlo era nueva y realmente "exitosa." En la actualidad esos virus se denominan "de infección rápida." Esta estrategia ayudó a que los virus se dispersaran por todo el mundo. Existen informes provenientes de todos los países de Europa, de Estados Unidos, de la Unión Soviética, y hasta de Tailandia y Mongolia.
Pero lo realmente destacable es que el virus era peligrosamente destructivo. En cada decimosexta ejecución de un programa infectado, se sobregrababa un sector en un lugar aleatorio del disco, el cual posiblemente destruía el archivo o el directorio que contenía ese sector. El contenido del sector sobregabado constituía los primeros 512 bytes del cuerpo del virus, por lo que aún después de haber borrado el sistema, existían archivos que contenían una sucesión de caracteres que decían "Eddie vive...en algún lugar del tiempo!" Esto causaba mucho más daño aún que si el virus formateara el disco rígido, ya que la destrucción pasaba desapercibida para el usuario y cuando éste accidentalmente la descubría, sus backups probablemente ya contenían datos deteriorados.
Muy poco tiempo después de conocerse este virus, comenzaron a aparecer otros virus inteligentes. Casi todos ellos eran sumamente destructivos. Muchos contenían ideas completamente nuevas. En la actualidad esta persona (todavía no podemos identificarlo con exactitud) es autora de los siguientes virus:
DARK AVENGER, V2000 (dos variantes), V2100 (dos variantes), 651, DIAMOND (dos variantes), NOMENKLATURA, 512 (seis variantes), 800, 1226, PROUD, EVIL, PHOENIX, ANTHRAX, LEECH...
Dark Avenger ha atacado varias veces a algunos desarrolladores de programas antivirus. Los virus V2000/V2100 se anuncian como escritos por "Vesselin Bontchev" y cuelgan el sistema cuando se ejecuta cualquier programa que contenga las palabras "Vesselin Bontchev". Existe una variante levemente modificada del V2100 (V2100-B) que se utilizó como caballo de Troya para la infectar la versión 66 del paquete VIRUSCAN de John McAfee.
Existen informes que indican que el Dark Avenger ha entrado en diversos BBS en Europa y ha dejado allí el virus. Los informes provienen del Reino Unido, de Suecia, de los Países Bajos, de Grecia... Algunas veces los virus cargados de este modo en los sistemas son variedades desconocidas en Bulgaria (NOMENKLATURA,ANTHRAX). Pero indudablemente fueron generados en nuestro país --- ya que contienen mensajes en Cirílico. En ciertas ocasiones Dark Avenger no sólo carga un programa infectado, sino un programa Troyano que esparce el virus. Esto dificulta sumamente la detección del origen de la infección.
Un caso particular es el que se presenta cuando carga un archivo denominado UScan, que al ejecutarlo informa que se trata del "explorador de virus universal," escrito por Vesselin Bontchev. Incluso la persona que lo subió se registró bajo el nombre "Vesselin Bontchev." En realidad, el programa infecta todos los archivos con el virus ANTHRAX.
Mientras que los otros escritores de virus de Bulgaria parecen ser sólo irresponsables o personas con mentalidad infantil, el escritor del Dark Avenger se puede clasificar como un "tecnópata." Es un usuario habitual de varios BBS, por lo que cualquier persona que los utilice puede intercambiar fácilmente mensajes de correo electrónico con él. Cuando se le consultó por qué generaba virus tan destructivos, respondió que " destruir datos era un placer" y que simplemente "le encantaba destruir el trabajo de otras personas."
Lamentablemente no se pueden tomar medidas contra él en Bulgaria. Debido a que no existe legislación para protección de la información sus actividades allí no son ilegales. Se lo podría localizar fácilmente interviniendo los teléfonos de las BBSes que utiliza frecuentemente, pero las autoridades judiciales no pueden tomar estas medidas, ya que no existe evidencia alguna de actividades ilegales. Es obvio que este individuo conoce perfectamente esa situación.
Lubo e Ian.
Algunos de los virus de Dark Avenger demostraron ser muy "eficaces" y causaron reales epidemias. Es por ese motivo que fueron frecuentemente imitados por otros escritores de virus, que no tuvieron suficiente imaginación para diseñar sus propios virus, pero envidiaron la fama del Dark Avenger. Por lo tanto desensamblaron sus virus (generalmente el primero) y utilizaron partes del mismo, en ocasiones, sin entender cuál era su finalidad. Tal es el caso de los virus MURPHY.
Según lo indica una sucesión de caracteres que en ellos se incluye, fueron escritos por "Lubo & Ian, USM Laboratory, Sofia." Estas personas existen y han utilizado sus nombres reales. "Lubo" ha sido varias veces entrevistado por reporteros gráficos.
Según declaran, escribieron el virus por venganza, hicieron un trabajo muy importante para su jefe y éste finalmente se negó a pagarles. Ese es el motivo por el que desarrollaron el virus en una noche y lo pusieron en funcionamiento. El hecho de que este virus se esparciera fuera del laboratorio ni se cruzó por sus cabezas. Sin embargo, esto no explica el desarrollo de otras versiones del mismo virus (existen al menos cuatro variantes). De todos modos, comprueba una vez más que es mejor (y también más seguro) pagar bien a los buenos programadores...
Además de MURPHY, estos dos escritores de virus crearon otros virus denominados SENTINEL (5 variantes). Lo único inusual de este virus es que está escrito en un lenguaje de programación de alto nivel (Turbo PASCAL), pero no es una sobreescritura o un programa compañero como lo son la mayoría de los virus hechos en lenguajes de alto nivel. Es capaz de infectar los archivos COM y EXE agregándose a ellos y preservando su total funcionamiento. Este virus también es residente en memoria, oculta el aumento de longitud del archivo cuando el usuario invoca el comando DIR y además tiene la capacidad de mutar.
El escritor de virus de Plovdiv.
Este hombre, P.D., declara que ha escrito diversos virus "para divertirse" y sólo "para su uso personal" y que "nunca los libera." Lamentablemente, al menos dos de ellos han "escapado" por accidente. Estos virus son el ANTIPASCAL605 y el TERROR. El último, especialmente, es extremadamente virulento y ha causado una amplia epidemia en Bulgaria.
P.D. lamentó profundamente lo sucedido y envió muestras de sus virusa los investigadores de antivirus para que desarrollaran los respectivos programas antivirus -- en caso de que alguno de ellos también escapara. Finalmente dichos virus resultaron ser solo unos pocos que cubrían la gama completa, desde algunos muy tontos hasta otros muy sofisticados. A continuación se detallan algunos de ellos:
XBOOT, ANTIPASCAL (5 variantes), TINY (11 variantes), MINIMAL-45, TERROR, DARK LORD, NINA, GERGANA, HAPPY NEW YEAR (2 variantes), INT13.
P.D. asegura que el virus DARK LORD (una variante menor de TERROR) no fue escrito por él. La familia TINY no tiene nada que ver con el virus TINY Danés (variante de 163 bytes del virus KENNEDY), y al igual que el virus MINIMAL-45, están escritos con el exclusivo propósito de lograr el virus más corto del mundo.
En la actualidad P.D. ya no escribe programas de virus -- - porque "es tan fácil, que no resulta interesante," según sus propias palabras. En la actualidad está escribiendo programas antivirus -- y según parece son muy buenos.
Los dos muchachos de Varna.
Son dos alumnos (V.P. y S.K.) de la Mathematical High School de Varna (una ciudad ubicada en la costa del Mar Negro). Ellos desarrollaron varios virus y continúan haciéndolo, y producen cada vez variedades más sofisticadas. Más aún, intencionalmente diseminan sus virus, por lo general liberándolos en las computadoras de la escuela o en la Universidad Técnica de Varna. Cuando se les preguntó por qué escriben y liberan virus, respondieron "porque es muy interesante".
Los virus escritos por ellos son: MG (5 variantes), SHAKE (5 variantes), DIR y DIR II. Todos estos virus residen en la memoria e infectan los archivos cuando se ejecuta el comando DIR.
El último es un virus extremadamente virulento y sofisticado -- tan sofisticado como THE NUMBER OF THE BEAST (el número de la bestia). Es también un tipo completamente nuevo de virus -- no infecta ni los sectores de booteo (arranque del sistema) ni los archivos. En cambio, infecta al sistema de archivos en su totalidad, modificando la información de las entradas de directorio, de manera tal que cada archivo parece comenzar con el virus.
Existe un contador de cantidad de sistemas infectados en el cuerpo del virus. Se cuenta con suficiente evidencia que indica que V.P. y S.K. coleccionan archivos infectados, copian el contenido del contador y luego dibujan curvas de dispersión de la infección, controlando la ley de distribución normal. Lo hacen sólo "para divertirse".
El caso de W.T.
W.T. es un escritor de virus de Sofia, que escribió dos virus --- WWT (2 variantes) y DARTH VADER (4 variantes). De acuerdo con sus propias palabras, lo hizo para poner a prueba una nueva idea y para poder acceder al BBS de intercambio de virus.
La nueva idea consistía en un virus (DARTH VADER) que no aumenta las longitudes de los archivos, porque busca agujeros no utilizados, completados con ceros, y se ubica a sí mismo en esos lugares. Además el virus no efectúa ninguna operación de grabación. En cambio, espera que DOS grabe en un archivo COM y modifica la imagen del archivo en la memoria antes de que se realice la operación de grabación.
W.T. ya no no escribe programas de virus, pero aún está extremadamente interesado en este campo. Colecciona virus sofisticados y los desensambla, buscando ideas interesantes.
Naughty Hacker.
Este escritor de virus, M.H., es un alumno y también vive en Sofia. Ha escrito varios virus, la mayoría de los cuales contienen una sucesión de caracteres que dice "Naughty Hacker". Todos los virus escritos por M.H. no son destructivos, pero contienen diferentes efectos de video -- desde falta de sincronización de la pantalla, hasta la pelotita que rebota.
En la actualidad, se han aislado al menos 8 variantes diferentes, pero se cree que existen aún más y que están diseminadas por todo el mundo. Además se cree que M.H. continúa produciendo virus. Como es habitual, el motivo que lo mueve a hacerlo es "porque está interesado en ello" y "para divertirse."
También es el autor de tres virus sencillos de sectores de booteo (BOOTHORSE y otras dos variedades que todavía no tienen un nombre asignado).
Otros escritores de virus conocidos.
Las personas que se mencionaron anteriormente son los principales productores de virus de Bulgaria. Sin embargo, ellos no están solos. Muchas otras personas en Bulgaria han escrito como mínimo un virus (a veces más). En realidad, la fabricación de un virus es considerada como un deporte, una broma práctica o una manera de adquirir notoriedad.
Algunos de estos escritores de virus han suministrado sus creaciones directamente a los investigadores de antivirus, como si estuvieran esperando una recompensa. Esto sucede con frecuencia --- probablemente ellos esperan que el investigador de antivirus, como la persona más calificada, evalúe mejor su creación. Algunas veces el hecho de que el virus se conozca, y se describa e incluya en los mejores programas antivirus, es suficiente para estas personas y no les importa diseminar sus virus de manera salvaje. Por lo tanto, probablemente la razón principal para que esta gente produzca virus es la búsqueda de gloria, fama y notoriedad personal.
Este grupo de escritores de virus Búlgaros conocidos (con los nombres de sus respectivos virus entre paréntesis) son V.D. de Pleven (MICRO-128), A.S. y R.D. de Mihajlovgrad (V123), I.D. de Trojan (MUTANT, V127, V270x), K.D. de Tutrakan (BOYS, WARRIER, WARRIOR, DREAM) y otros.
Escritores de virus Búlgaros desconocidos.
Desde luego, también existen otros escritores de virus desconocidos para el autor de este documento. Algunas veces es posible determinar la ciudad en la que se desarrolló el virus -- por lo general debido a una sucesión de caracteres en el mismo cuerpo del virus, o bien, debido a que el virus no se encontró en ninguna otra parte. Algunos de los virus son muy simples, otros son algo sofisticados. A continuación se incluyen ejemplos de esos virus.
- El virus KAMIKAZE se detectó sólo en el Institute of Mathematics en la Academia de Ciencias de Bulgaria, Sofia y probablemente fue desarrollado allí;
- El virus RAT, fue creado en Sofia, tal como aparece en el cuerpo del mismo;
- El virus VFSI (HAPPY DAY) fue desarrollado en el Higher Institute of Finances and Economics in Svishtov (una pequeña ciudad del Danubio) por un programador desconocido;
- El virus DESTRUCTOR, probablemente fue desarrollado en Plovdiv, donde se detectó por primera vez;
- El virus PARITY, probablemente fue escrito en la Technical University, Sofia, ya que no se detectó en ningún otro lugar;
- Los virus de archivo y de sector de booteo TONY, probablemente fueron creados en Plovdiv, donde se detectaron por primera vez;
- El virus ETC, fue detectado sólo en Sofia;
- El virus 1963, una variedad algo sofisticada, probablemente fue creado en la Universidad de Sofia;
- El virus JUSTICE.