VR6: La fábrica de virus de Bulgaria
por Vesselin Bontchev
En la segunda parte de este trabajo, Vesselin Bontchev nos presenta el "Virus eXchange BBS", un hito fundamental en la producción de virus en Bulgaria y en el resto del mundo. Tambien nos da a conocer las ideas sobre virus originadas en Bulgaria.
El BBS "Virus eXchange"
Hace aproximadamente un año, la creación de virus en Bulgaria ingresó en una nueva fase. Los escritores de virus comenzaron a organizarse. El primer paso consistió en la creación de un BBS, dedicado al intercambio de virus. Se trata del "Virus eXchange BBS".
Su SysOp, T.T. es un estudiante de computación de la Universidad de Sofía. Este estudiante ha instalado el BBS en su propia casa. En él existen dos clases principales de archivos: los programas antivirus y los virus propiamente dichos. Los programas antivirus se pueden bajar libremente.
Para tener acceso al área de virus, se debe subir al BBS un virus nuevo. Cualquiera que incorpore un nuevo virus, tendrá acceso a la colección completa de virus. Luego, podrá bajar cualquiera de los virus disponibles en forma individual, o bien todos ellos. No se le harán preguntas, por ejemplo, nadie preguntará por que el solicitante requiere estos virus.
Más aún, el SysOp no efectuará ningún tipo de control para verificar la identidad de los usuarios del BBS. En realidad, los usuarios están autorizados a emplear nombres falsos e incluso se les sugiere que lo hagan. Entre dichos nombres falsos, podemos mencionar los de mayor actividad en el sistema, Dark Avenger y W.T., pero también existen nombres como George Bush de New York, Saddam Hussein de Baghdad, Ozzy Ozburn y muchos otros. Debido a que este BBS ya posee una gran colección de virus de computadora (alrededor de 300), es bastante difícil encontrar nuevos virus para incorporar en él. Si alguien quiere acceder desesperadamente al área de virus, advertirá que resulta más simple crear un nuevo virus que tratar de encontrar uno. Esto fue exactamente lo que hizo W.T. Por lo tanto, es claro que este BBS alienta la creación de nuevos virus.
Más aún, en este BBS existen toda clases de virus, algunos de ellos, por ejemplo el 1260, el V2P6Z, FLIP, WHALE, son considerados como extremadamente peligrosos, ya que utilizan varias ideas nuevas y trucos ingeniosos que los hacen muy difíciles de detectar, reconocer y eliminar de los archivos infectados. La política del Virus eXchange BBS pone estos y otros virus libremente a disposición de cualquier hacker que se moleste en bajarlos. Esto, por supuesto, va a llevar a la creación de virus cada vez más complejos en el futuro inmediato. La libre disponibilidad de virus vivos ya ha dado sus frutos más terribles. Ayudó a que numerosos virus creados fuera de Bulgaria y que no estaban muy difundidos, causaran graves epidemias en nuestro país. Eso fue exactamente lo que sucedió con el virus DATALOCK. Fue creado en California, USA, y luego fue subido al Virus eXchange BBS.
Algunas semanas más tarde se detectó en la Universidad Técnica de Sofía. Probablemente, alguno de los usuarios del BBS lo bajó y lo distribuyó con el sólo propósito de "divertirse". Del mismo modo, entraron en nuestro país los virus INTERNAL, TYPO y 1575.
Pero el acceso libre a la obtención de virus vivos no es el aspecto más peligroso de esta situación. Después de todo, como ya se conocen, existen programas para detectarlos y probablemente para eliminarlos. ¡Mucho más peligroso resulta el hecho de que en este BBS existe libre disponibilidad de códigos fuente de virus! En realidad, en el BBS Virus eXchange se puede obtener libremente códigos fuente originales completos o virus desensamblados y muy bien comentados, como cualquier otro virus vivo. Sólo por mencionar algunos, digamos que usted puede encontrar allí:
DARK AVENGER, OLD YANKEE, DIAMOND, AMSTRAD, HYMN, MLTI830, MURPHY, MAGNITOGORSK, ICELANDIC, MIX1, STONED, JERUSALEM, DATACRIME, BURGER, ARMAGEDON, OROPAX, DARTH VADER, NAUGHTY HACKER, 512, VIENNA, 4096, FISH#6, PING PONG, BLACK JEC, WWT, MG, TSD, BOOTHORSE, BAD BOY, LEECH...
La mayoría de ellos son códigos fuente perfectamente ensamblables.
La publicación de códigos fuente de virus ha demostrado ser lo más peligroso en este campo. Lo virus VIENNA, JERUSALEM, CASCADE y AMSTRAD son los mejores ejemplos de ello. Sus códigos fuente se conocieron públicamente, lo que condujo a la creación de nuevas variantes de estos virus. Las variantes conocidas, solamente de estos cuatro virus, representan alrededor del 20 por ciento del total de virus conocidos, lo que significa más de cien variantes. Es fácil imaginar las terribles consecuencias derivadas de dar a conocer públicamente los códigos fuente de todos los virus detallados anteriormente. En menos de un año, probablemente estaremos sumergidos en miles de nuevas variantes...
En realidad, este proceso ya ha comenzado. Los virus HIV, MIGRAM, KAMASYA, CEMETERY y ANTICHRIST obviamente fueron creados tiempo atrás por alguna persona que tuvo acceso al código fuente del virus MURPHY. El virus ENIGMA está claramente basado en el código del OLD YANKEE. Ha habido informes de infecciones con estos virus en Una escuela de Italia y un escritor de virus italiano conocido bajo el nombre de Cracker Jack es uno de los usuarios de Virus eXchange...
Los daños ocasionados sólo por este BBS al resto del mundo son suficientemente grandes. Pero esto no es todo. Debido a que la posesión "conocimientos virales" (por ejemplo, sobre virus vivos, códigos fuente de virus, etc,) siempre ha tentado a los hackers, y debido también a que los legítimos investigadores antivirus generalmente intercambian este tipo de información sólo entre ellos y de una manera sumamente restringida, no deberá sorprender que comiencen a aparecer en todo el mundo "Boletines sobre Virus" similares a este. Actualmente existen BBS de este tipo en USA, Alemania, Italia, Suecia, Checoslovaquia, Reino Unido y la Unión Soviética. Resulta sumamente difícil, en términos legales, poder detener sus actividades, debido a que la posesión, almacenamiento o incorporación deliberada de virus de computadora, por lo general no se consideran como actos delictivos. Y por otra parte, tampoco debería considerarse como tal, de lo contrario, los investigadores de antivirus no tendrían manera alguna de intercambiar muestras de virus para poder trabajar sobre ellas.
La creación de un BBS para actividades relacionadas con virus, y el hecho concreto de que su operador se dedica a crear, diseminar e intercambiar códigos de virus, no ha pasado desapercibido en Bulgaria. La mayoría de los escritores de virus han obtenido un módem (esto no es algo común en Bulgaria) y se han contactado con dicho BBS. Luego comenzaron a contactarse entre sí mediante mensajes electrónicos a través del BBS. Más aún, han creado una conferencia local especializada (local en Bulgaria) para mantenerse en contacto e intercambiar ideas sobre cómo crear virus cada vez más inteligentes. Por lo tanto, pondríamos decir que han comenzado a organizarse, cosa que no se puede decir acerca de la comunidad de investigadores antivirus en todos los paises...
Nuevas Ideas
Tal como se puede inferir de los ejemplos anteriores, toda Bulgaria se ha convertido de alguna manera en una especie de laboratorio de desarrollo de virus de computadora, donde cualquier programador, sea alumno o estudiante, y tenga o no suficiente capacidad para ello, se siente la tentación de escribir su propio virus y de ponerlo a prueba de manera salvaje. Por lo tanto, no resulta inusual que muchas ideas completamente nuevas se hayan desarrollado por primera vez en nuestro país. A continuación intentaré mencionar algunas de ellas, sólo las más importantes.
- La técnica de rastreo de interrupciones, capaz de localizar el manejador (handler) original (en el DOS o en el BIOS) de cualquier vector de interrupción, fue implementado por primera vez en los virus YANKEE DOODLE (TP). Luego, otros virus en todo el mundo comenzaron a utilizarla (4096, NAUGHTY HACKER).
- Los virus de "infección rápida" son virus que infectan en el momento de abrir un archivo o aun durante cualquier operación de archivos, y fueron desarrollados por primera vez en Bulgaria. El primer virus de este tipo fue el DARK AVENGER. Ahora existen una gran cantidad de virus de contaminación rápida. Uno de ellos, el 1963, ejerce su actividad nociva incluso durante el proceso de borrado de un archivo.
- Los virus "semi stealth", aquéllos que ocultan el aumento de tamaño de los archivos infectados (por ejemplo el virus 651) o que los borran de los archivos afectados cuando se los carga con un debugger (YANKEE DOODLE), fueron creados en nuestro país.
- El ocultamiento de la verdadera longitud de un archivo, generalmente ocasiona problemas porque CHKDSK puede detectar la diferencia entre el espacio de disco marcado como "utilizado" en la FAT y la longitud de archivo informada. Existen sólo dos virus Búlgaros en el mundo capaces de manejar este problema, DIAMOND y V2100.
- El primer infectador de archivos realmente "furtivo" (stealth), el virus 512, fue de origen Búlgaro. Sin embargo, es verdad que la idea se descubrió de manera independiente y casi al mismo tiempo en otras partes del mundo (por ejemplo, el virus 4096 de Israel).
- El único virus parasitario stealth cuyas caracterísitcas de ocultamiento funcionan hasta el nivel del BIOS (por ejemplo, no se lo puede detectar si está activo en memoria, aun si el archivo infectado se lee a nivel de sectores y no a nivel de archivos) es el virus INT13 de Bulgaria.
- Uno de los primeros virus multipropósito (pueden infectar archivos y sectores de booteo), el virus ANTHRAX, fue desarrollado en Bulgaria. No obstante, se tiene noticias de ideas similares en otros virus como el 4096 y GHOST BALLS, desarrollados mucho antes. Además, otros virus multipropósito (VIRUS-101, V-1, FLIP, INVADER) se crearon independientemente casi al mismo tiempo (y aun antes) en otras partes del mundo.
- La idea usada originariamente en el virus LEHIGH que consistía en ubicar el cuerpo del virus en una parte no utilizada del archivo COMMAND.COM, fue luego desarrollada por varios virus de Bulgaria. Todos ellos (a diferencia del virus LEHIGH) pueden infectar cualquier archivo COM o EXE de la manera habitual, pero cuando infectan el intérprete de comandos, se ubican en un área completada con ceros al final del archivo y por lo tanto, en este caso no aumentan la longitud del mismo. Entre este tipo de virus podemos mencionar a TERROR, NAUGHTY HACKER y otros.
- El método mencionado anteriormente fue desarrollado, en mayor profundidad aún, por otros virus Búlgaros. Sus creadores se dieron cuenta que un área suficientemente grande ocupada con ceros en cualquier archivo (no solo en el COMMAND.COM) se puede usar para esconder el cuerpo del virus. Los virus que emplean este método son una vez más, de origen Búlgaro: PROUD, EVIL, PHOENIX, RAT, DARTH VADER... Este último, ni siquiera escribe en los archivos infectados, deja esta tarea para que la realice el DOS. El virus RAT se oculta en la parte no utilizada de los encabezamientos de los archivos EXE.
- Uno de los virus extremadamente mutantes es el virus LEECH, de Dark Avenger. Puede existir en más de 4.500 millones de variantes. No obstante, cabe destacar que éste no es el primer virus totalmente mutante (el virus 1260 fue el primero), ni tampoco posee el mecanismo de mutación más flexible (es mucho más simple que el virus V2P6Z).
- Un tipo completamente nuevo de virus de computadora (DIR II) fue desarrollado por dos alumnos Búlgaros. Este virus no infecta ni a los archivos, ni a los sectores de booteo. En cambio, infecta a sistemas de archivos como una unidad, o más exactamente a directorios completos.
- Existen diferentes trucos para tomar el control sin tomar directamente el vector de la INT 21h. Estos trucos fueron desarrollados por varios escritores de virus Búlgaros. El virus TERROR ubica una instrucción JMP hacia sí mismo en el manejador original del DOS de la INT 21h. Los virus de la familia PHOENIX (el 800, 1226, PROUD, EVIL y el PHOENIX) toman una interrupción que invoca el DOS en cada función relacionada con archivos (INT 2Ah, AH=82h). El virus DIR II se instala en la cadena de controladores de dispositivos de disco del DOS.
- El primer virus, capaz de infectar controladores de dispositivos (archivos SYS solamente), es, por supuesto, Búlgaro. Me refiero al virus HAPPY NEW YEAR (1600).
- El primer virus parasitario totalmente funcional, escrito integramente en lenguaje de alto nivel (Turbo PASCAL) es el virus SENTINEL de origen Búlgaro.
- El virus de origen Búlgaro ANTHRAX es el primero que reside en memoria sólo en forma temporaria. Se borra de manera automática después de haber infectado el primer archivo y luego actúa como virus no residente.
- El virus residente en memoria de menor tamaño en el mundo de las PC IBM (sólo 128 bytes) es de origen Búlgaro. Existen algunos informes acerca de un virus residente de 108 bytes, también de ese origen, pero no están aún confirmados.
- El virus más corto en el mundo de las PC IBM, sólo 45 bytes de extensión, es el virus Búlgaro denominado MINIMAL-45. Sin embargo, aparentemente es posible reducir aún más su tamaño llevándolo a 31 bytes, con una gran pérdida de confiabilidad.
Nota de la revista: En la tercera parte de esta nota veremos las causas de por que se escriben tantos virus en Bulgaria, y algunos de las posibles causas de creación de virus en el resto del mundo.