VR11: Analisis de virus
Por Fernando Bonsembiante
Ya hablamos en otra nota del Virus Creation Lab, el programa que permite crear virus sin esfuerzo. Ahora veremos algunos otros programas similares.
El Virus Creation Lab fue el primer programa de creación de virus que llegó a la Argentina, pero no es el único. Además de él, existen muchos otros, más complejos o más simples, que cumplen la misma función: permitir la creación de virus sin esfuerzo y sin conocimientos. Vamos a pasar revista brevemente a algunos de ellos:
Satanic Brain virus tools
Este es el primer generador de virus argentino. Fue hecho basándose en el VCL, y los virus que generan son variantes de los generados por el VCL. Su autor se hace llamar Azrael. La documentación está escrita en castellano, con muchos errores de ortografía. Aclara explícitamente que los virus que genera están basados en los del VCL ligeramente modificados. El programa funciona con menúes, de donde se puede configurar para crear el virus deseado. Las únicas opciones que tiene son elegir el nombre del virus, que día del mes se activará, y la acción a realizar, a elegir entre beeps por el parlante de la PC y mostrar un texto a elección. Con tan pocas opciones, casi podríamos decir que genera un solo virus con una acción variable. Como en todos los programas de este tipo, el autor promete una próxima versión con capacidades destructivas.
Instant Virus Production Kit
Este programa, también llamado IVP, fue creado por Admiral Bailey de un grupo llamado YAM (Youngsters Against McAfee, jóvenes contra McAfee). El programa funciona con una configuración que hay que modificar con un editor de texto común, en modo ASCII. En esta configuración se eligen las opciones que el autor desee para su virus. Entre ellas se puede definir el nombre del autor y del virus. Entre las opciones de creación del virus en sí, se puede elegir el tipo de infección, .com, .exe, ambos o generar un troyano. Se puede hacer que el virus sobreescriba el huésped o que su código se agrege al programa. El virus puede hacerse encriptado o sin encriptar. La rutina de encripción es un simple XOR, nada complicada, con un valor elegido al azar. Con respecto a la activación, se puede elegir la fecha y hora, con precisión de segundos. Lo que hará en el momento de la activación es totalmente configurable. En principio se puede hacer que muestre un mensaje por pantalla, pero esto puede complicarse todo lo que se quiera. Existe la posiblidad de escribir rutinas en assembler que hagan lo que se desee y activarlas con el virus. Entre los ejemplos que trae hay rutinas desde borrar parte del disco hasta hacer un ruido extraño por el parlante de la máquina. El virus generado no es demasiado complicado, y ni siquiera puede hacerse un virus residente.
G²
G² es un generador de virus creado por Dark Angel de Phalcon/Skism. Como el IVP, se configura editando un archivo de texto con un editor en modo ASCII. Este programa puede ser configurado para crear virus de .com, de .exe, y que infecten ambos tipos de ejecutables. En la configuración se especifica el nombre del virus y del autor. Se puede hacer un virus residente o uno que infecte sólo en el momento de ser ejecutado. Existe también la opcion de crear un virus encriptado, tambien en forma muy sencilla con XOR o con un ADD y un valor elegido al azar. El programa usa algunos trucos para evitar que se haga un string de detección simple y único para detectar todos los virus generados con él. Lo que hace es cambiar al método de encripción al azar y cambiar algunas instrucciones de lugar para evitar generar el mismo código dos veces aún sin modificar la configuración. A pesar de todos estos esfuerzos, las pruebas que hicimos demostraron que el F-Prot detecta sin problemas todos y cada uno de los virus generados con este programa.
Fernando Bonsembiante es jefe de redacción de Virus Report y está estudiando los virus informáticos desde hace varios años. Tambien es miembro de la comisión directiva del Círculo Argentino de Ciencia Ficción, (CACyF) y participa como columnista de varias revistas sobre informática. También es consultor en seguridad informática de varias empresas. Puede ser contactado en Fido en 4:901/303 o en Internet en ubik@ubik.to