VR13: SITUACION DEL VIRUS COMPUTACIONAL EN CHILE
Por Amador Ahumada Zuñiga
No hay nada mas subjetivo que hablar de virus computacional. Pocas cosas desatan mas activamente la fantasía, incluso de los mas serios usuarios, que tratar de hacerlos aportar algunos datos, para una también muy seria investigación acerca de nuestro tema. Todos juran haber sido atacado por los especímenes mas exóticos, los que por supuesto se manifestaron de las formas mas sorprendentes posibles, escapando a toda lógica, violando incluso, todas las leyes posibles de la naturaleza. El investigador debe ser capaz de discriminar entre lo que es realidad y fantasía, no puede comenzar a matricular en su libreta, toda la fauna de virus que le fueron entregando los entrevistados, pues, la cantidad sería interminable.
Es por ello que deseché mucha información, alguna incluso "sospechosa" de ser verídica, solo acepté lo que venía de fuentes absolutamente confiables. La verdad es que yo tenía un trabajo similar a este, hecho hace poco mas del año, pero la aparición de los dos primeros especímenes chilenos trastrocó todo a tal manera, que bien valía la pena volver a establecer este oscuro ranking.
Hay que aclarar que la lista de especímenes, que doy como presentes en Chile, podrá parecer muy reducida, pero sólo incluí en ella a aquellos que realmente tienen una presencia masiva, y que han sido reportados por varios usuarios en distintas partes del país, es seguro que muchos otros, han tenido alguna aparición esporádica o puntual, pero nada más. Se debe tener en cuanta varios factores tales como la geografía de mi país, inmensamente largo, pero muy angosto. En el norte tenemos estrechísimo contacto con Perú, y un poco mas restringido con Bolivia, en el centro y sur es Argentina con quién se realiza la mayor parte del intercambio en todo sentido, incluyendo el informático y por ende el de virus.
Otro detalle que puede mover a confusiones, es el hecho que los especímenes en su mayoría tiene varios nombres, aquí en general se usa mas el que viene de USA, de MC AFEE y Patricia Hoffman, (a veces tampoco coinciden entre ellos), pero algunos son conocidos también con la denominación europea, proveniente principalmente de CARO, (Computer, Anti Virus, Research Organization). Aquí trataremos de dar los alias mas comunes.
En este punto debemos hacer una reflexión acerca del curioso hecho que la producción argentina no haya traspasado las fronteras masivamente. Pese al estrecho vínculo que existe, hay sólo algunas referencias al Jerusalem Mendoza y últimamente al Xuxa, pero casi a nivel de rumor.
ANTECEDENTES HISTORICOS
Es imposible establecer con certeza las primeras apariciones verdaderas de virus en mi país. Las referencias en publicaciones comienzan a partir de 1987. Aparentemente los primeros especímenes en llegar fueron: BRAIN, CASCADA, PING PONG, JERUSALEM, y algún otro tal como el LEHIGH, aunque este no tuvo una presencia muy destacada.
Se escuchaban las cosas mas increíbles, que eran seres vivos, que al colocar un disco limpio, junto a uno infectado se podía producir la infección, que podían electrocutar al usuario a través del teclado, etc.
Luego de los primeros especímenes, comenzaron a llegar los primeros antivirus internacionales y algunos desarrollados por nuestra gente, lo que demuestra que el nivel de los profesionales chilenos siempre a estado al nivel de los acontecimientos.
Las primeras respuestas antivirus debemos recordar, estaban en general destinadas a limpiar y/o prevenir un sólo espécimen, en particular, luego apareció la "segunda generación" de antivirus que ya incluían la capacidad de detectar varios. Desde ese momento la situación comenzó a mejorar, la información fue llegando a tiempo y se comenzó a dar un fenómeno que aún se mantiene, por primera vez el remedio estaba, casi siempre, antes de la enfermedad. Claro, los antivirus, traían incluidos los últimos bichos internacionales aparecidos, y la mayoría de ellos tardaba en llegar bastante mas, esto salvo algunas excepciones, entre las que se encuentran obviamente nuestros dos bichos nacionales.
En cuanto a los factores de propagación parecen ser las instituciones de enseñanza, de todo nivel, las principales sospechosas, ya que la inevitable "promiscuidad" en que realizan sus actividades favorece este hecho.
¿Como evitar que los estudiantes, que practican y hacen sus tareas lleven sus discos infectados?. ¿Instalando TSRs vigilantes?, si muchos llevan sus propios Sistemas Operativos de arranque, con configuraciones personalizadas. Esto es algo que parece no tener remedio en ningún sitio del mundo. De todas maneras se reciben sugerencias.
Reiterando la extremada subjetividad de un tema como éste, y agregando el hecho que quien escribe, reside a 120 kms de la Capital, lo que también puede provocar alguna distorsión en la apreciación, podemos establecer el ranking del momento, en el muy aproximado siguiente orden:
TAMAÑO TAMAÑO FECHA DE NOMBRE INFECTA EN RAM EN ARCH. ATAQUE VARIOS
CHILE MEDIERA E/C/C.C 2000 1527 27/5-11/9-28/12 (VIVA, CPW2, MIERDA)
1575/1591 E/C/C.C 1840 1575/1591 ALEAT. (GREEN CATERPILLAR)
MICHELANGELO T/P BOOT 2048 --- 6 MARZO
DIR 2 E/C/C.C 1552 691-1024? SIEMPRE
Muy peligroso
JERUSALEM E/C 1808 1808-1813 VIERNES 13
STONED T/P BOOT 2048 --- ----- (MARIJUANA)
CPW E/C/C.C 2000 1459 27/5
SVC 2936 E/C 2960 2936 ----- (2936)
BLOOMINGTON BOOT 2048 ---- ----- (NoInt)
VACSINA E/C/O 1200 1206 -----
1554 E/C/C.C ¿? 1554 ----- (TEN BYTES).
AZUSA T/P BOOT 1024 -- ----- (HONG HONG)
ARMAGEDON C/C.C 1392 1079 ----- (ARMA)
DISK KILLER T/P BOOT ¿? ---- ----- (OGRE)
INVADER E/C BOOT 5120 4096 ----- Multipartito. *
QUICK T/P BOOT 1024 ---- ----- (BRASIL)
DARK AVENGER E/C/C.C/O ¿? 1800 ----- (EDDIE)
1530 ¿? C/E C.C 3696 1530 ----- Ver nota.
INACTIVOS. ¿?
----------
PING PONG (B) BOOT 2048 --- ----- (BOUNCING BALL)
CASCADA C 2064 1701-4 SEP. A OCT. (FALL, 1701, 1704)
BRAIN BOOT 3072 --- ----- (PAKISTANI, ASHAR)
MISTIC C/E/O ¿? 2859-73 ----- (LIBERTY)
NOTA. entre paréntesis algunos alias.
ABREVIATURAS
ARCHIVOS TIPO :
E = .EXE C = .COM C.C = COMMAND.COM O = .OVL
DISCO DURO.
T/P = TABLA DE PARTICION. BOOT = SECTOR 0.
MULTIPARTITO: Que infecta archivos y sectores de disco simultáneamente.
CPW Y CHILE MEDIERA. Las dos creaciones nacionales (no se puede dejar de sentir cierto orgullo), que analizamos en profundidad en el número anterior 10, desde el punto de vista técnico, debemos ahora insertarlas en el contexto de la fauna vírica general. CHILE MEDIERA pasó del anonimato total, al primer lugar del ranking en pocos meses. Mientras que con su hermano CPW ocurría casi lo contrario. Desde que tomó estado público, a fines del 92 se ubicó muy arriba, pero desde que CHME entró en competencia, a principios del 93, comenzó un franco proceso de retirada, hasta tal punto que me atrevería a aventurar que actualmente se encuentra casi en peligro de extinción, aunque pienso que ninguna entidad ecologista ni de ningún tipo mueva un solo dedo en su defensa. No deja de llamar la atención, puesto si bien es cierto el segundo (CHME) traían algunas mejoras con respecto al anterior, estas no eran tan importantes como para decidir la vida de uno y la muerte del otro.
Es mas, CPW tiene la ventaja que el SCAN no lo detecta, en ninguna versión (hasta la 109), sino que lo confunde con el 1530, no siendo capaz de limpiarlo, esto supone una gran handycap pero no se tradujo en una consolidación de su posición, es mas hoy podemos ya decirlo, el CHME, es claramente el primero del rankig, en STAND ALONE y lo mas peligroso también en redes.
1575/1591 También llamado GREEN CATERPILLAR, presente en todo el país, en sus versiones antiguas. Este es uno de los pocos virus que no es capaz de levantar el atributo de sólo lectura de los archivos. Es decir que un usuario cuidadoso, que mantenga todos sus .COM y .EXE en esa condición, está totalmente protegido de él, de otros pocos especímenes (LEHIGH) y de otras desgracias, tales como borrados accidentales, sobreescritura etc. Esto se logra fácilmente con los comandos :
C:]ATTRIB *.COM +R /S (RETURN)
C:]ATTRIB *.EXE +R /S (RETURN)
El modificador /S hace que el comando se interne en todo el árbol de sub directorios.
1530. Mención aparte merece el 1530, virus poco común, que data de 1991, y que aparece mencionado por casi todos los usuarios como muy recurrente, a partir de fines del 92. Pero lo que ocurre es lo siguiente, el primer virus chileno CPW, es confundido por el SCAN como el 1530, en todas sus versiones, y con el segundo virus nuestro (CH. MEDIERA) hasta la versión 105 también ocurre lo mismo. Dada la gran difusión del SCAN y de nuestros dos virus, prácticamente no hay equipo donde no se haya presentado esta confusión.
Pero del 1530 verdadero no tengo referencia cierta que esté presente en nuestro país, al menos en cantidades dignas de ser tomadas en cuenta. Incluso, el SCAN 108, que reconoce y limpia al CHME, bajo ciertas circunstancias también lo confunde con el 1530.
MICHELANGELO. Omnipresente en todo el país, en su versión original, afortunadamente ataca sólo los 6 de Marzo de cada año, o sus estragos serían enormes. A pesar de ser uno de los mas publicitados y conocidos, aún algunos incautos son sorprendidos por él, incluso algunas instituciones importantes. Durante todo el año se dedica a reproducirse y prepararse para la fecha antes indicada.
STONED. El SCAN hasta la versión 100 aproximadamente, alertaba la presencia del STONED en RAM, cuando era en realidad el MICHELANGELO.
Esto que no era una falla del programa (es muy largo para explicarlo aquí), se solucionaba agregando la opción /M, que hace que se busque en RAM, todos los virus que conoce y no solo los mas peligrosos. A partir de la versión señalada esta complicación desaparece, pero para todos los usuarios medios, que no tiene porque saber estas cosas, les quedó la sensación de haberse enfrentado con el STONED muchas veces, cuando en realidad era el MICHELANGELO. Teniendo en cuenta esta situación, es que me atrevo a aseverar que de cada 10 "apariciones" del STONED 7 o mas corresponden al MICH. el que entre paréntesis también es confundido por el FPROT, y por otro software, bajo condiciones parecidas. Las versiones del STONED que se hallan aquí, son principalmente la original, la III, y el NOINT o BLOOMINGTON. Son muy parecidas en todo, tanto que el SCAN las identifica a todas como STONED.
JERUSALEM. Uno de los decanos por acá, presente en las versiones original principalmente y B. A pesar que no hay antivirus que no lo detecte aún "pilla volando bajo" a algunos usuarios.
DIR 2. También búlgaro, data de 1991. Presente en el país aproximadamente desde mediados del 92, posee "cualidades" muy singulares de infección, ya que los archivos infectados no muestran alteración en su tamaño, a pesar de estar prácticamente destrozados. A veces un CHKDSK /F a un disco infectado, recupera algunos archivos, los que quedarán con algunos pocos bytes de mas, pero operativos.
SVC 2936. Este virus tiene el record de ser el que menos tiempo demoró en llegar a nuestro país, desde su descubrimiento, menos de cuatro meses, lo que plantea una nueva inquietud ante el futuro, si este período se sigue acortando. Al estar activo en RAM, oculta el incremento de los archivos infectados, está bastante difundido a pesar del corto tiempo que lleva entre nosotros. El SCAN lo identifica como el JUNE 1530 en archivos, pero el CLEAN lo remueve sólo con el código [2936]. Por el momento, ésta es la única forma de removerlo, ya que FPROT y DR SOLOMON sólo lo detectan, y para el resto de los A.V. simplemente no existe. A continuación entrego una cadena provisoria para su detección, la que hasta el momento no ha fallado, tanto en archivos como en RAM.
0B 9C 1E 06 50 53 51 52 57 56 72 3B
DARK AVENGER. Peligrosísimo engendro Búlgaro, creado en 1989. A pesar de su alta capacidad infecciosa, está aún muy poco difundido en Chile, es uno de los mas peligrosos del mundo.
INACTIVOS
Son especímenes que tuvieron una gran presencia en otras épocas y hoy solo se presentan en muy raras ocasiones, algunos se extinguen por razones de "selección natural", es decir porque no pudieron sobrevivir en la vida real, por los nuevos DOS, o por las nuevas configuraciones etc., otros como el CASCADA, estaba programado para activarse hasta el año 1988, el PING PONG trabaja sólo en equipos 8086 - 88 etc. Estos aún se hallan en algunos discos o subdirectorios olvidados.
OTROS DE MENOR PRESENCIA
Aparte de los incluidos en el cuadro, podemos citar algunos que registran apariciones muy puntuales, y sin absoluta seguridad, estos serían : XUXA, JERUSALEM MENDOZA, JOSHI, YANKI DOODLE, 4096, Y 512.
PARALELO ENTRE CHILE Y ARGENTINA
Tratando de hacer una comparación entre los diez bichos mas activos en ambos países, según este trabajo y lo publicado en los Nº 1 y 6 de V.R. nos encontramos con que los únicos comunes, son : STONED, MICHELANGELO, Y JERUSALEM. Si la extendemos a los 15 mas activos, se agregaría a estos, sólo uno mas : DISK KILLER. Es curioso que pese a la cercanía con Argentina tengan poca presencia allá, algunos tales como el 1575/1591 y el DIR II, que por acá figuran "bien colocados". Visto desde el otro punto de vista, llama la atención que de los que puntean en Argentina algunos tienen muy poca o ninguna presencia en Chile, tales como : 512, Telefónica, Form, 4096, etc.
Amador Ahumada Zuñiga es profesor y programador de Valparaíso-CHILE. Comenzó con el ya legendario ZX 81, actualmente dicta clases en el Instituto PROCAP y en ASICOM, siendo creador del primer curso de Control de Virus Computacional, aprobado por el Sence.
