HISTORIA Y EVOLUCIÓN DE LOS VIRUS
ALBA Mª RAMÍREZ BASCÓN
1
ÍNDICE • Definición y métodos de propagación de los virus : Pág. 3 • Métodos de protección y tipos : Pág. 4 • Tipos de virus e imitaciones : Pág. 5 • Evolución de los virus : Pág. 6 • Peores virus de la historia : Pág. 7, 8 y 9 • Primer Troyano : Pág. 11 • Antivirus : Pág. 12, 13 y 14
2
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente en el ordenador, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un , aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Métodos de propagación Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una pista del problema y permitir la recuperación del mismo. Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:
3
• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto). • Ingeniería social, mensajes como ejecute este programa y gane un premio, o, más comunmente: Haz 2 clics y gana 2 tonos para móvil gratis.. • Entrada de información en discos de otros usuarios infectados. • Instalación de software modificado o de dudosa procedencia. En el sistema Windows puede darse el caso de que el ordenador pueda infectarse sin ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por virus como Blaster, Sasser y sus variantes por el simple hecho de estar la máquina conectada a una red o a Internet. Este tipo de virus aprovechan una vulnerabilidad de desbordamiento de búfer y puertos de red para infiltrarse y contagiar el equipo, causar inestabilidad en el sistema, mostrar mensajes de error, reenviarse a otras máquinas mediante la red local o Internet y hasta reiniciar el sistema, entre otros daños. En las últimas versiones de Windows 2000, XP y Server 2003 se ha corregido este problema en su mayoría.
Métodos de protección y tipos Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. Activos • Antivirus : son programas que tratan de descubrir las trazas que ha dejado un
software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la carpeta C:\Windows\%System32%\ en segunddo plano, ve que es comportamiento sospechoso, salta y avisa al usuario. • Filtros de ficheros : consiste en generar filtros de ficheros dañinos si el
ordenador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.
4
Pasivos • Evitar introducir a tu equipo medios de almacenamiento extraíbles que consideres que pudieran estar infectados con algún virus. • No instalar software "pirata". • Evitar descargar software de Internet. • No abrir mensajes provenientes de una dirección electrónica desconocida. • No aceptar emails de desconocidos. • Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg", tienen un ícono cuadrado blanco, con una línea azul en la parte superior. En realidad, no estamos en presencia de una foto, sino de una aplicación Windows (*.exe). Su verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe" no la vemos porque Windows tiene deshabilitada (por defecto) la visualización de las extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble click) en realidad estamos ejecutando el código de la misma, que corre bajo MSDOS.
Tipos de virus e imitaciones Existen diversos tipos de virus, varían según su función o la manera en que éste se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están: • Troyano : Consiste en robar información o alterar el sistema del hardware o en •
•
•
•
un caso extremo permite que un usuario externo pueda controlar el equipo. Gusano : Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario. Hoax : Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos. Joke : Al igual de los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a 5
errar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!
Evolución de los Virus Al igual que cualquier otra rama de la informática, los virus han evolucionado y mucho, a lo largo de los años. En esta serie nos ocuparemos de los orígenes, así como de la evolución, que los códigos maliciosos han experimentado desde su aparición hasta el momento actual. Haciendo un poco de historia, ya en 1949 el matemático John Von Neumann describió programas que se reproducían a sí mismos y que podrían asemejarse a los que hoy conocemos como virus informáticos. Pero hay que avanzar hasta los años 60 para encontrar el precursor de los virus actuales. Unos programadores desarrollaron un juego llamado Core Wars, que tenía la capacidad de reproducirse cada vez que se ejecutaba y podía llegar a saturar la memoria del equipo de otro jugador. Además, los propios creadores del curioso juego inventaron también el 6
primer antivirus, una aplicación llamada Reeper, que destruía las copias hechas por Core Wars. Pero no fue hasta 1983 cuando uno de aquellos programadores dio a conocer la existencia de Core Wars, cuyos detalles fueron publicados al año siguiente en una prestigiosa revista científica: ése sería el punto de partida para los que hoy conocemos como virus informáticos. En esa época, el sistema operativo que comenzaba a imponerse en todo el mundo era un jovencísimo MS DOS, con muchas posibilidades pero todavía con muchas carencias, motivadas tanto por desarrollos de software como por la inexistencia de muchos elementos hardware que hoy conocemos. Pero aún así, en 1986, el nuevo sistema operativo ya cuenta con un virus: Brain, un código malicioso originario de Pakistán que infecta los sectores de arranque de los discos de forma que impide acceder a su contenido. Ese mismo año aparece también el primer troyano en forma de una aplicación llamada PCWrite. Muy pronto, los autores de virus se dan cuenta de que infectar archivos puede causar aun más daño. Así, en 1987 aparece Suriv02, un virus que infectaba ficheros COM y que dio origen al famoso virus Jerusalem o Viernes 13. Pero lo peor aún estaba por llegar, y en 1988 hace su aparición el famoso “gusano de Morris” que llegó a infectar 6000 ordenadores. A partir de aquí, y hasta 1995, se van desarrollando los tipos de códigos maliciosos que hoy conocemos: aparecen los primeros virus de macro, los virus polimórficos… Algunos llegaron a causar epidemias como MichaelAngelo. Sin embargo, un acontecimiento cambió radicalmente el panorama vírico mundial, y fue el uso masivo de Internet y el correo electrónico. Poco a poco, los virus fueron adaptándose a la nueva situación hasta la aparición, en 1999, de Melissa, el primer código malicioso que provocó una epidemia a nivel mundial, y que inauguró una nueva era para los virus informáticos
7
Gráfica virus 2004
Peores virus de la historia 1. CREEPER (Principios de los 70): Creado por Robert Thomas Morris el virus Creeper atacaba los IBM 360 sacando en pantalla “I’m a creeper… catch me if you can!” (soy una enredadera, agárrenme si pueden). Fue detectado por Arpanet, la red militar norteamericana que con los años se convirtió en la actual Internet. Para eliminarlo se creo el programa Reaper que no era más que otro virus que también se extendía en las máquinas conectadas en red y cuando se encontraba con Creeper, lo eliminaba. 2. ELK CLONER (1985): El primero creado para ordenadores personales, más concretamente para sistemas Apple II. El virus Elk Cloner infectaba el sector de inicio por aquel entonces, los sistemas operativos se cargaban desde disquetes con lo que éstos se infectaban y el virus se iniciaba. Mostraba en pantalla textos borrosos, con algún mensaje bromista o imágenes rotando. THE PROGRAM WITH A PERSONALITY (Un programa con personalidad) IT WILL GET ON ALL YOUR DISKS (llegará a todos sus discos) IT WILL INFILTRATE YOUR CHIPS (se infiltrará en sus chips) YES, IT’S CLONER (Sí, es el CLONER) IT WILL STICK TO YOU LIKE GLUE (se le pegará como goma) 8
IT WILL MODIFY RAM, TOO (le modificará la memoria también) SEND IN THE CLONER! (¡Envíe el Cloner!) 3. El INTERNET WORM (1985): Escrito por una persona de la Universidad Cornell que paralizó Internet. 4. PAKISTANI BRAIN (1988): El primer virus que infectó el PC de IBM y fue escrito por dos hermanos de Pakistán. Este fue el primer virus que recibió amplia cobertura de los medios, aunque los virus ya se conocían en la ciencia ficción. 5. STONED (1989): Es el virus que más se propagó en la primera década de los virus. Stoned infectaba el sector de arranque/.mbr que contaba el número de reinicios desde la infección original y mostraba la frase “your computer is now stoned”.
6. JERUSALEM FAMILY (1990): Se contabilizaron casi cincuenta variables de este virus, que se cree salió de la Universidad de Jerusalén. 7. DARK AVENGER MUTATION ENGINE (1990): Fue escrito en 1988, pero se utilizó a principios de los noventa en virus como POGUE y COFFEESHOP. Este Motor de Mutación fue el primer Polimorfo real que se usó a nivel masivo y cambió para siempre la forma en que funcionan los virus. 8. MICHEANGELO (1992): Una variante de STONED, con una carga destructiva. El 6 de marzo, este virus borró los primeros 100 sectores de un disco duro, dejándolo inútil. Provocó uno de los primeros pánicos mediáticos alrededor de los virus de equipos informáticos. 9. WORLD CONCEPT (1995): El primer macro virus para Microsoft Word. Word Concept escribía la frase, “That’s enough to prove my point”. Inició la segunda era de los virus y fue importante en el sentido de que llevó los virus a un nivel de hackers mucho menos avanzado. 10. CIH/CHERNOBYL (1998): El virus Chernobyl fue el virus más destructivo, al menos hasta la fecha. Atacando los días 26 de cada mes (dependiendo de la versión involucrada), borraba el disco duro, y eliminaba el flash ROM BIOS de la computadora en cuestión. Chen IngHou, fue el creador del virus CIH.
9
Características: El CIH está programado para activarse el 26 de Abril (aniversario del accidente en Chernobyl). Algunas variantes de este virus se activarán el 26 de Junio y la versión 1.4 lo hará el dia 26 de cualquier mes. Este virus infectaba los archivos ejecutables de Windows®95/98 (archivos .EXE) Su código viral se integra como parte del archivo EXE ocupando un espacio no usado para de este modo evitar su detección. Trabaja bajo la modalidad de “disparo”, que le permite no evidenciarse hasta que se activa en la fecha indicada. El virus CIH destruye archivos en el disco duro y la memoria del BIOS en computadoras que cuentan con un Flash BIOS con capacidad de ser actualizable y que que se encuentre configurado como writeenabled. 11. MELISSA (1999): Es el primer virus que se propagó vía correo electrónico y realmente marcó el inicio de la era de los virus de Internet. El devastador virus Melissa combinó virus y gusanos para propagarse e infectar a millones de usuarios. Si bien Melissa no fue destructivo, sí se replicaba y saturaba los buzones de correo a dondequiera que llegaba. 12. LOVEBUG (2001): Es el gusano para correo electrónico más popular, motivado únicamente por la ingeniería social. Es un excelente ejemplo de esta técnica, que invitaba a las víctimas a abrir el archivo adjunto con la promesa de una carta de amor. El virus se propagó rápidamente por todo el mundo, provocando fallos en el correo electrónico y pérdidas a las compañías por varios miles de millones de dólares. 13. Code RED (2001): Bautizado con el nombre de un popular refresco, este virus de red se propagaba sin necesidad de un correo electrónico o una página web. Localizaba ordenadores vulnerables y los infectaba por sí mismo. Infectó casi 400.000 páginas web. 14. NIMDA (2001): Llamado la “Navaja Suiza” de los virus, usaba la saturación del buffer, el correo electrónico, particiones de redes y diez métodos más para entrar a una red. 15. BAGEL/NETSKY (2004): Fueron virus diseñados para demostrar una competencia falsa, o una guerra entre sí. Con cientos de versiones cada uno y varias cantidades de nueva tecnología y 10
éxito, estos dos gusanos coparon las noticias virtualmente todo el año. 16. BOTNETS (2004): Estos guerreros zombis de Internet ofrecen a los criminales electrónicos una colección infinita de equipos infectados que pueden reconfigurarse en redes para enviar spam, infectar a nuevas personas, robar datos, etc. 17. ZOTOB (2005): Este gusano sólo afectó a sistemas Windows 2000 que no estaban actualizados, pero logró dejar operativos a medios importantes, incluyendo la CNN y el New York Times. 18. ROOTKITS (2005): Se han convertido en una de las herramientas más populares en el mundo del código malicioso. Se usa para hacer invisible a otros códigos maliciosos alterando el sistema operativo. 19. STORM WORM (2007): El virus pasó por miles de versiones, creando eventualmente la botnet más grande del mundo. En un momento se creyó que más de 15 millones de equipos fueron infectados al mismo tiempo, y que estaban bajo el control de los criminales. 20. ITALIAN JOB (2007): En lugar de una sola pieza de código malicioso, Italian Job fue un ataque coordinado que utilizaba un kit de herramientas preempaquetado conocido como MPACK. Corrompió a más de 10.000 sitios web, haciéndolos que implantaran el moderno Data Stealing Malware.
Primer Troyano En los primeros tiempos de la informática personal, los ordenadores susceptibles de contener información de “riesgo”, como por ejemplo, un número de tarjeta de crédito o cualquier otro dato de esta índole eran muy pocos, restringidos sobre todo a los de empresas importantes que ya habían dado el paso de incorporar la informática a sus rutinas de trabajo. En cualquier caso, aunque ese tipo de información se encontrase almacenada en una máquina, no corría demasiado peligro, a no ser que se hallase conectada a una 11
red a través de la cual poder transmitirla. Por supuesto, hubo excepciones y se dieron casos de hackers que llegaron a realizar estafas a partir de datos almacenados en sistemas informáticos. Sin embargo, lo consiguieron mediante técnicas típicas de ataques hacker, sin emplear ningún tipo de virus. La aparición de Internet motivó un cambio de objetivo de los creadores de virus que, a partir de entonces, intentaron infectar el máximo número de ordenadores en el menor tiempo posible. Por su parte, la aparición de los servicios asociados a Internet como la banca electrónica, o las compras online conllevó otro cambio. Algunos autores de virus no los creaban con el ánimo de infectar muchos equipos, sino para robar los datos confidenciales asociados a dichos servicios y obtener un beneficio económico personal. Evidentemente, para alcanzar dicho objetivo necesitaban virus que infectasen muchos equipos de forma silenciosa. Pero no tuvieron que trabajar demasiado, ya que la respuesta estaba en un código malicioso aparecido en 1986, al que se denominó genéricamente “caballo de troya”, o más comúnmente “troyano”. Concretamente, llevaba por nombre PCWrite y se presentaba como una supuesta versión shareware de un procesador de textos. Si era ejecutado, un procesador de textos funcional se presentaba en pantalla. El problema era que, al tiempo que el usuario escribía, el troyano se encargaba de borrar y corromper archivos del disco duro. A partir de PCWrite, este tipo de código malicioso evolucionó rápidamente convirtiéndose en los troyanos que hoy conocemos. Por eso, en la actualidad, muchos de los creadores de troyanos diseñados para robar datos no son autores de virus propiamente dichos, sino simples ladrones que en lugar de utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos de ello, pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger.
Antivirus
Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informáticos. Nacieron durante la década de 1980. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces 12
de reconocer otros tipos de malware, como spyware, rootkits, etc.
Funcionamiento El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como heurística, HIPS, etc. Usualmente, un antivirus tiene uno o varios componentes residentes en memoria que se encargan de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso. Asimismo, cuentan con un componente de análisis bajo demanda (los conocidos scanners, exploradores, etc.) y módulos de protección de correo electrónico, Internet, etc. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. Actualmente hay una gran variedad de antivirus, pero no todos se asemejan al pretendido por todos: un antivirus eficaz en todos los sentidos.
Daños y perjuicios Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como pérdida de productividad, baja en el rendimiento del equipo, cortes en los sistemas de información o daños a nivel de datos. Otra de las características es la posibilidad que tienen de ir replicándose en otras partes del sistema de información. Las redes, en la actualidad, ayudan a dicha propagación. Los daños que los virus causan a los sistemas informáticos son: • Pérdida de información (evaluable y actuable según el caso). • Horas de contención (técnicos de SI, horas de paradas productivas, pérdida productiva, tiempos de contención o reinstalación, cuantificables según el caso y horas de asesoría externa). • Pérdida de imagen (valor no cuantificable). 13
Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil cuantificar en una primera valoración lo que puede costar una intervención.
Métodos de contagio Existen dos grandes grupos de propagación: los virus cuya instalación el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso actúa replicándose a través de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo. Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes: • Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto). • Ingeniería social, mensajes como: «Ejecute este programa y gane un premio». • Entrada de información en discos de otros usuarios infectados. • Instalación de software que pueda contener uno o varios programas maliciosos. • Unidades extraíbles de almacenamiento (USB).
Seguridad y métodos de protección Existen numerosos medios para combatir el problema; Sin embargo, a medida que nuevos programas y sistemas operativos se introducen en el mercado, más difícil es tener controlados a todos y más sencillo va a ser que a alguien se le ocurran nuevas formas de infectar sistemas. Ante este tipo de problemas, están los softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso para detectarlo o eliminarlo, y en algunos casos contener o parar la contaminación (cuarentena). Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
Antivirus (activo) Estos programas, como se ha mencionado, tratan de encontrar la traza de los programas maliciosos mientras el sistema esté funcionando. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Como programa que esté continuamente funcionando, el antivirus tiene un efecto 14
adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además, dado que están continuamente comprobando la memoria de la máquina, dar más memoria al sistema no mejora las prestaciones del mismo. Otro efecto adverso son los falsos positivos; es decir, notificar al usuario de posibles incidencias en la seguridad. De esta manera, el antivirus funcionando da una sensación de falsa seguridad.
15