Análisis de virus: virus chilenos por Amador Ahumada Zuñiga Analizamos los dos primeros virus chilenos, detectados en Chile y también en algunos puntos de Argentina cercanos a Chile, como Mendoza. A principios de 1993, abruptamente se nos rompe la provinciana tranquilidad informática, pues aparece en Valparaíso (Chile) un virus nuevo, que pasaba desapercibido para todos los antivirus, a excepción del SCAN (97), que lo identificaba como el 1530 (CB 1530) Para quiénes estamos preocupados del tema fue una novedad, ya que ese espécimen no tenía registradas apariciones en nuestro país, si bien era conocido internacionalmente desde 1991, siendo considerado como de una peligrosidad medio-alta. Investigando a fondo fui encontrando que la información existente no calzaba con las características que estaba presentando este supuesto "1530", especialmente los tamaños en RAM, en archivos y el hecho que éste infecta los .OVL, algo que no logré por más empeño que le puse, con el bicho nuevo. Después de muchos Análisis y pruebas llegué a la conclusión de que se trataba del primer virus "made in Chile", del que sólo se sabía el nombre, CPW y que se habría originado en la Serena. (Rev. Microbyte, nov. 1992) Los datos técnicos obtenidos, los entrego en el siguiente cuadro para mayor claridad: Nombre : CPW 1º detección : septiembre de 1992 tipo : de archivo infecta : exe, y com, incluido el command.com forma de infección : al ejecutarse archivos, y con algunas apertura de archivos; attrib, scaneos. tamaño en archivo : 1459 bytes (al final) tamaño en RAM : 2000 bytes ubicación en RAM : últimos 2 KB, bajo los 640 (9F83) lo elimina Ctrl-ALT-DEL : sí fecha de ataque : 27 de mayo tipo de ataque : escribe: ¡Feliz cumpleaños CPW! y traba el equipo. escribe: You are here CPW (raras veces) antivirus efectivo : Scan (McAfee) lo confunde con el 1530, pero no lo limpia, Dr. Solomon, última versión F-Prot 2.07 lo detecta y limpia Cadena para detectarlo : 46656C697A2063756D706C6561A46F7320435057 Observaciones : Borra los antivirus Scan y Clean (McAfee), al ser ejecutados, en cualquier fecha. Revisa espacio en disco antes de infectar. No cambia fecha ni hora de los archivos infectados. Controla algunos mensajes de error del DOS. Recomendaciones : Reemplazar los archivos infectados Renombrar los antivirus mencionados Fallas : Al intentar borrar ARCH. en discos protegidos contra ESCR. se queda leyendo indefinidamente. En un comienzo la situación fue compleja, ya que contábamos sólo con el SCAN, que sólo lo detectaba (como 1530), sin limpiarlo hasta que aparecieron los upgrades de los otros softwares. En la revista Microbyte nº 98 realicé el primer Análisis que se hizo de este espécimen. Chile Mediera: segundo virus chileno No acabábamos de reponernos de la sorpresa, cuando comenzamos a observar que aparentemente CPW se comportaba de una manera distinta, al principio supuse que se debería a la fecha, y que prepararía alguna fechoría, ya que a esa altura aún no se podía determinar con certeza los días de ataque. Pero no era CPW, sino que se trataba de su hermano menor, bautizado como Chile Mediera, (Chile Mierda), del mismo autor y de algunas características similares, pero de mucha mayor peligrosidad, como queda demostrado por el hecho que el CPW aparentemente se está extinguiendo, pues cada vez reporta menos apariciones, mientras que el Chile Mediera (CHME) tiene "vuelto loco a medio mundo" en mi país, dada una rara y peligrosísima característica que analizaremos al final. Su currículum es el siguiente: Apodos : CPW 2, CPW Viva Autor : El mismo del CPW Tipo : de archivo Infecta : Exe y com, incluído el command.com (sólo mayores de 10 kb.) Forma de infección al ejecutarse archivos, y con algunas apertura de archivos, Attrib, scaneos Tamaño de archivo :1527 bytes (al final) Tamaño de RAM : 2000 bytes Ubicación en RAM : últimos 2 kb bajo los 640 (9F83) Lo elim.Ctrl-Alt-Del :sí Fecha de ataque : 27 mayo, 11 septiembre, 28 diciembre Tipo de ataque : borra archivos, no siempre los ejecutados, y hasta de cuatro a la vez Mensaje en pantalla : Viva Chile mierda (rara veces) Antivirus efectivo : Scan hasta el 104 lo confunde con el 1530 en la RAM, y en archivos no lo detecta. Scan 106 sólo lo detecta. Scan 108 lo detecta y limpia. F-Prot 2.09. Dr. Solomon (última versión) Cadenas p/ detectar : 56495641204348494C45204D494552 (en RAM) 0681FA1B05752BB42CCD2180 (en archivos) Observaciones : Borra los siguientes programas antivirus al ser ejecutados, el Scan y el Clean, CPAV y VSAFE (Central Point), Checkvirus, Toolkit, Guard, Chklist.Cps, al copiarse y al ejecutarse el CPAV (renombrado) Revisa espacio en disco antes de infectar. No cambia de fecha ni hora de archivos infect. Controla algunos mensajes de error del DOS. Recomendaciones : Reemplazar todos los archivos infectados. Renombrar los antivirus mencionados. Fallas : Al intentar ejecutar Arch. en discos protegidos contra escritura se queda leyendo indefinidamente. Las diferencias con su hermano mayor son varias e importantes. Borra varios antivirus más que CPW. Tiene alguna forma de encriptamiento, pues al desplegarse en la RAM su código cambia con respecto al que presenta cuando está inactivo en un archivo, esto trae como complicación que para su detección a través de cadenas se deban ingresar dos, aunque cabe la posibilidad que se pueda hallar una que mantenga su estructura, pero eso implicaría un trabajo de chinos. Por esta razón los Scan hasta el 104 lo detectaban sólo en RAM, confundiéndolo nuevamente con el 1530, lo que explica el explosivo ritmo de propagación de éste, en comparación con CPW, que a pesar de ser más antiguo no ha prosperado mucho. Otra curiosidad: cuando termina la ejecución de algún programa que necesita cargar el Command.com, este siempre será buscado en la raíz, aunque la variable Comspec, esté definida por el usuario a otro lugar. Incluso normalmente después de ciertos comandos va deliberadamente a infectar el Command.com de C:. De esta forma se asegura que estará activo en memoria en cada arranque. Situación peligrosísima A mediados de mayo, se comenzaron a reportar con mayor frecuencia casos de discos duros en que absolutamente todos (o casi) los ejecutables estaban infectados con uno de los dos hermanos, cosa muy rara, pues los virus de archivos normalmente infectan al ejecutarse programas o al hacerse un DIR, lo que hace el proceso relativamente lento. Después de conversar con usuarios y operadores, analizar todas las posibilidades, y realizar innumerables pruebas comenzó a revelarse la explicación. Los dos virus chilenos, el CPW y el Chile Mediera, tienen una rara habilidad. Al estar activo en la RAM uno de ellos, es decir que si durante la sesión o el arranque se ejecutó algún archivo infectado; y se habrá algún archivo por cualquier razón éste será casi invariablemente infectado. Entendamos la gravedad de ésto, si Ud. da el comando: C:attrib *.* +r /s (return) todos o casi todos los .com y .exe de la unidad quedarán infectados con el virus que esté activo en RAM. ¿No me creen?, hagan la prueba, ¡pero con un diskette! por si acaso. Debe haber otros comandos del DOS, con los que esto también ocurra, estemos alertas. Pero la cosa no termina ahí, cuando un antivirus scanea en una unidad, debe abrir los archivos para realizar la operación, ¿qué creen que pasa si uno de los dos chilenitos está en RAM y el software no lo detecta?, lo mismo que en el caso anterior, se infectan todos los ejecutables, ¿que no me creen de nuevo?, vuelvan a hacer la prueba. (parte de esto apareció en Microbyte nº 100) Simplificando la cosa, si se realiza un scaneo con casi cualquier antivirus, dependiendo de algunas condiciones, todos, o casi todos los archivos investigados, se habrán infectado, así de simple. Si se escaneó todo el disco duro, todos los .com y .exe se habrán infectado. El autor de los virus, podría jactarse de que él programó así a sus creaturas, pero debo bajarle los humos de la cabeza, es una casualidad. Si él hubiera reparado en el hecho, no les hubiera ordenado borrar a los antivirus más comunes, pues habrían sido el mejor vehículo para expandir la infección a niveles increíbles. Más bien creo que fue un grave error el borrar antivirus, y que de paso alerta a los usuarios, que algo deberían sospechar al ver desaparecer metódicamente al software de sus amores. Temiendo que este fenómeno también suceda con otros especímenes aparte de los ya nombrados, efectúe tediosas pruebas con el 1575/1591, Jerusalem, cascade, y con el DIR 2, todos muy comunes en América, y los resultados fueron negativos, concluyentemente. Escarbando en mis archivos sólo he encontrado algunas características similares en los especímenes más peligrosos a nivel mundial, tales como el Dark Avenger, Taiwan 3, 4096 (Frodo), Holocausto y Whale. Algunos de estos infectan hasta con un Chkdsk, cosa que no pasa en nuestro caso. He podido determinar muchas variantes para el problema, dependiendo de algunos factores, principalmente del virus y del antivirus que se trate. Lo primero que queda claro es que el CPW es más peligroso que su hermano, (en éste aspecto puntual) pues no se le escapa prácticamente ningún archivo. Diría que su efectividad es del 98%. En el caso del Chile Mediera, pro razones de diseño no infecta los menores a 10 kb. y deja por causas no determinadas un porcentaje de alrededor del 10% del resto de los archivos, sin dañar. Esto hace que su performance se acerque aproximadamente a un 85% según lo almacenado en el disco. MSAV Para este antivirus, incluído en el MS DOS 6.0, ambos especímenes simplemente "no existen", por lo que un scaneo con uno de ellos activo en RAM es el fin de los ejecutables. Lamentablemente este producto no contiene la opción de búsqueda por cadenas externas, pues es una versión de batalla que la Central Point negoció con Microsoft. Ni tampoco parece preocuparle que el ejecutable principal haya sido incrementado, ni alterado. De los antivirus tratados es claramente el menos adecuado a la realidad nacional del momento, esperando que con la llegada de los Upgrades correspondientes esta debilidad se solucione CPAV Si se ejecuta (renombrado) este software, tampoco detecta a ambos hermanos. Por lo que una revisión del disco duro con una de ellos activo en RAM sería fatal. Afortunadamente éste sí posee la forma de ingresar las cadenas, lo que asegura su detección. Curiosamente este antivirus no es infectado por el CHME, incluso sin inmunización. Otro dato, el CHME borra los archivos de verificación CHKLIST.CPS al ejecutarse el CPAV y ¡al intentar copiarlos! NAV Abreviatura del Norton Anti Virus. El NAV.EXE, al ejecutarse es infectado por cualquiera de los virus si están en memoria, pero este producto tiene una característica muy positiva. Una de las primeras funciones que realiza es autochequearse, y si se detecta alterado (se le agregaron los bytes del virus) no permite completar la ejecución y vuelve al DOS. Por lo tanto con él no se podría realizar la infección masiva. Otro asunto es que, hasta la versión que conozco, no es capaz de identificar a ninguno de los virus chilenos ni en RAM ni en archivos, lo cual es una gran limitación, pero posee la opción de ingresar cadenas vía usuario. SCAN En el caso del popular SCAN la situación es bastante más compleja, pero también ocurre, aunque para ello se requiere de la conjunción de varias condiciones, las que son relativamente fáciles de conseguir. El SCAN posee la opción /NOMEN que se salta el chequeo de la RAM con lo que se acelera notablemente el trabajo al estar usándolo continuamente. Pero el uso de esta opción supone la certeza de trabajar en un ambiente absolutamente libre de virus, pues de activarse alguno, ya no nos será avisado, esto es advertido en las instrucciones, pero tal vez no con la suficiente fuerza. Existen muchos usuarios que han descubierto las "bondades" de /NOMEM pero no han reparado en las restricciones, y practican su uso indiscriminadamente. Relataré los hechos ordenados cronológicamente para mayor claridad: - El CPW o el Chile Mediera están residentes en RAM, o ambos. - Se ejecuta el SCAN, renombrado, o sino es borrado por el virus. Muchos usuarios han renombrado sus antivirus permanentemente, ante la amenaza de estos entes. - El SCAN se infecta inmediatamente por lo que al autochequearse, algo que hace siempre, detecta esa condición y nos avisa, preguntando si continúa o no. Normalmente si uno está al corriente de la situación, responde que sí a todas esas consultas. - Desde este momento la suerte de nuestro disco duro está echada, al ir revisando los archivos, los abrirá, se infectarán y después se hará el scaneo. Este es el único consuelo que nos queda, la infección se produce antes, por lo que nuestra pantalla se llenará de nombres de archivos infectados, deteniéndose cuando se completa, esperando que se pulse la barra espaciadora para continuar revisando e infectando. Se debe ser muy observador, demasiado quizás, la primera vez que esto ocurre para notar que los archivos que van a apareciendo son absolutamente todos los .com y los .exe en el mismo orden. Si se reparara en ello con pulsar control-pausa, se pararía el proceso pero no es fácil, lo digo por experiencia propia, y a mucha honra. - Existe una posibilidad agravante, si se agregó /NOPAUSE, que evita que se detenga el scaneo cuando se llena la pantalla de información, no habrá espera al llenarse ésta y el proceso ocurrirá más rápidamente. Amador Ahumada Zuñiga es profesor y programador de Valparaíso-CHILE. Comenzó con el ya legendario ZX 81, actualmente dicta clases en el Instituto PROCAP y en ASICOM, siendo creador del primer curso de Control de Virus Computacional, aprobado por el Sence.