Aquí también estamos

Glosario actualizado el

Virus informáticos con historia (listado)

Aquellos primeros virus que aparecieron sobrescritos en DOS y que entraban por la ranura de los disquetes han evolucionado pasando por distintas fases, desde los sigilosos que dormían en el sector de arranque y los polimorfos con aspectos cambiantes, hasta los autoenviables por correo electrónico (su principal vía de infección).
Entre los virus que durante 2001 consiguieron sus días de gloria aprovechando algún agujero o puerta trasera (backdoor) del sistema operativo, del navegador o del cliente de correo, cabe reseñar W32/Diesemboweler, Code Red, Nimda, Magistr.B y W32/Badtrans.B. Muchos de ellos, además, consiguieron mutar y reaparecer con nuevas fuerzas. Mientras, de los que empleaban la «desinteresada colaboración» del usuario a través de rudas técnicas de ingeniería social, destacan los nombres de Anna Kournikova, NakedWife.exe, HomePage, JenniferLopez_Naked, W32/SirCam y Sulfnbk.exe. Otra amenaza detectada fue el W32/Zoher@mm, con mensajes en italiano.
Por su parte, el 2002 se estrenó con el primer virus para Flash, tecnología tradicionalmente considerada segura: el SWF/LMF-926. Asimismo, la flamante plataforma para desarrolladores en Internet de Microsoft, .NET, ya conocía su primer adversario, W32/Donut, bastante inocuo, eso sí, pero que señalaba el camino a seguir.
Algunos de los códigos maliciosos que formaban parte del peculiar hit parade, que solían publicar periódicamente las casas de antivirus, han provocado epidemias de carácter explosivo, como el caso de Badtrans, para ir disminuyendo con el transcurso del tiempo. Sin embargo, otros como Hybris (el enanito sátiro) o MTX mantenían unas cifras casi constantes mes a mes, en lo que a frecuencia de aparición se refiere.
A continuación, un pequeño resumen, pero a la vez interesante lista de algunos de los virus mencionados (y otros que también han generado repercusión) ordenados por orden alfabético.

  • Anna Kournikova

    A principios del 2001, este desarrollo corrió como la pólvora. Simulaba ser una fotografía de la conocida tenista rusa, aunque realmente escondía un código en Visual Basic Script (VBS). Para evitar su identificación a primera vista, mandaba el adjunto «ANNAKOURNIKOVA.JPG.VBS» para aparecer como un simple archivo de imagen valiéndose de que, por defecto, Windows ocultaba la extensión en los nombres de ficheros conocidos. La misiva se acompañaba de una frase en inglés «Here you have» («Aquí tienes») seguida de un guiño de complicidad. Como ya venía siendo habitual, se redireccionaba a todos los contactos de la libreta de direcciones, borrándose después para no dejar huella. Como anécdota, valga decir que fue elaborado con uno de los múltiples creadores de virus automáticos que existían y el propio autor reconoció que no tenía ni idea de programación y que por eso había recurrido a un generador automático. De hecho, ni siquiera había modificado las cadenas que se insertaban en el registro, introduciéndose una que decía «Worm made with Vbswg 1.50b».
    En resumen, el Kournikova fue inocuo, pero con capacidad para propagarse de forma explosiva al emplear alusiones a contenidos sexuales más o menos explícitos. Con él, Naked Woman (que, aunque fuera la esposa anónima de alguien) provocaba daños y borraba archivos.

  • Apology

    Este agente, apareció en el año 2000 y había conseguido mantenerse en las primeras posiciones de la lista In the Wild. Su principal cualidad era que se trataba de una mezcla de gusanos y troyano, con características que se asemejaban a una puerta trasera (backdoor). Modificaba el archivo «wsock32.dll», encargado de las comunicaciones en Windows, para que, cada vez que se mandaba un correo, reenvíe otro a la misma dirección con el fichero infectado. Tenía un detalle curioso, y era que bloqueaba el acceso a las páginas web de ciertas compañías de antivirus; por ejemplo, denegaba la visita a los sitios que contengan palabras como nai, avp, AVP, F-Se, mapl, pand o soph, entre otros. También evitaba que se puedan dirigir correos a una lista de dominios predefinidos. Con esto, intentaba eludir que el usuario se ponga en contacto con las compañías de antivirus, de manera que no se puedan bajarse actualizaciones, solicitar ayuda por e-mail o informarse de problemas víricos. Así, se aseguraba una detección más tardía y dificultosa.
    Para acabar con él, dadas las modificaciones realizadas en el registro y en una serie de archivos, no bastaba con ejecutar un antivirus. Era necesario también arreglar a mano ciertos ficheros, aunque generalmente todas las compañías suministraban herramientas especiales para su desinfección.

  • BadTrans

    Si no se tenía actualizados Microsoft Internet Explorer y Outlook Express a las versiones 5.01 y la 5.5, se acusaba un grave agujero de seguridad por donde podía entrar este intruso. Una de sus características más peligrosas era que obviaba la intervención del usuario para lanzarse, bastando; con que se encontrara activa la vista previa de los documentos. Asimismo, era capaz de recopilar información de las contraseñas y mandarla después a una dirección determinada. La técnica utilizada para la captura de datos era curiosa, ya que hacía uso de otro troyano para sus propios fines, al cual identificaban algunas casas especializadas como un virus distinto.
    Probablemente, el autor no esperaba la enorme repercusión que tuvo, ya que de otra forma seguramente habría diseñado un sistema de recolección mucho más eficaz, con varias direcciones o utilizando diferentes métodos, como FTP o WebDAV, además del correo ordinario. Como la ponzoña provenía desde la propia dirección del usuario y utilizaba el mismo servidor SMTP, los destinatarios podían creer con facilidad que el emisor era una persona de confianza y llegar a activarla, aunque estén a salvo de la ejecución automática.

  • Bleah-b

    El virus, Bleah-b, fue originario de España donde se conoció con el nombre de Sevilla y tuvo una gran propagación durante los años 1998-99. Éste infectaba la Master Boot de los discos duros y los sectores de arranque de los disquetes. Entre sus características destacaba la aplicación de una técnica stealth, por la cual se situaba en memoria para interceptar una interrupción que le permitía mostrar un sector de arranque limpio en vez del infectado; de esta forma, intentaba protegerse contra los antivirus.

  • Code Red

    El gusano Code Red (Código Rojo) fue originalmente diseñado para extinguirse en un mes, pero comenzó a esparcirse de nuevo como resultado de ordenadores infectados que tenían errores en la fecha. Code Red no borraba o sobrescribía ficheros, pero gracias a su transmisión masiva a través de Internet, se alojaba en la memoria de forma que sí llegaba a bloquearlos. De esta forma, Code Red II se diseminó más rápido e instaló una puerta trasera (backdoor) en las máquinas que las dejaban vulnerables para futuras intrusiones informáticas.

  • CTX

    Conocido también como Dengue, fue un virus que poseía un motor polimórfico de múltiples capas que dificultaba enormemente su detección. Además, el número de capas de descifrado, al igual que la rutina, variaban aleatoriamente. Su modus operandi era hallar el archivo «explorer.exe» y modificar ciertas partes del mismo, instalándose después residente en memoria. A continuación, escaneaba todo el disco duro infectando los «.exe», «.scr» y «.cpl» que encontraba y borrando los archivos de firmas de varios antivirus. Para efectuar el contagio, utilizaba varias rutinas anti-debugging y una técnica llamada Entry Point Obscuring (EPO) que comprometía aún más la fiabilidad del antivirus.

  • Disemboweler

    También conocido como Magistr.A, fue un virus con el código malicioso que más problemas provocaba en los equipos afectados, ya que podía alterar incluso la CMOS.

  • FunLove

    Lo que dio alas a FunLove no fue una distribución que acompañaba a una revista o la publicación en foros de news, sino algunas actualizaciones de la mismísima Microsoft. Prácticamente todas las que se bajaron desde el 6 al 20 de abril del 2001 desde los sitios web de Microsoft Premium Support y Gold Certifies estaban infectadas y, en consecuencia, quienes confiaron ciegamente en ellos fueron contagiados.
    El veneno, residente en memoria, se ejecutaba cada vez que el sistema arrancaba. Adjuntaba al final de los archivos infectados (EXE, SCR y OCX) su cadena, modificando el Entry Point de la víctima para saltar a la sección vírica posteriormente. Era un problema porque, en sistemas derivados de NT, modificaba el archivo NTLDR para deshabilitar el control de accesos que daba NTOSKRNL. Con ello, lograba que, a partir del siguiente arranque, cualquier usuario que accedía al sistema tenía privilegios de administrador. Asimismo, mostraba un texto en pantalla ("Fun Loving Criminals"), reiniciando posteriormente el ordenador.

  • Hybris

    El Hybris, fue un incansable gusano, también conocido popularmente como «enanito», aludiendo a una versión muy poco ortodoxa del cuento de Blancanieves.

  • KAK

    He aquí un veterano que se mantuvo en las listas de los más reportados en el 2002. Su principio activo era parecido al que usaba uno de los primeros gusanos, el Bubbleboy. Estaba programado en Visual Basic, con lo que su modificación resultaba sencilla y, por ello, tenía determinadas variantes. Al igual que otros, se ejecutaba sin necesidad de que el usuario active nada, con lo que bastaba con la vista preliminar para conseguir una infección plena.
    A grandes rasgos, guardaba en el registro de Windows la información precisa para que los días 1 de cada mes se reiniciara el ordenador a las 5 en punto de la tarde. Al margen de esto, modificaba la configuración de Outlook para enviar el virus camuflado como firma digital con todos los mensajes de correo que salían.

  • Magistr

    Este gusano con capacidades polimórficas obtenía aleatoriamente, de forma parecida al SirCam, archivos con extensión WAB (Libreta de direcciones), DBX y MBX (bases de datos de mensajes), y enviaba correos a las listas de contactos con esos adjuntos. Era muy dañino, ya que eliminaba ficheros o sobrescribía su contenido con la cadena «YOUARESHIT» («Eres una caca», como se ve, nada diplomático). Los clientes de correo que utilizaba para buscar a sus futuros objetivos eran Outlook y Eudora.
    Un detalle a atender era que las rutinas de infección llevaban una codificación sencilla, a base de operaciones XOR. Éstas modificaban los ficheros que infectaban, de modo que sólo estaban operativos en el ordenador afectado, ya que para codificarlos utilizaban el nombre de la máquina en combinación con la función XOR. Hay que recordar que dos operaciones iguales XOR sobre una cadena de datos la dejan en su forma original. Era por ello que los archivos se podían codificar/descodificar sin problemas con la misma operación, lo que simplificaba ligeramente el código del virus. En un momento dado, al ejecutarse uno de sus múltiples payloads, insertaba un programa troyano en el sistema de arranque de los Windows basados en NT, NTLDR, y llenaba de basura el sector 1, cilindro 0 (cero), cabeza 0 (cero) del disco duro, siendo imposible que arranque posteriormente.

  • MTX

    El MTX, fue un polifacético virus/gusano/troyano que desde agosto de 2000 ha ido actualizándose adoptando un gran número de nombres atractivos.

  • Nimda

    Probablemente, éste haya sido uno de los ataques más conocidos y sufridos por los administradores de redes (nótese que su nombre es Admin al revés). El motivo es que, aparte de sus capacidades de infección, copiándose en todos los archivos que se vayan ejecutando, podía expandirse a través de una red de forma autónoma, lo que le concedía de una grandísima difusión. El virus Nimda se propagaba aprovechándose de las vulnerabilidades de aplicaciones de uso cotidiano como los navegadores, para autoejecutarse simplemente con la vista previa del mensaje de correo en el que llegaba incluido. De todas maneras, su frecuencia de contagio fue disminuyendo a medida que los usuarios ponían al día sus ordenadores.
    Este gusano intentaba explotar, entre otras, una debilidad conocida de los web servidores de Microsoft, los IIS, siendo su primera tarea lograr subir a la máquina víctima un archivo llamado «admin.dll» mediante TFTP. Después, modificaba las páginas web con el fin de que cualquier puesto que no estuviera actualizado quedaba inmediatamente infectado al acceder a cualquiera de ellas. También se reproducía a través del correo electrónico, adjuntando un archivo «readme.exe» que se mostraba como si fuese un mensaje de sonido. Así, el programa de correo interpretaba que era una secuencia de audio e intentaba reproducirla, por lo que entraba en funcionamiento nada más previsualizar el mensaje con el cliente Outlook, sin necesidad de ejecutarlo explícitamente Una vez que un servidor corporativo había sido contagiado, la limpieza era sencilla; aunque, salvaguardarlo de futuros ataques requería algo más de trabajo.
    Nimda creaba un usuario guest (invitado) y le daba privilegios de administrador. Seguidamente, compartía todo el disco C como C$, de manera que sea accesible a otros sistemas de la red y pueda copiarse mediante recursos compartidos. Para evitar este proceso, era preciso parchear el servidor adecuadamente, quitar el acceso a los recursos existentes y eliminar al guest.

  • Ramen

    Se reproducía en Linux aprovechándose de dos buffer overflows existentes por defecto en ciertas distribuciones. Era el caso de Red Hat 6.2, en la que explotaba un fallo en wu-ftp; o Red Hat 7.0, donde utilizaba otro desbordamiento en LPRng. Empleaba una técnica de banner grabbing (grabado de banners o del mensaje que se mostraba al conectarse vía Telnet) en los puertos de esas aplicaciones, de forma que buscaba datos concretos. Por ejemplo, al conectarse al puerto 21 del FTP comprobaba si la fecha estaba entre «Mon Feb 28» y «Wed Aug 9», guardando el resultado en cada caso para aprovecharse más adelante de una vulnerabilidad u otra.
    No era un método que pudiera ser considerado muy elegante, ya que no se podía difundir en sistemas que hayan sido recompilados o a los que se les haya cambiado el banner de bienvenida, pues no podía saber qué offset usar para abusar de la debilidad.
    El gusano instalaba una versión mínima de un servidor web para HTTP/0.9 en el puerto 27374, con el objeto de servir copias de sí mismo. Además, cerraba de una forma peculiar los servicios por los que había atacado. Eliminaba «rpc.statd» en Red Hat 6.2, y «lpd» en Red Hat 7.0. Igualmente, añadía una entrada en la ruta /etc/ftpusers con los nombres ftp y anonymous para que nadie lo descubriera. El motivo de introducir esos usuarios se debía a que el exploit empleado necesitaba un acceso anónimo para entrar y añadiéndolo ahí lo habilitaba permanentemente.

  • Sadmind

    La mayor peculiaridad de Sadmind era que arremetía contra sistemas Solaris y Windows. Se componía de varios archivos cogidos de diferentes sitios, puesto que no todo el código pertenecía a un solo autor, con lo que no estaba constituido por un único ejecutable. En Windows, se apoyaba en la conocida vulnerabilidad de Unicode que permitía ejecutar comandos en sistemas con el IIS (el servidor web de Microsoft) sin el correspondiente parche.
    De otro lado, para encontrar servidores Solaris frágiles, escaneaba de una forma aleatoria un rango entero de una clase B hasta que los localizaba. Es decir, por cada máquina infectada, el gusano escaneaba y buscaba en 65.534 equipos más (2 elevado a 16, menos la IP inicial y final). Esto nos daba una idea de su capacidad de multiplicación, ya que la progresión que seguía aseguraba una rápida difusión.

  • SirCam

    Programado en Delphi, recurría al correo para difundirse. Tuvo una enorme dispersión gracias al empleo de un lenguaje coloquial. Se presentaba en castellano o en inglés con una frase del tipo «Te mando este archivo para que me des tu punto de vista». SirCam, fue un gusano de correo electrónico que utilizaba la denominada «ingeniería social» para hacer picar al usuario desprevenido, lo que demostraba ser más persistentes que otros gusanos.
    La aplicación adjunta tenía una doble extensión para evitar que se viese la verdadera y provocar que los incautos pensaran que estaban ejecutando algo inocuo. Para añadir confusión, el archivo enviado era una copia aleatoria de uno de los de la Papelera de Reciclaje del equipo infectado. Su maniobra consistía en manipular varias entradas en el registro del sistema para contaminar todos los «.exe» que se ejecuten. Igualmente, realizaba una búsqueda en archivos HTM del disco duro para hallar direcciones válidas y autoenviarse a todas ellas.

  • Sulfnbk

    Pese a ser uno de los más divulgados, Sulfnbk era lo que se llama un hoax o falso veneno. Se trataba de mensajes de correo que alertaban de supuestos virus y su motor era la propia buena voluntad o la falta de información de los usuarios, que, al ver esa advertencia en sus buzones, la enviaban a toda su lista de contactos contribuyendo a difundir el pánico. La tónica general era simular que la noticia venía de una fuente autorizada (IBM, Microsoft, etc.) para darle más credibilidad, llegando a inventarse incluso detalles técnicos. Normalmente, sus efectos solían mostrarse como destructivos, incluso algunos afirmaban que podía dañar el hardware.
    De él se habló mucho en el 2001 y, aun así, a principios de enero del 2002 hubo un nuevo brote que disparó las alarmas. Concretamente, en el mensaje se explicaba que había aparecido un nuevo enemigo de acción retardada y no controlado por ningún antivirus. Además, añadía que, para comprobar si lo teníamos, no había más que buscar «sulfnbk.exe» en la ruta C:\Windows\command. Curiosamente, dicho fichero existía representado por un icono que difería del resto y que ayudaba a la creencia de que era un virus. Pero, al eliminarlo, el sistema operativo dejaba de funcionar correctamente.

  • Win32.maldal.A

    Al estar escrito en Visual Basic, para que surta efecto su acción dañina, era necesario que en el sistema estuviera presente la versión 6.0 de las librerías de este lenguaje de programación. Se propagaba vía correo electrónico, modificaba los archivos de comienzo del MIRC (el conocido programa de chat IRC) y creaba algunos VBS. Tenía características de gusano en cuanto al tipo de propagación que utilizaba. Además, para evitar que los receptores de un correo electrónico infectado sospechen, cambiaba el asunto del mensaje por una serie de cadenas predefinidas en inglés, como podían ser: «What women wants!» («¡Lo que las mujeres quieren!»), «I wish u like it» («Deseo que te guste»), «I have got this file for you» («Tengo este archivo para ti») o «Surprise!!!» («¡¡¡Sorpresa!!!»).
    Estos cebos tan atractivos, si venían de una persona fiable, podían incitar al usuario a ejecutar el adjunto, denominado «explorer.exe». En ese momento, buscaba en la Libreta de direcciones de Outlook y en las páginas web de la caché, los e-mails existentes para proceder a reenviarse a todos ellos. Asimismo, realizaba un borrado de los principales antivirus del mercado para evitar su detección posterior (aunque la persona afectada seguramente sospechaba en cuanto descubría que su protección había desaparecido misteriosamente). También eliminaba los ficheros que tengan unas extensiones determinadas, con lo que la gravedad de su actuación aumentaba.

Los virus informáticos reviven y se extienden a través de Internet de forma que se convierten en endémicos, pudiendo llegar a durar hasta tres años. Una vez que un número suficiente de virus tienen fácil acceso a una plataforma, no dejarán de aparecer otros similares, ya que la mayoría de los más famosos no sólo atacan, sino que se reproducen mutan y propagan.

Ver también

En el glosario: ActiveXAntivirusCódigo malignoCorreo electrónicoDoSGusanoHoaxMacroMalwarePayloadTroyanoVBSVirus.

Más contenido

Apartados: ¿Cómo optimizar y aumentar la velocidad de Internet?¿Cómo surge una idea?¿Existe la seguridad absoluta?Consejos en la ergonomía informáticaConsejos para aprender a programarEl auge de las redes socialesEn la búsqueda de archivos torrentsEntrevista laboral: cualquier cosa te llamamosHerramientas de respaldo y recuperación de archivos¿Se puede estar sin Internet?¿Seremos dependientes de la IA como lo somos de Internet?Una cursada diferente


Virus/gusanos: El origen de los virusCIHHappy99HybrisILoveYouLife StagesMelissaTimofónicaZippedFilesInfecciones vía correo electrónicoDistintas vías de infección


Historias: ¿Cómo surgió la imprenta?Acerca de paquetes ofimáticosEl CDEl MP3Evolución de la informáticaAppleGoogleLa evolución de los Disc JockeysLinux La lógicaMicrosoftNavegadores de InternetOrigen y evolución de InternetRedes neuronales artificialesSurgimiento de la criptografíaTarjetas gráficas


Videojuegos/consolas: Evolución de las consolasEvolución de los videojuegosInventores de videojuegosJugando con la XboxSimCityVideojuegos violentos