Software malicioso que pasó a la historia. Parte III

El tema del arte puede ser una imagen, escultura, poema, sinfonía e incluso un virus informático, por extraño que parezca. Desafortunadamente, la creación de virus en estos días está llena de ganancias de su creación o que causa daño a otros. Sin embargo, en los albores de la tecnología informática, los escritores de virus eran verdaderos artistas, cuyos colores eran piezas de código, hábilmente mezclados, se convirtieron en una obra maestra. Y su objetivo no era ofender a alguien sino declararse, demostrar su ingenio e ingenio y, a veces, simplemente divertir a la gente. Hoy continuaremos conociendo varias creaciones de escritores de virus, que de una forma u otra merecen nuestra atención. (Si desea familiarizarse con las partes anteriores, aquí están los enlaces: Parte I y Parte II )

Tenedor bomba (Todo lo ingenioso es simple) - 1969

Fork bomb no es un virus o gusano separado, sino una familia de malware extremadamente simple. La estructura del código de la bomba Fork puede constar de solo 5 líneas. El uso de algunos idiomas para escribir este tipo de malware elimina la necesidad de utilizar dos puntos, paréntesis y, a veces, todos los caracteres alfanuméricos.

Hay una bomba Fork de una manera muy simple: para empezar, el programa se carga en la memoria, donde crea varias copias de sí mismo (generalmente dos). Además, cada una de estas copias crea tantas copias como el original, y así sucesivamente hasta que la memoria esté completamente llena, lo que conduce a un bloqueo del sistema. Dependiendo del dispositivo, este proceso lleva de unos pocos segundos a varias horas.

Uno de los primeros casos registrados de la bomba Fork es su aparición en la computadora Burroughs 5500 de la Universidad de Washington en 1969. Este malware se llamaba CONEJOS. En 1972, el escritor de virus Q The Misanthrope creó un programa similar en BASIC. Es curioso que en este momento el autor estuviera en séptimo grado. También hubo un caso en una compañía desconocida, en 1973, cuando su IBM 360 fue infectado con el programa conejo. Como resultado, un joven empleado acusado de propagar el virus fue despedido.

Cascada (cayendo) - 1987

Uno de los virus más divertidos de su tiempo. ¿Por qué nos enteramos más?

Cuando el virus ingresó al sistema y se activó, primero verificó la presencia de la línea "COPR". IBM ". Si hubiera uno, el virus debería haberse detenido y NO infectar esta máquina, pero debido a un error en el código del virus, la infección se produjo de todos modos. A continuación, Cascade se convirtió en residente en la memoria. El virus infectó cualquier archivo .com cuando se lanzó este último. Cascade reemplazó los primeros 3 bytes del archivo con un código que condujo al código del virus.

Y ahora por los resultados del virus. Entraron en vigencia si el archivo infectado se lanzó del 1 de octubre al 31 de diciembre de 1988. Todos los personajes en la pantalla de DOS simplemente comenzaron a caer al azar, literalmente, por la pantalla. Es por eso que el virus se llamó Cascade (cascada). A veces, al mismo tiempo, se reproducían algunos sonidos.

Después de extenderse por todo el mundo, aparecieron muchas variantes de Cascade, alrededor de 40. Algunas de ellas fueron creadas por el autor anterior con la esperanza de corregir un error al reconocer los derechos de autor de IBM, sin embargo, estas variantes de virus continuaron infectando con éxito los sistemas gigantes de la computadora. Otras opciones en lugar de una cascada de caracteres llevaron a formatear los discos duros o simplemente contenían algún tipo de mensaje. En cualquier caso, era el virus Cascade original que muchos recordaban.

Es curioso que el autor haya tratado de evitar infectar las computadoras de IBM, pero al mismo tiempo no solo estaban infectadas, sino que toda la oficina en Bélgica fue una víctima. Como resultado, IBM lanzó su antivirus al público, que anteriormente solo se había utilizado dentro de la compañía.

No se sabe nada sobre el origen del virus y su autor. Se especula que Cascade fue escrito por alguien de Alemania o Suiza.

Eddie (santificado sea tu nombre) - 1988

Uno de los primeros virus búlgaros y la primera creación de Dark Avenger, que se hizo extremadamente famoso gracias no solo a sus virus, sino también al llamado Motor de mutación Dark Avenger (sobre esto un poco más tarde). Dark Avenger nombró a su virus en honor al símbolo del grupo Iron Maiden, un esqueleto llamado Eddie.

Después de ingresar a la computadora, el virus se convirtió en residente de la memoria. Las víctimas de la infección fueron archivos .com y .exe. Al mismo tiempo, no había necesidad de ejecutar estos programas para la infección, era suficiente simplemente leerlos (copiar, mover, verificar el contenido del archivo). También había una posibilidad de infección por el software antivirus, lo que podría provocar la infección de cualquier archivo escaneado por este software. Después de cada 16a infección, el virus reescribió un sector aleatorio.


Quién es el autor de algunos de ellos aún se desconoce. Opciones de Eddie que salen de la pluma Dark Avenger:

• Eddie.V2000 - contenía los siguientes "mensajes": "Copiarme - Quiero viajar"; "© 1989 por Vesselin Bontchev."; "Solo los buenos mueren jóvenes ..."
• Eddie.V2100 - contenía las palabras "Eddie vive" y, si había un virus Anthrax en el último sector del disco, lo transfirió a la tabla de partición, restaurando así el virus.

Durante mucho tiempo, Eddie mantuvo el estado del virus Volgar más común, mientras que se registró en Alemania Occidental, Estados Unidos y la URSS.

Papá Noel (Ho-ho-ho) - 1988

Poco antes de Navidad (católica) en 1988, el gusano Papá Noel comenzó su viaje a través de DECnet (una versión temprana de Internet, digamos que sí). El lugar de nacimiento del gusano se considera la Universidad de Neuchâtel en Suiza.

El archivo HI.COM actuó como un gusano, que se copió de un nodo DECnet a otro. Luego trató de iniciarse utilizando el objeto de tarea 0 (un programa que le permite realizar acciones entre dos computadoras conectadas) o mediante un inicio de sesión y contraseña de DECnet. Si el lanzamiento falla, el gusano elimina su archivo HI.COM del sistema de la víctima. Si tiene éxito, el gusano se carga en la memoria, después de lo cual utiliza el proceso MAIL_178DC para eliminar el archivo HI.COM. El gusano luego envía el banner SYS $ ANNOUNCE a 20597 :: PHSOLIDE, luego de lo cual verifica el reloj del sistema. Si el tiempo de infección cae entre las 00:00 y las 00:30 el 24/12/1988, el gusano crea una lista de todos los usuarios del sistema y les envía sus copias. Si la infección ocurrió después de las 00:30 de la fecha anterior, entonces el gusano simplemente dejó de estar activo.

En busca de una nueva víctima, el gusano generó aleatoriamente un número que oscilaba entre 0 y 63 * 1024. Cuando se encontró el número apropiado, copió el archivo HI.COM al agua de la víctima. Después de las 00:00 del 24/12/1988, la distribución no tuvo lugar.

Papá Noel también mostró un mensaje (muy amable, si puedo decirlo sobre malware, personaje):

"De: NODE :: Papá Noel 24-DIC-1988 00:00
Para: usted ...
Subj: Tarjeta de Navidad.

Hola

Como estas Me costó mucho preparar todos los regalos. Se
No es un trabajo fácil. Recibo más y más cartas de
los niños cada año y no es tan fácil tener el terrible
Rambo-Guns, tanques y naves espaciales aquí en el
Northpole Pero ahora viene lo bueno. Distribuyendo todo
Los regalos con mi trineo y los venados es muy divertido. Cuando yo
Me deslizo por las chimeneas. A menudo encuentro un pequeño regalo ofrecido por
los niños, o incluso un poco de brandy del padre. (Si!)
De todos modos, las chimeneas se vuelven cada vez más apretadas
año Creo que tendré que poner mi dieta de nuevo. Y despues

Navidad tengo mis grandes vacaciones :-).

¡Ahora deja de computar y pasa un buen rato en casa!

Feliz navidad
y un feliz año nuevo

Tu Papá Noel »

Papá Noel no se convirtió en un conquistador del mundo, infectó solo 6,000 máquinas, y solo el 2% de ellas activó el gusano. Sin embargo, hay un hecho curioso: un gusano de Suiza llegó al Centro de Vuelo Espacial Goddard en un suburbio de Washington en solo 8 minutos.

El creador de un gusano tan inusual y cronológicamente unido nunca fue encontrado. Solo se sabe que se utilizó una computadora de la universidad, a la que mucha gente tenía acceso.

Islandés (Eyjafjallajökull) - 1989

El primer virus que infectó solo un archivo .exe en un sistema DOS. Lugar de nacimiento - Islandia.

Icelandic llegó a la computadora en forma de un archivo .exe, en el inicio del cual el virus se comprobó por sí mismo en la memoria del sistema. Si no había una copia, el virus se convirtió en residente. También modificó algunos bloques de memoria para ocultar su presencia. Esto podría provocar un bloqueo del sistema si el programa intentara escribir en estos mismos bloques. Luego, el virus infecta cada décimo archivo ejecutable, agregando su propio código al final de cada uno. Si el archivo fuera de solo lectura, Icelandic eliminaría su código.

Si la computadora usaba discos duros de más de 10 megabytes, el virus seleccionaba el área FAT que no se usaba y la marcaba como dañada. Esta operación se realizaba cada vez que se infectaba un nuevo archivo.

También había varias variedades de islandés, que diferían entre sí en algunas funciones y propiedades:

• Icelandic.632: infecta cada tercer programa. Marcado como un clúster roto en el disco, si tenía más de 20 megabytes;
• Icelandic.B - se mejoró para complicar la detección por parte de algunos antivirus; no realizó ninguna otra acción que no sea la distribución;
• Icelandic.Jol es una sub-variante de Icelandic.B, que mostró un mensaje en el islandés Gledileg jol (Feliz Navidad) el 24 de diciembre;
• Icelandic.Mix1: descubierto por primera vez en Israel, causó distorsión de los caracteres al transmitirlos a dispositivos en serie (por ejemplo, impresoras);
• Icelandic.Saratoga: con un 50% de probabilidad de que haya infectado un archivo en ejecución.

Diamante (brilla como un diamante) - 1989

Otro virus de Bulgaria. Se supone que su autor es Dark Avenger, ya que este virus tiene mucho en común con su primera creación, Eddie.

Cuando se lanzó un programa infectado, el virus penetró en la memoria, ocupando 1072 bytes. El virus verificó los programas que tenían interrupciones en los monitores 1 o 3. Si hubo alguno, esta verificación provocó que el sistema se congelara y el virus ya no pudiera replicarse. En caso de que no hubiera tales programas, Diamond se unió a cualquier programa en ejecución que pesara menos de 1024 bytes. Durante el proceso de infección, el virus evitó el archivo COMMAND.COM. También en el virus en sí, fue posible detectar una línea que facilita su identificación: "7106286813".

Diamond se convirtió en el progenitor de varias de sus variantes, que diferían en el tipo de efecto sobre el sistema infectado y el método de propagación e infección:

Roca estable

Un virus de 666 bytes que no se convirtió en residente de memoria si la infección se produjo el 13 de cualquier mes. En cambio, formateó los primeros 1 a 10 sectores en el primer disco duro. Después de eso, sobrescribo los primeros 32 sectores de la unidad C: con datos basura y reinicié el sistema. Fue descubierto por primera vez en Montreal (Canadá).

Muy curiosa fue la forma en que el archivo fue infectado. Para empezar, Rock Steady verificó el "peso" del archivo: menos de 666 bytes (para cualquier formato) y más de 64358 bytes (para archivos .com). Luego, el virus verificó si los nombres de los archivos comienzan con las letras "MZ" y "ZM", después de lo cual los cambiaron de "ZM" a "MZ" y viceversa. El virus también cambió el valor a 60 y eliminó su "peso" de 666 bytes del tamaño del archivo infectado.

David

Quizás vino de Italia. Fue visto por primera vez en mayo de 1991. La primera versión de este virus no podía infectar archivos .exe, pero su sub versión, lanzada en octubre de 1992, ya tenía esta posibilidad. Condujo a un bloqueo frecuente del sistema cuando se ejecutó el archivo .com, mientras que durante la infección el virus no evitó el archivo COMMAND.COM, como lo hizo el original. Si el archivo .exe infectado se lanzó el martes, el virus formateó los discos. También se muestra en la pantalla una pelota de ping-pong que salta y un mensaje como el siguiente:

© David Grant Virus Research 1991 PCVRF Distribuir este virus
libremente !!! ... ah ... John ... ¡que te jodan!

Daño

Existe la opinión de que este virus fue creado por quien escribió a David, ya que el daño también se encontró en mayo de 1991, también en Italia. El virus infectó el archivo, cuyo tamaño superó los 1000 bytes, sin evitar el archivo COMMAND.COM. Si el reloj del sistema mostraba las 14:59:53, aparecía un diamante multicolor en la pantalla, que se dividía en diamantes más pequeños, lo que eliminaba los caracteres de la pantalla. Las frases "Daño" (por lo que obtuvo su nombre) y "¡Salta de alegría!" Se encontraron en el código del virus.

Lucifer

Otro virus de Italia, descubierto en mayo de 1991. El archivo infectó más de 2 kilobytes, incluido COMMAND.COM. Si la marca de tiempo del archivo era 12:00 antes de la infección, el virus desaparece después de la infección.

Greemlin

Oh, esta Italia, oh, este mayo de 1991. Este virus también es de allí. Se ralentizó mucho el sistema (aproximadamente un 10%). El 14 de julio de cualquier año, reescribí algunos sectores de las unidades A:, B: y C:.

Había varias otras opciones, pero su característica principal era que no verificaban la disponibilidad de sus copias en los archivos de la víctima, lo que condujo a la reinfección de este último.

Alabama (batidos de Alabama) - 1989

Un virus bajo el sistema DOS que infectó archivos .exe. Cuando se activó un archivo infectado, el virus se convirtió en residente de memoria. Sin embargo, a diferencia de otros virus residentes, Alabama no infectó el archivo cuando se ejecutó. El virus buscó un archivo de infección en este directorio y, si no funcionaba, solo cambió al método de infección de los archivos activados. Además, el viernes, en lugar de infectar archivos, el virus abrió un archivo arbitrario en lugar de lo que el usuario quería abrir. Alabama mostró un texto parpadeante en la pantalla una hora después de la infección del sistema:

COPIAS DE SOFTWARE PROHIBIDAS POR LA LEY INTERNACIONAL ...
Box 1055 Tuscambia ALABAMA USA.

Motor de mutación Dark Avenger (DAME) - 1991

Este no es un virus, pero este módulo creó un cierto Dark Avenger, que mencionamos anteriormente, extremadamente famoso.

Cuando un virus que usaba DAME infectaba un archivo, el ransomware daba el código del virus como basura. Y cuando se abrió el archivo, el decodificador devolvió el código del virus a su forma de trabajo anterior.

Dark Avenger también agregó un archivo que contiene un módulo separado para generar números aleatorios, lo que, cuando se usó, ayudó a la propagación del virus.

Gracias al módulo DAME, se ha vuelto mucho más fácil para los escritores de virus crear virus polimórficos, a pesar de la complejidad de implementar el módulo en el código del virus original. Además, el uso del módulo permitió crear muchas variantes del mismo virus. Según los investigadores de malware, a fines de 1992, había alrededor de 900,000 variedades de variantes de virus que usaban DAME.

Nave espacial (de vuelta en la URSS) - 1991

Entonces llegamos a nuestra tierra natal. El virus Starship fue creado en la URSS. Pero sus rasgos distintivos no terminan ahí.

Muy complicado, a la vez, e inusual fue el método de infección con el virus Starship. Este virus infecta archivos como .com y .exe. Cuando se abrieron estos archivos, Starship infectó el registro maestro de arranque. Al mismo tiempo, el virus no se convirtió en residente de memoria y no infectó otros archivos .com y / o .exe. Starship modificó tres bytes en tablas de datos particionados e inyectó su código en 6 sectores consecutivos de la última pista del disco duro.

Starship también rastreó cuántas veces la computadora arrancó. Cuando esto sucedió, el virus se cargó en la memoria de video, donde fue descifrado (en otras palabras, desplegado). Mientras estaba en la memoria de video, el virus violó las interrupciones para evitar que se volviera a escribir en el disco duro y esperó la finalización del primer programa al que llegó. Cuando esto sucedió, el virus se trasladó a la memoria principal, donde ocupó 2688 bytes.

Starship luego infectó los archivos .com y .exe en las unidades A: y B:. Al mismo tiempo, agregó su código dentro del archivo solo después de que se cerró, lo que complica la detección.

El resultado del virus fue visible después de 80 descargas de computadora. Para los sonidos melódicos en la pantalla, se mostraban píxeles de colores, cada uno de los cuales denotaba una de las conexiones a los discos.

Groove ("Cuando tienes un ritmo, el tiempo vuela") - 1992

Y aquí está solo el virus que utilizó la creación Dark Avenger DAME para el cifrado (párrafo 8). Groove fue el primer virus en utilizar el módulo mencionado anteriormente para infectar archivos .exe. La patria de este software malicioso es Alemania, aunque logró extenderse por todo el mundo, incluso llegando a los Estados Unidos.

El virus, después de activar el archivo infectado, estaba ubicado en la memoria "alta", por debajo del límite


El virus Groove adjuntó su código a los archivos .com y .exe que ejecutó el usuario. Al mismo tiempo, para infectar archivos .exe, este último tenía que ser más pequeño que cierto tamaño (desafortunadamente, no encontré información sobre cuál). La infección de los programas llevó a la interrupción de su trabajo. Y la infección COMMAND.COM a la imposibilidad de iniciar el sistema.

Después de las 00:30, el virus mostró el mensaje:

No te preocupes, no estás solo a esta hora ... Este
virus NO está dedicado a Sara,
está dedicado a su Groove (...
Ese es mi nombre). Este virus es solo un virus de prueba para
estar listo para mi próxima prueba ...

Para prolongar su existencia, el virus eliminó o corrompió los archivos relacionados con los programas antivirus.

Familia de incesto de Qark ("somos familia, tengo a todas mis hermanas conmigo ...") - 1994

En esta sección, consideraremos no un solo virus, sino toda la "familia" de la autoría del escritor de virus australiano Qark, que como resultado se unió al grupo de armas VLAD (Virus Labs & Distribution). La vigorosa actividad de Qark en las filas de la organización cae en el período de 1994 a 1997.

Y ahora más sobre los "miembros de la familia" del clan viral.

Daddy

Al reducir el tamaño del MCB (Bloque de control de memoria), pero solo si este MCB es el último de la cadena. El virus también puede crear su propio MCB con la configuración del valor del campo propietario (0x0008 - command.com) y unirse a INT 21h.

Los archivos se infectan cuando se abren o cuando el usuario se familiariza con sus datos o propiedades. Daddy también ocultó el tamaño de su directorio de ubicación de FCB findfirst / findnext. Y los archivos infectados se marcaron como tales cambiando el valor de la marca de tiempo al valor del sello de fecha.

Papi también contenía las siguientes líneas:

[Papá incesto]
por Qark / VLAD

Momia

Si, en MS-DOS, no se especificó una extensión de archivo para su ejecución, los archivos .COM tienen prioridad sobre los archivos .EXE. Los archivos .com infectados lanzaron el virus y luego abrieron los archivos .exe originales. Para empezar, el virus lanzó los archivos .exe originales, luego de lo cual se convirtió en residente al unirse a INT 21h.

Al igual que Daddy, el virus estaba encriptado y utilizaba métodos similares para evadir la detección. Además, Mummy tenía otro mecanismo de sigilo inusual: los archivos complementarios .com se crearon con un conjunto oculto de atributos. Cuando se lanzó ASCII FindFirst, el virus eliminó la parte oculta de la máscara de atributo solicitada. Esto evitó que los archivos infectados ingresen a la lista de resultados de búsqueda antivirus.

El código del virus Momia contenía la firma:

[Incesto de momia] por VLAD de Brisbane.
Raza raza bebé!

Hermana

Este virus usó el mismo método de manipulación MCB que papá. Las banderas se infectaron durante las siguientes tareas: abrir, ejecutar, Chmod, renombrar. Los archivos infectados se marcaron agregando el valor "mágico" en el formato MZ.

Firma en el código del virus Sister:

[Hermana del incesto]
por VLAD - Brisbane, OZ

Hermano

Para no repetir, solo diga que este virus hizo lo mismo que otros representantes de la "familia": cambió el MCB, se unió a INT 21h. También eliminé la base de suma de verificación antivirus Central Point Anti-Virus y Microsoft Anti-Virus. Para marcar archivos infectados, establezca el valor de segundos en la marca de tiempo en 62.

Tentáculo (¡Soy el virus del tentáculo!) - 1996

Otra familia de virus, aunque sus representantes no fueron creados al mismo tiempo, sino que solo se siguieron como varias versiones actualizadas. Los posibles países de origen de este virus pueden considerarse Gran Bretaña o Francia.

Después de activar el archivo infectado, el virus comenzó a buscar en el entorno del directorio actualmente abierto y en el entorno del directorio de Windows. El propósito de las búsquedas son archivos .exe. En el directorio abierto, 1 archivo estaba infectado, en Windows - 2. La operación del virus dañó algunos archivos.

Una característica distintiva del virus Tentacle fue el reemplazo del ícono del archivo infectado con el suyo (vea la imagen a continuación), pero solo si la infección ocurrió de 00:00 a 00:15.

También en el código de virus se puede encontrar la frase:

Alerta de virus! Este archivo está infectado con Win.Tentacle

CAP (Dios y Federación) - 1996

Macro virus bajo Word escrito por Jacky Qwerty de Venezuela. Sin embargo, unas semanas más tarde se extendió por todo el mundo.

El virus contenía de 10 a 15 macros, dependiendo de la versión de idioma de Word. Si el idioma es inglés, las macros fueron las siguientes:

• Gorra
• AutoExec
• Autoabrir
• Fileopen
• Cierre automático
• FileSave
• FileSaveAs
• Plantillas de archivo
• HerramientasMacro
• Archivoclose

En versiones de otros idiomas, el virus creó 5 macros adicionales más, que eran copias de los últimos cinco de la lista anterior. Cuando se activó un archivo infectado, el virus CAP eliminó las macros de NORMAL.DOT, reemplazándolas por las suyas. Pero los botones Macros, Personalizar y Plantillas desaparecieron del menú desplegable. Si había un icono en la barra de herramientas, simplemente dejaba de funcionar.

Al descifrar macros, puede ver el siguiente mensaje:

'CAP: Un virus social ... y ahora digital ...
' "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
'Venezuela, Maracay, Dic 1996.
' PD Que haces gochito? Nunca seras Simon Bolivar ... Bolsa!

Esperanto ("Hice una película en esperanto") - 1997

El primer virus multiprocesador del mundo. Se paralizó tanto en PC con Microsoft Windows como en DOS con procesadores x86, y en MacOS con procesadores Motorola o PowerPC.

Trabajar en Windows y DOS En

primer lugar, después de la activación, el virus buscó una copia funcional de sí mismo en la memoria. Si no había ninguno, se convirtió en residente en la memoria. Archivos .com y .exe infectados durante su apertura. También podría infectar los principales archivos DOS, NewEXE y Portable EXE.

Trabaja en MacOS

Para la infección exitosa de los archivos al final del código del virus, fue un recurso especial de MDEF. El sistema operativo interpretará el código de Intel como basura e inmediatamente procederá al procesamiento del código de Motorola. Esto lleva al hecho de que el sistema operativo ejecuta el código sin emulación, lo que permite que el virus se convierta en residente en la memoria. La capacidad del virus para ejecutarse en MacOS con un procesador PowerPC proviene de la emulación de Motorola en el núcleo de Macintosh. Dada la infección de los archivos del sistema, el virus se activó al inicio del sistema. El esperanto también infectó el Finder, lo que provocó la infección de cualquier archivo abierto a través de este programa. Al igual que con Windows y DOS, solo una copia del virus podría ejecutarse en MacOS a la vez.

El esperanto podría cambiar fácilmente de Windows a MacOS y viceversa. Para infectar una computadora MacOS a través de archivos .com y .exe, el virus descargó el recurso MDEF que contiene el virus. Y para infectar archivos .com y .exe de archivos MacOS, el virus buscó archivos ejecutables de Windows que se ejecuten en el emulador.

El 26 de julio, el virus mostró un mensaje (si el virus estaba en un sistema Windows de 32 bits):

No importa tu cultura / Ne gravas a través de kulturo, el
esperanto irá más allá / preterpasos gxin de esperanto;
No importa las diferencias / ne gravas la diferencoj, el
esperanto las superará / esperanto superos ilin.

No importa su procesador / Ne gravas a través de procesoro,
Esperanto funcionará en él / Esperanto funkcios sub gxi;
No importa su plataforma / Ne gravas a través de platformo, el
Esperanto lo infectará / Esperanto infektos gxin.

Ahora no solo un lenguaje humano, sino también un virus ...
Transformando lo imposible en posible, el esperanto.

El 26 de julio no fue elegido por casualidad, ya que esta fiesta es el Día del Esperanto. El 26 de julio de 1887, Ludwik Lazar Zamenhof creó un lenguaje universal llamado esperanto.

Gollum ("mi preciousss") - 1997

El virus fue escrito por un chico español llamado GriYo, quien afirmó que su creación fue el primer virus híbrido de DOS / Windows.

Gollum infectó los archivos .exe, evitando aquellos que contenían "v" en su nombre o comenzaron con "TB", evitando así el contacto con programas antivirus.

En la primera activación, el virus introdujo el archivo GOLLUM.386 en la carpeta del sistema. Y la línea DEVICE = GOLLUM.386 se agregó al archivo system.ini. Este complemento permitió que el virus se ejecutara en cada arranque.

Después del primer reinicio, Gollum se convirtió en residente en memoria bajo la apariencia de un controlador de dispositivo virtual. Cuando el archivo .exe se activa desde la ventana de DOS, el virus adjunta su código a este archivo y lo infecta.

El resultado del virus Gollum fue la eliminación de bases de datos de algunos programas antivirus y la introducción del troyano GOLLUM.EXE en el sistema.

El siguiente texto también podría detectarse en el código del virus:

GoLLuM ViRuS por GriYo / 29A En
el fondo, junto al agua oscura, vivía el viejo
Gollum, una pequeña criatura viscosa. No sé de
dónde vino, ni quién o qué era.
Era un Gollum, tan oscuro como la oscuridad, a excepción
de dos grandes ojos redondos, pálidos y pálidos en su delgado rostro.
JRR ToLkieN ... El HoBBit

Este es un extracto del libro "El Hobbit" de J.R. R. Tolkien, que describe una criatura llamada Gollum, que también es familiar para muchos de los libros de El Señor de los Anillos, así como de las adaptaciones de Peter Jackson. Fue esta criatura la que dio su nombre al virus en sí.

Babilonia (concha) - 1999

Virus brasileño de la pluma de escritura del virus Vecna ​​que infectó archivos .exe en computadoras con Windows 9x.

Después de la extracción, el virus no se activó de inmediato; para empezar, parchó JMP o CALL y estaba esperando una llamada. El virus escaneó el núcleo del sistema operativo, recibió las direcciones de la función API de Windows y se instaló bajo la apariencia de un controlador de sistema VxD.

El virus asignó una cierta cantidad de memoria, estableciendo un enlace en el controlador IFS. Después de lo cual esperaba acceso a Ayuda, archivos ejecutables portátiles y archivos WSOCK32.DL. Además, el virus Babylonia escaneó el sistema en busca de bibliotecas antivirus descargadas SPIDER.VXD y AVP.VXD. Si hubiera alguno, el virus los parchó, por lo que ya no podían abrir archivos.

Cuando el virus Babylonia infecta un ejecutable portátil, se adhiere al último sector o sobrescribe la sección .reloc. La sección CÓDIGO también se analizará en busca de espacio disponible para realizar una llamada al virus. Los archivos de ayuda se infectan pasando el control al código del virus a través de la función de devolución de llamada API USER32 EnumWindows.

El virus se propagó a través del correo electrónico. En primer lugar, agregó su código a la función send () en WSOCK32.DLL. Esto llevó al hecho de que en todas las cartas que el usuario envió desde la máquina infectada, había archivos adjuntos infectados con un virus llamado X-MAS.exe con un icono de Navidad.

Las versiones posteriores de Windows no podían infectarse, ya que Babylonia tenía llamadas VxD específicas que eran exclusivamente para Windows 9x.

El virus Babylonia podría actualizarse utilizando el módulo de actualización en línea. Este módulo se encuentra en la carpeta del sistema de Windows con el nombre KERNEL32.EXE, que se inició cuando se inició el sistema. Además, no se pudo ver en la lista de tareas a través de CTRL + ALT + SUPR.

Aunque el virus de Babilonia no se propagó ampliamente y no se convirtió en una amenaza global, los métodos de propagación, infección y módulo de actualización permitieron que este virus ganara popularidad.

No encontré datos sobre el nombre de este virus. Sin embargo, Babilonia es el nombre del género de los gasterópodos marinos. También se puede suponer que el nombre del virus proviene de la palabra "Babilonia" (Babilonia es una ciudad en la antigua Mesopotamia).

Maldición (maldición, virus otra vez) - 2000

Un virus para los sistemas de la serie Windows 9x que se originó en Rusia.

Cuando se activó, el virus se cargó en la memoria, después de lo cual infectó los archivos .exe activados y les agregó su propio código.


Todo con el mismo propósito, para esconderse, el virus eliminó los controladores antivirus VxD AVP y Spider. También evitó la detección por parte del depurador Soft-Ice de Microsoft.

Todos los meses, el primer día, el virus ocultó todos los iconos del escritorio al agregar el valor "1" a "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop".

Lo siguiente podría detectarse en el código del virus Dammit:

DAÑO por ULTRAS [MATRiX]
© 2000

Donde ULTRAS es el autor del virus, y MATRiX es la revista de escritores de virus, donde se publicó el código para este virus.

Blebla ("Porque nunca fue una historia de más dolor que la de Julieta y su Romeo") - 2000

Postworm de Polonia escrito en Delphi. Se convirtió en uno de los primeros gusanos que podían activarse sin la intervención de un usuario de una máquina infectada. También conocido como Verona o Romeo y Julieta.


En esta carta había 2 archivos adjuntos Myjuliet.chm y Myromeo.exe. El texto de la carta contenía HTML, que guardaba los archivos adjuntos en la carpeta Temp de Windows y lanzaba Myjuliet.chm. Este último, a su vez, extrajo la parte principal del gusano del archivo Myromeo.exe.

Myromeo.exe inicia la tarea Romeo y Julieta, que se puede ver en la lista de tareas. Busca un proceso llamado HH.exe que procesa archivos .chm e intenta desactivarlo para evitar advertir al usuario sobre su presencia.

A continuación, el gusano se propaga a través de seis servidores de correo ubicados en Polonia (ninguno de ellos ya funciona):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

El gusano también tiene su propio motor SMTP, que intenta establecer una conexión con uno de los servidores anteriores para enviar un correo electrónico con archivos MIME adjuntos.

A pesar de que el gusano no causó mucho daño, recibió mucha publicidad en los medios.

YahaSux / Sahay (No me gustas) - 2003

Entre los escritores de virus también tienen sus propios Mozart y Salieri. Son igual de brillantes y no se quieren tanto. El gusano YahaSux es la creación de Gigabyte, que aparentemente no le gustó al autor del gusano Yaha.

La víctima recibió un correo electrónico sobre el tema "Fw: Siéntate y sorpréndete ..." con el siguiente contenido:

Piensa en un número entre 1 y 52.
Dilo en voz alta y sigue repitiendo mientras sigues leyendo.
Piensa en el nombre de alguien que conoces (del sexo opuesto).
Ahora cuente qué lugar en el alfabeto tiene la segunda letra de ese nombre.
Agregue ese número al número en el que estaba pensando.
Diga el número en voz alta 3 veces.
Ahora cuente qué lugar en el alfabeto tiene la primera letra de su nombre y
reste ese número del que acaba de tener.
Dilo en voz alta 3 veces.
Ahora siéntese, mire la presentación de diapositivas adjunta y sorpréndase.

Este archivo adjunto a la carta era el protector de pantalla MathMagic.scr. Después de activar el archivo de gusano, su copia y los archivos ejecutables del gusano Yaha nav32_loader.exe están en la carpeta del sistema. Si la búsqueda no arrojó resultados, YahaSux se copia en una carpeta bajo la apariencia de un archivo winstart.exe.

Además, la lucha contra el odiado Yaha se volvió aún más divertida. YahaSux intentó abortar un proceso llamado WinServices.exe (o WINSER ~ 1.EXE), que estaba relacionado con Yaha.K. Archivos ejecutables eliminados de Yaha.K del registro de claves, restaurando su valor original. Además, se realizaron cambios en la conexión WinServices (el valor se estableció así: Predeterminado = (directorio del sistema) \ winstart.exe), lo que permitió que el gusano se iniciara automáticamente cuando se encendió el sistema.

YahaSux también creó el archivo yahasux.exe en la carpeta del sistema y en la carpeta de descarga de Mirc. Se adjuntó a todos los archivos .exe en la carpeta mirc \ download en los Archivos de programa, y ​​en la raíz en la unidad C:, agregó el archivo MathMagic.scr.

El gusano se propagó al enviarse a todos los destinatarios en la lista de la Libreta de direcciones de Outlook.

Después de 40 segundos de actividad, el sistema de PC infectado se apaga. Después de reiniciar y eliminar otro archivo relacionado con Yaha.K - tcpsvs32.exe, el gusano YahaSux mostró la siguiente ventana con el mensaje:



¿Por qué a Gigabyte, el autor de YahaSux, le disgustaba tanto el gusano Yaha.K y su autor? El hecho es que Yaha.K cambió la página de inicio en Internet Explorer a coderz.net, que alojaba las páginas web de Gigabyte. Todo esto llevó a la caída del servidor coderz.net.

En su nueva versión de Yaha.Q, en el código, el autor dejó un mensaje para su rival:

a gigabyte: CHEErS pAL, MANTENGA EL G00d w0rK..buT W32.HLLP.YahaSux es ... lolz;)

Tal lucha de intelectos.

Lovgate (Ábreme, no soy un gusano. #Wink) - 2003

Un gusano de China que poseía las propiedades de un troyano.


Después de la activación, el gusano se copió a la carpeta del sistema de Windows bajo la apariencia de uno de los archivos:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

Para poder iniciarse al mismo tiempo que se inició el sistema, el gusano actuó según la versión del sistema.

Windows 95, 98 o ME

La línea run = rpcsrv.exe se agregó al archivo Win.ini. Si había registros en el sistema, los valores "syshelp =% system% \ syshelp.exe", "WinGate initialize =% system% \ WinGate.exe -remoteshell" y "Module Call initialize = RUNDLL32.EXE se agregaron a la clave de registro de la máquina local" reg.dll ondll_reg ".

El valor "winrpc.exe% 1" también se agregó al registro de claves para que el gusano se pueda iniciar cada vez que el usuario abre un archivo de texto.

Windows 2000, NT o XP

El gusano se copió a la carpeta del sistema bajo la apariencia de un archivo ssrv.exe y agregó el valor "run = rpcsrv.exe" al registro de claves de la máquina local.

También se agregó el registro de claves de la máquina local Software \ KittyXP.sql \ Install.

Después de estas acciones, el gusano introdujo en la carpeta del sistema y luego activó los siguientes archivos, que son sus componentes troyanos: ily.dll; task.dll; reg.dll; 1.dll.

Algunos de estos archivos pueden transmitir información a hello_dll@163.com o hacker117@163.com. El gusano mismo escuchó en el puerto 10168, esperando los comandos de su creador, que tenía acceso a él a través de una contraseña. Al ingresar la contraseña correcta, el gusano se copió en carpetas con acceso compartido a la red bajo la apariencia de dichos archivos:


Luego, el gusano escaneó el sistema en busca de la presencia del proceso LSASS.EXE (servicio de autenticación del sistema de autenticación local) y se conectó a él. Hizo lo mismo con el proceso responsable de abrir el entorno de comando en el puerto 20168, que no requería autenticación.

El gusano Lovgate escaneó todas las computadoras en la red local, intentando acceder a ellas a través del administrador. Primero, hizo esto con un campo de contraseña vacío, luego, en caso de falla, aplicó las siguientes contraseñas simples:


Si el intento de acceso fue exitoso, Lovgate se copió bajo la apariencia de un archivo stg.exe a la carpeta \ admin $ \ system32 \.

Para una mayor distribución, el gusano escaneó la carpeta "winpath", las carpetas personales del usuario y la carpeta donde se lanzó, en busca de direcciones de correo electrónico en archivos con la extensión que comienza con .ht (por ejemplo, .html).

Epílogo

Así que nuestro viaje al mundo del malware ha llegado a su fin. Aunque muchas de las exhibiciones de hoy merecen una exposición por separado. El mundo de los virus, gusanos y troyanos es enorme y diverso. Son inofensivos, causan una sonrisa, son destructivos, roban todo lo que encuentran. Pero ambos son el resultado del trabajo de una mente sobresaliente, que no deja de buscar algo nuevo, no deja de explorar. Aunque estas personas no dirigieron sus mentes al camino más noble, todavía nos enseñan que el límite nunca se alcanzará si miramos más allá. No agito para escribir virus. Simplemente no se quede quieto, desarrolle, explore y deje que su mente nunca llegue al límite. Que tengas un buen día y nos vemos pronto.

BLACK FRIDAY CONTINUES: ¡ 30% de descuento en el primer pago del código de promoción BLACK30% al realizar el pedido durante 1-6 meses!

¡Estos no son solo servidores virtuales! Estos son VPS (KVM) con unidades dedicadas, que no pueden ser peores que los servidores dedicados, y en la mayoría de los casos, ¡mejor! Fabricamos VPS (KVM) con unidades dedicadas en los Países Bajos y los EE . UU. (Configuraciones de VPS (KVM) - E5-2650v4 (6 núcleos) / 10GB DDR4 / 240GB SSD o 4TB HDD / 1Gbps 10TB disponibles a un precio excepcionalmente bajo - desde $ 29 / mes , las opciones con RAID1 y RAID10 están disponibles) , ¡no pierda la oportunidad de hacer un pedido de un nuevo tipo de servidor virtual, donde todos los recursos le pertenecen, como en uno dedicado, y el precio es mucho más bajo, con un hardware mucho más productivo!

Cómo construir la infraestructura del edificio. clase utilizando servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo? Dell R730xd 2 veces más barato? ¡Solo tenemos 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV desde $ 249 en los Países Bajos y los Estados Unidos!