Análisis de malware

Destacado malware: Wabbit

21 de enero de por Greg Belding

Introducción

Los comienzos suelen estar llenos de mitos, leyendas y una buena dosis de narración, y el malware no es una excepción a esta regla. Allá por 1974, antes de que nacieran muchos de nuestros lectores, el malware todavía estaba en su infancia, y los primeros pioneros inventaron diferentes tipos de malware para simplemente explorar lo que se podía hacer.

Una de esas creaciones fue el Wabbit, el primer malware autorreplicante. Era simple y tosco, sin duda, y aunque el Wabbit original no era malicioso, las variantes del Wabbit se pueden programar para exhibir capacidades maliciosas.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Este artículo detallará el tipo de malware Wabbit y explorará qué es Wabbit, su historia, cómo funciona, la variante fork-bomb Wabbit y las posibles aplicaciones para este tipo inicial de malware.

¿Qué es el wabbit?

Para hablar adecuadamente de Wabbit, primero debemos hablar del proverbial conejo (quiero decir, elefante) en la habitación. El nombre Wabbit hace referencia a la forma en que Elmer Fudd dice conejo en los viejos dibujos animados de Looney Tunes.

Este nombre es increíblemente preciso para lo que es este malware, ya que se refiere al hecho de que los conejos se reproducen muy rápido. Wabbit es el primer malware autorreplicante que jamás haya existido (algunos historiadores argumentarán que Creeper lo fue) y puede reproducirse tan rápido que el sistema en el que está instalado literalmente se ahoga, ya que Wabbit agota todos sus recursos.

Si bien la primera instancia de Wabbit no fue maliciosa per se, matar un sistema informático es ciertamente malicioso para el propietario del sistema si no lo espera. Además, Wabbit puede programarse para realizar acciones maliciosas conscientes. Una de esas variantes de Wabbit se llama bomba-tenedor, que se analizará más adelante en este artículo.

Debido a la rareza de Wabbit y algunas de sus peculiaridades únicas, las discusiones modernas sobre malware no lo mencionan como un tipo de malware. Sin embargo, si lo analizamos históricamente, queda claro que no sólo es malware sino posiblemente uno de los mejores, ya que tiene un sólido potencial como herramienta educativa y también para fines históricos.

La historia del wabbit.

La historia de Wabbit comienza literalmente en el origen del malware como concepto y, como todas las buenas historias de creación, ésta está llena de leyendas.

Sólo hay una instancia conocida de Wabbit en su forma original, no maliciosa, y esto ocurrió en 1974. En 1988, un individuo conocido como Bill Kennedy contó una historia sobre un compañero de trabajo que estaba trabajando en una computadora central IBM OS/360. Este “joven brillante” escribió un programa llamado Wabbit que, mientras se ejecutaba, consumiría los recursos del sistema y causaría una especie de estreñimiento de recursos.

En lugar de infectar otros dispositivos de red, Wabbit sólo era capaz de infectar el sistema en el que estaba instalado. Este estreñimiento finalmente acabó con el sistema y terminó costándole el trabajo a este joven brillante. Desde entonces, se han creado variantes que han tenido una intención más marcadamente maliciosa.

Wabbit es de hecho una reliquia de una era informática pasada, esencialmente diseñada para aprovechar la forma en que el sistema operativo IBM procesaba la información. Verá, IBM solía usar lo que se llamaba flujo de trabajo ASP, que se comunicaba cada vez menos con su consola a medida que se consumían recursos. Si analizamos este malware con ojos modernos, Wabbit se parece más al ataque de denegación de servicio (DoS).

¿Cómo funciona Wabbit?

La creación original de Wabbit funcionó de manera un poco diferente a las variantes modernas. Esto se debió principalmente al marco del sistema más antiguo (IBM OS) vigente en 1974, pero la idea básica es la misma. Wabbit crea un bucle infinito que crea continuamente procesos del sistema y crea copias de Wabbit. Esto consume recursos del sistema operativo y crea una gran cantidad de ciclos de CPU que constipan el sistema, lo que hace que se vuelva cada vez más lento hasta que finalmente falla.

Variantes posteriores llevaron esta capacidad de Wabbit (perdón por la referencia de Elmer Fudd) a sistemas operativos más nuevos, sobre todo Unix y Linux.

La variante tenedor-bomba

La variante más conocida del Wabbit es la bomba-tenedor. Esta versión de Wabbit tenía la capacidad de ejecutarse en Linux, Unix y sistemas operativos similares a Unix (Debian, Ubuntu, Red Hat, etc.).

En los ataques fork-bomb, los procesos secundarios se autorreplican y consumen una gran cantidad de recursos del sistema operativo, lo que en última instancia impide que se creen y ejecuten procesos legítimos. A medida que avanza el ataque, el sistema infectado ignora las entradas del teclado, incluidos los intentos de cerrar sesión. El bucle fork consume recursos hasta que se alcanza el máximo de procesos permitidos, lo que provoca lo que se llama pánico del kernel, donde el kernel falla porque no puede seguir el ritmo del bucle fork.

La mayoría de los sistemas infectados con fork-bomb permanecen congelados hasta que se reinician, generalmente en forma de reinicio completo. Lo más probable es que esto provoque la pérdida de datos.

aplicación wabbit

Wabbit es más aplicable en el ámbito de la educación en informática y seguridad de la información. Si bien Wabbit puede causar daños a los sistemas, es una pieza de malware relativamente simple que puede usarse para demostrar la replicación de procesos y programas en la educación.

A los estudiantes de informática se les puede dar un límite de tiempo para detener Wabbit, donde el final natural del ejercicio es detener Wabbit o que el sistema infectado falle. Esto también sería valioso para enseñar a los estudiantes lo simple que puede ser el malware y cómo a veces es necesario comprenderlo para detenerlo.

Conclusión

Wabbit es uno de los primeros ejemplos de malware que existió. Si bien es simple, puede devastar un sistema al desperdiciar todos los recursos del sistema operativo hasta que el sistema infectado falle.

Originalmente, Wabbit estaba destinado a ser más irónico que malicioso. Sin embargo, este malware se puede programar fácilmente no sólo para que sea malicioso sino también para infectar sistemas modernos, lo que lo convierte en un tipo auténtico de malware.

Fuentes

  1. Dos viejos virus , Risks Digest
  2. Conejo , Wiki Malware
  3. Los primeros virus: Creeper, Wabbit y Brain , InfoCarnivore
  4. ¿Qué es un virus de conejo, una bomba tenedor o un wabbit? , El compañero de seguridad
  5. Ataque con bomba de tenedor (virus del conejo) , Imperva