Análisis de malware

Una historia de malware: tercera parte, 1993-1999

mayo 29, por Instituto Infosec

En mi artículo anterior, expliqué qué pasó con la evolución del malware cuando las microcomputadoras comenzaron a tener una presencia importante en pequeñas oficinas y hogares. Eso coincidió con la creciente popularidad de MS-DOS y Windows 3.1 de Microsoft. Los sistemas de archivos en los que se basaban, FAT16 y, posteriormente, FAT32, carecían por completo de privilegios a nivel de archivos y carpetas, por lo que era fácil que el malware dirigido causara grandes problemas.

Durante el período cubierto en el último artículo, los ISP comerciales hicieron su debut. Entonces, personas ajenas al entorno académico comenzaron a utilizar el correo electrónico, USENET y otros servicios de Internet. En 1991, Sir Tim Berners-Lee inventó la web.

A principios de 1993, estuve en la Web por primera vez y mi primer navegador web fue el nuevo Mosaic. En respuesta a cómo Mosaic hizo que la web fuera accesible para muchas personas, Netscape entró en escena. Fui uno de los pocos afortunados en probar la versión beta de Navigator 1.0 en noviembre de 1994. Lo realmente interesante fue que pude ver el contenido y el texto cargándose en mis páginas web antes de que se descargaran por completo. Como teníamos un módem de 16 kbps, lo aprecié mucho.

Netscape, y poco después Internet Explorer, llevaron la Web a millones de hogares por primera vez. Eso hizo que Internet fuera mucho más popular. Hasta el día de hoy, me encuentro con usuarios finales que piensan que Internet y la Web son lo mismo. ¡Argh!

Así pues, se abrió un enorme vector nuevo para el malware, e Internet superó a los disquetes como principal causa de distribución de malware.

Y ahora, la historia del malware está empezando a ponerse muy interesante…

No digas mi nombre, Leandro

El virus Miguel Ángel, como mencioné en mi artículo anterior, fue el primer virus «bomba de tiempo» que se extendió notablemente. Parecía que a partir de entonces las «bombas de tiempo» empezaron a volverse muy populares.

La comunidad antivirus se encontró por primera vez con el virus Leandro en 1993. Como era una «bomba de tiempo», estaba previsto que explotara en una fecha determinada. En el caso de Leandro, esa fecha fue el 21 de octubre del año del contagio. Según mi investigación, si una PC se infecta después del 21 de octubre de un año calendario, probablemente se activaría en esa fecha del año calendario siguiente.

Pero como muchos de los virus anteriores para causar un gran revuelo, tuvo la amabilidad de imprimir un mensaje para el usuario. Este fue el mensaje de Leandro:

Leandro y Kelly! GV-MG-Brasil Tienes este virus desde XX-XX-XXXX

En él estaría la fecha de contagio, cualquiera que fuese, ya que variaría en cada incidencia.

Leandro a menudo se propagaba a través de shareware en disquetes, pero a medida que el uso de Internet comenzó a crecer rápidamente, se descubrió que también se propagaba a través de BBS. Recuerdo haber descargado bastante shareware a través de BBS, por lo que probablemente fue un vector principal.

Fue especialmente desagradable, porque apuntaba al MBR de disquetes y HDD. Entonces, aunque podría ingresar a un sistema a través de vulnerabilidades de Windows y MS-DOS, podría afectar también a sistemas operativos completamente no relacionados, como las primeras distribuciones GNU/Linux.

Leandro siguió infectando máquinas durante al menos unos años más, hasta finales de los noventa. Pocos usuarios de Windows utilizaban software antivirus en aquellos días, o siquiera sabían qué era un software antivirus. Así que me imagino que después de que Leandro inutilizara un sistema operativo el 21 de octubre de un año en particular , se desecharon una gran cantidad de discos duros. Es difícil determinar cuántos discos fueron infectados, ya que la mayoría de las personas no informaron sus infecciones a los proveedores de antivirus. Quizás provocó que terminaran en los vertederos más discos que cartuchos de ET para Atari, pero nunca lo sabremos con seguridad.

Freddy

Casi al mismo tiempo, descubrieron a Freddy. Al igual que Leandro, parecía venir de Brasil. Al igual que los otros virus mencionados en este artículo y en el anterior, su objetivo era Windows.

Los ejecutables .COM y .EXE se vieron afectados, especialmente COMMAND.COM. ¿Recuerdas lo crucial que era ese archivo?

Una vez que Freddy infectaba una máquina con Windows, cada vez que un usuario iniciaba un ejecutable, ese ejecutable, más un archivo .COM en el mismo directorio, se infectaba. El tamaño de cada archivo infectado crecería aún más, a medida que más y más archivos en el mismo disco adquirieran el código Freddy. Por lo tanto, tuvo un devastador efecto de bola de nieve que pronto podría colapsar una máquina debido a una sobrecarga de memoria.

Con el tiempo, una PC infectada no podrá funcionar durante más de unos segundos después de iniciar el sistema operativo.

La cadena «Freddy Krg» se podía encontrar cifrada en archivos infectados. Así que podemos resumir fácilmente cuál fue la inspiración del desarrollador.

Un concepto es suficiente para demostrar mi punto

Concept fue el primer virus de macro realmente importante, descubierto en julio de 1995. Coincidió con que Microsoft Word superara a WordPerfect en el dominio del mercado de procesadores de texto.

MS Word 6.0 y MS Word 95 se vieron afectados. Las macros hicieron la vida mucho más fácil para los usuarios frecuentes de Word, como mi difunto padre novelista. Pero la creación de macros en esas versiones de Word no era muy segura. Es fácil culpar a los desarrolladores de Microsoft por tener una actitud laxa hacia la seguridad. Pero las macros también eran populares en WordPerfect, que Microsoft no desarrolló. Incluso los proveedores de antivirus de aquella época no estaban preparados para los virus de macro . Concept fue el primer virus de macro que realmente les llamó la atención y revolucionó la forma en que desarrollaban firmas de malware.

Concept también se destacó como el primer virus importante que se propagó por correo electrónico. Como un gran porcentaje de usuarios de correo electrónico de mediados de la década de 1990 utilizaban AOL, el sonido de «tienes correo» era a menudo el presagio de la fatalidad.

Después de abrir un documento de Word infectado, Concept infectaba la plantilla NORMAL.DOT y luego también otras plantillas.

Las macros que contenía Concept eran AAAZAO, AAAZFS, AutoOpen, FileSaveAs y PayLoad.

PayLoad fue especialmente interesante. Su nombre era inapropiado porque no era ninguna carga útil. Sólo contenía este texto:

Sub principal

REM Eso es suficiente para probar mi punto.

Subtítulo final

¿Punto probado? El mejor de los casos sería si un usuario no tuviera documentos importantes que utilizaran plantillas infectadas. Luego, podrían simplemente hacer una copia de seguridad de esos documentos, luego desinstalar y reinstalar Word. Era útil que la gente normalmente tuviera disquetes y CD de instalación creados de fábrica en esos días.

Concept infectó más máquinas que cualquier otro malware hasta finales de los años 1990.

Toronjil

El éxito destructivo de Concept allanó el camino para el virus Melissa, que fue el segundo malware que se propagó de manera significativa a través del correo electrónico.

Aunque el correo electrónico era su vector principal, se descubrió inicialmente en el grupo alt.sex de USENET, en la primavera de 1999. Se encontró por primera vez en un archivo que supuestamente contenía contraseñas para 80 sitios web pornográficos. Pero incluso cuando se propagaba a través de USENET, una vez que infectaba la máquina de un usuario, apuntaba a clientes de correo electrónico, concretamente Microsoft Outlook 97 y 98.

La bandeja de entrada de un usuario se inundaría rápidamente con correo electrónico infectado y enviaría correos electrónicos infectados a direcciones en la libreta de direcciones de un usuario. Algunos usuarios le tenían tanto miedo a Melissa que desconectaban sus PC de Internet por completo. Es una pena, porque reinstalar Outlook probablemente habría funcionado, al igual que ejecutar un análisis de malware una vez que los proveedores de antivirus tuvieran una firma para ello.

Teniendo en cuenta el tema erótico del virus, no fue una gran sorpresa que Melissa llevara el nombre de una stripper.

Una investigación dirigida por el FBI encontró al creador de Melissa ese mismo año. Era David L. Smith, residente de Nueva Jersey.

El 10 de diciembre de 1999 fue condenado a diez años de prisión. Pero el Sr. Smith sólo cumplió veinte meses, por lo que fue liberado justo cuando comenzaba el siglo XXI .

Lo cual continúa muy bien en mi próximo artículo. Porque aunque el virus Y2K fue lo que hizo que la gente común y corriente entrara en pánico, lo que realmente debería haberles preocupado era TE AMO…

Referencias

Enciclopedia de amenazas Trend Micro, Leandro

http://about-threats.trendmicro.com/us//archive/malware/LEANDRO

Panda Seguridad, Leandro

http://www.pandasecurity.com/homeusers/security-info/1635/Leandro

Enciclopedia de amenazas ESET, Leandro

http://www.eset.com/us/threat-center/encyclopedia/threats/leandro/

McAfee, Leandro

http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=1443

F-Secure, Freddy

http://www.f-secure.com/v-descs/freddy.shtml

VSUM, virus Freddy

http://wiw.org/~meta/vsum/view.php?vir=529

Concepto, La Enciclopedia de Virus

http://virus.wikidot.com/concepto

Concepto de virus, Dr. Nikolai Bezroukov

http://www.softpanorama.org/Malware/Malware_defense_history/Ch05_macro_viruses/Zoo/concept.shtml

CERT, Melissa Macro Virus

https://www.cert.org/historical/advisories/CA-1999-04.cfm

26 de marzo de 1999, Melissa causa estragos en la red, Wired.com

http://www.wired.com//03/0326melissa-worm-havoc/

Los 10 peores virus informáticos de todos los tiempos, cómo funcionan

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

http://computer.howstuffworks.com/worst-computer-viruses1.htm

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *