articulos relacionados con virus, troyanos ,gusados

Historia de los programas maliciosos

Los programas maliciosos pueden parecer un concepto relativamente nuevo. Las epidemias de los años recientes han servido para que la mayoría de los usuarios sepan que existen los virus, gusanos y troyanos: por lo general, sus ordenadores ya han sufrido ataques. La prensa también ha jugado su papel, informado frecuentemente sobre las últimas amenazas cibernéticas y los arrestos de los autores de virus.

Sin embargo, los programas maliciosos no son nuevos. Aunque los primeros ordenadores no fueron atacados por virus, esto no significa que no fueran potencialmente vulnerables. Simplemente, la tecnología informática de entonces estaba en pañales y no había suficientes personas que entendieran los sistemas informáticos y quisieran explotarlos.

Pero cuando los ordenadores se hicieron un poco más populares, empezaron los problemas . Los virus empezaron a aparecer en las redes como ARPANET en los años setenta. El boom de los ordenadores personales iniciado por Apple a principios de los ochenta conllevó al boom de los virus. A medida de que más gente obtenía acceso a los ordenadores, más gente estaba en condiciones de comprender su funcionamiento. Y algunas personas empezaron a usar sus conocimientos con fines maliciosos.

Los virus empezaron a desarrollarse a la par que la tecnología. En el espacio de dos décadas, vimos que los ordenadores cambiaban hasta hacerse irreconocibles. Los equipos limitadísimos que se iniciaban desde un disquete ahora son poderosos sistemas que pueden enviar enormes cantidades de datos casi al instante, remitir mensajes a cientos o miles de direcciones y entretener a las personas con películas, música y sitios web interactivos. Los creadores de virus tampoco se han quedado atrás.

Mientras que los virus de los años ochenta tenían en la mira a varios sistemas operativos y redes, hoy la mayoría de los programas maliciosos se escriben para explotar vulnerabilidades en el sistema operativo más usado: Microsoft Windows. El creciente número de usuarios vulnerables está siendo activamente explotado por los creadores de virus. Los primeros programas maliciosos causaban sustos a los usuarios al causar que los ordenadores se comportasen de formas inesperadas. En cambio, a partir de los años noventa han empezado a ser mucho más que una amenaza, ya con frecuencia son usados para robar información confidencial como detalles de cuentas bancarias y contraseñas.

De esta manera, los programas maliciosos se han convertido en un gran negocio. Por esta razón, es vital entender las amenazas contemporáneas para usar el ordenador sin peligro. Esta sección da una visión general de la evolución de los programas maliciosos. Ofrece también breves reseñas de algunas curiosidades históricas y ofrece un marco para ayudar a entender los orígenes de las amenazas cibernéticas contemporáneas.


El principio: un poco de arqueología

Los historiadores aún debaten sobre cuando aparecieron los primeros virus de ordenadores. No sabemos algunas cosas con certeza, sin embargo, se considera que el primer ordenador inventado por Charles Babbadge, no tuvo ningún virus. A mediados de los 70 Univax 1108 e IBM360/370 sí que los tuvieron.

Aún así, la idea de los virus para ordenadores realmente apareció mucho antes. Muchos consideran que el punto de inicio fue el trabajo de John von Neumann en sus estudios sobre un autómata capaz de reproducirse, famoso en los años 1940. En 1951, Neumann ya había propuesto métodos para demostrar como crear ese autómata.

En 1959, el matemático Británico Lionel Penrose presentó su punto de vista sobre las reproducción automatizada en un artículo de la revista Scientific American “Self-Reproducing Machines’. A diferencia de Neumann, Penrose describió un modelo simple de esta estructura de dos dimensiones que podría ser capaz de activarse, reproducirse, mutar y atacar. Después de un tiempo de publicado el artículo de Penrose, Frederick G. Stahl reprodujo este modelo en un programa para IBM650.

Se debe hacer notar que estos estudios nunca intentaron proporcionar una base para el desarrollo futuro de virus de ordenadores. Por el contrario, estos científicos estaban luchando para perfeccionar este mundo y hacerlo mejor para los seres humanos, y estos trabajos ayudaron a la fundación de muchos estudios posteriores sobre inteligencia robótica y artificial.

En 1962, un grupo de ingenieros de America's Bell Telephone Laboratories, V. Vyssotsky, G. McIlroy, y Robert Morris, crearon un juego llamado ‘Darwin’ El juego consistía en un "árbitro" en la memoria del ordenador que determinaba las reglas y orden de la batalla entre los programas creados por los jugadores. Los programas podían atacar y destruir a los programas del oponente y, lo más importante, reproducirse. El objetivo del juego era borrar los programas del oponente y ganar control sobre el campo de batalla.

Las suposiciones de los científicos e ingenieros sobre el inofensivo juego, se oscurecieron cuando el mundo se dio cuenta de que la teoría de las auto reproducción podrían ser usadas, con el mismo éxito, para propósitos completamente diferentes.

Los años 1970

En algún momento a inicios de los años 1970, el virus Creeper fue detectado en Arpanet, una red militar de ordenadores en Estados Unidos que fue la que precedió al moderno Internet. Escrita para los entonces populares sistemas de operación Tenex, este programa podía conectarse independientemente mediante un modem y se copiaba a si mismo al sistema remoto. Los sistemas infectados mostraban el mensaje ‘SOY EL TREPADOR: AGÁRRAME SI PUEDES’.

Poco tiempo después, alguien creó el programa Reaper para borrar el Creeper. Reaper era un virus: se extendía en las máquinas en red y si ubicaba un virus Creeper, lo borraba. Ni los participantes pudieron decir si Reaper era una respuesta a Creeper, o si fue creado por la misma persona o personas que crearon Creeper a fin de corregir su error.
 
1974

Apareció un virus llamado Dubbed Rabbit: se llamaba Rabbit porque no hacía nada más que multiplicarse y extenderse hacia otras máquinas. El nombre era un comentario sobre la velocidad con la cual el programa se multiplicaba. Inundaba el sistema con copias de sí mismo, reduciendo su velocidad. Una vez que la cantidad de virus alcanzaba cierto nivel, el ordenador dejaba de funcionar.

1975

Pervading Animal, otro juego, esta vez escrito para Univac 1108, apareció en 1975. Hasta nuestros días, los analistas discuten sobre si este fue otro virus de los primeros Trojan.

Las reglas del juego eran simples: el jugador pensaba en un animal y el programa le hacía preguntas intentando identificarlo. El juego estaba equipado con una función de auto-corrección; si el programa no podía adivinar el animal, se actualizaba y hacía nuevas preguntas. La nueva versión se grababa sobre la antigua, pero además se copiaba en otros directorios. Como resultado, después de un tiempo, todos los directorios contenían copias de ‘Pervading Animal’. Los ingenieros estaban disgustados, porque el volumen combinado de las copias del juego ocupaba una buena parte del espacio en el disco.

¿Fue esto simplemente un error que cometió el creador del juego? O un intento consciente de dañar el sistema? Es difícil decirlo. La diferencia entre los programas que no funcionan correctamente y el código malicioso no estaba clara en esos días.

Los programadores de Univac intentaron utilizar el ejemplo de Creeper-Reaper para controlar Pervading Animal: una nueva versión del juego escaneaba las versiones antiguas y las destruía. Sin embargo el tema fue resuelto completamente cuando se introdujo Exec 8, una nueva versión del sistema operativo. El sistema de archivos fue modificado y el juego fue incapaz de seguir multiplicándose.

1987

Aparece el virus Viena: su aparición y subsiguiente expansión por todo el mundo fueron ardientemente debatidas cuando la comunidad global trataba de descubrir la identidad del autor. Franz Swoboda fue la primera persona que detectó el virus: su alerta sobre el descubrimiento de un programa que se autoreproducía, llamado Charlie, fue publicitado por muchas compañías de información tecnológica y atrajo también la atención de la prensa. Como era de esperarse, mucha gente estaba interesada en descubrir al autor y la fuente de la epidemia. La información daba un indicio mostrando que Swoboda había recibido el virus de Rafl Burger, quien rechazaba por completo la historia de Swoboda y declaraba haber recibido el virus de Swoboda. Nunca se pudo revelar quien fue el que realmente creó el malicioso programa.

A pesar de la confusión que rodeaba al autor de Viena, su aparición fue notable por otra razón. Uno de sus autores potenciales, Rolf Burger, envió una copia a Berna Fix, quien pudo neutralizar el virus. Esta fue la primera ocasión en que alguien fue capaz de neutralizar un virus. Por lo tanto Fix fue un precursor de los modernos profesionales antivirus, aunque los expertos contemporáneos de virus no solamente analizan y neutralizan los virus, sino que lo más importante es que proporcionan módulos de protección, detección y desinfección.

Burger aprovechó el trabajo de Fix, y publicó el código utilizado para neutralizar a Viena en su libro, Virus informáticos: La enfermedad de ata tecnología, similar al escritos por B. Khizhnyak's, "Escribiendo virus y antivirus". En su libro, Burger explica como el código de virus puede ser modificado para eliminar su capacidad de reproducción. Sin embargo, el libro probablemente ganó popularidad porque explicaba cómo se crean los virus, sirviendo como un estímulo a miles de virus que fueron parcialmente o completamente desarrollados a partir de las ideas expresadas en este libro.

Este año aparecieron muchos otros virus para ordenadores compatibles con IBM como:

    el famoso virus Lehigh , nombrado en honor a la Universidad de Pensilvania donde fue detectado por primera vez. Irónicamente, esta Universidad es el alma mater del padre de la virología informática moderna
    la familia de virus Suriv;
    varios virus que infectaban el sector de arranque: Yale en Estados Unidos, Stoned en Nueva Zelandia, Ping Pong en Italia;
    el primer virus de archivo auto-cifrado: Cascade.

Lehigh pasó a la historia como el primer virus que causó daño directo a los datos: el virus destruía la información de los discos. Afortunadamente, había varios expertos de ordenadores en Lehigh University que eran diestros para analizar los virus. Como resultado, el virus nunca dejó la universidad, y Lehigh nunca fue detectada en el mundo real.

El virus Lehigh iniciaba una rutina destructiva que eventualmente borraba tanto los virus como datos valiosos. Lehigh primero infectaba solamente los archivos de sistema command.com. Después de infectar cuatro archivos, comenzaba a destruir los datos, es decir, eventualmente se destruía a si mismo también.

En esta época los usuarios habían comenzado a tomar más en serio la seguridad y aprendieron a protegerse de los virus. Los usuarios más cautelosos aprendieron a monitorear el tamaño del archivo command.com. El aumento del tamaño del archivo command.com, era la primera señal de una infección potencial.

La familia Suriv de virus (lea el nombre en sentido inverso: viruS) escrito por un programador israelita no identificado fue muy interesante. Igual que con el virus Brain, es difícil determinar si esto fue meramente un experimento que salió fuera de control o la premeditada creación de un programa malicioso. Muchos expertos antivirus se inclinaban a pensar que fue un experimento. El descubrimiento en la universidad Yisrael Radai de fragmentos de código promovía esta versión. La universidad podía mostrar que el autor del virus estaba intentando cambiar el proceso para instalar los archivos en formato EXE y la última modificación del virus fue solamente una versión de eliminación de errores.

El primer miembro de esta familia de virus, bautizado Suriv-1 por su autor, era capaz de infectar los archivos de acceso COM en tiempo real. Para hacer esto, el virus se descargaba solo en la memoria del ordenador y permanecía activo hasta que el ordenador se apagaba. Esto permitía al virus interceptar operaciones con los archivos y, si el usuario descargaba el archivo COM, lo infectaba inmediatamente. Esto facilitaba la casi inmediata expansión del virus a los medios de almacenamiento extraibles.

Suriv-2, en oposición a su predecesor, tenía su blanco en los archivos EXE. Fue en todos sus intentos y propósitos, el primer virus capaz de penetrar los archivos EXE. E

La tercera encarnación, Suriv-3 combinaba características de las versiones primera y segunda para infectar ambos tipos de archivos COM y EXE.

La cuarta modificación del virus, llamada Jarusalem, apareció poco después y fue capaz de extenderse rápidamente por todo el mundo: Jerusalem causó una epidemia de virus mundial en 1988.

El último evento significativo en 1987 fue la aparición del virus cifrado Cascade que recibió su nombre como parte de su carga útil. Una vez que el virus se activaba, los símbolos de la pantalla caían como una cascada a la línea inferior (ver cascade.bmp). El virus constaba de dos partes – el cuerpo del virus y la rutina de cifrado. Al final, el cuerpo del virus se cifraba de forma que aparecía diferente en cada archivo infectado. Después de descargar el archivo, el control era transferido a la rutina de cifrado que descodificaba el cuerpo del virus y le transfería el control.

Este virus puede ser considerado como el precursor de los virus polimórficos que no tienen un código de programa permanente, pero que mantienen su funcionalidad. Sin embargo, a diferencia de los futuros virus polimórficos, Cascade codificaba solamente el cuerpo del virus. Se usaba el tamaño del archivo infectado como una clave de descifrado. La rutina de descifrado permanece sin cambio lo que permite a las soluciones modernas antivirus detectar el virus con facilidad.

En 1988, Cascade causó un serio incidente en la oficina belga de IBM que sirvió como impulso para que la empresa desarrollara su propio producto antivirus. Antes de este hecho, las soluciones antivirus de IBM eran solo para uso interno.

Más tarde, Mark Washburn combinó la información publicada por Ralf Burger sobre el virus Viena con el concepto de auto-cifrado utilizado en Cascade y creó la primera familia de virus polimórficos: la familia Chameleon

Los ordenadores IBM no estaban solos: se escribieron virus también para Apple Macintosh, Commodore Amig, y Atari ST.

En diciembre de 1987 ocurrió la primera y mayor epidemia de red local: el gusano Christmas Tree, escrito por REXX, se esparció en los sistemas operativos VM/CMS-9. El gusano llegó a la red Bitnet el 9 de diciembre desde una universidad de Alemania Occidental mediante un portal de trabajo de Investigación de la red European Academic Research Network (EARN) y luego alcanzó la red Vnet IBM. Cuatro días despúes, (el 13 de diciembre), el virus había invadido la red. Después de descargarlo, el virus mostraba un árbol de navidad en la pantalla y enviaba copias de si mismo a todos los usuarios de la red cuyas direcciones estuvieran en la lista de archivos del sistema NAMES y NETLOG.
   

[size=20pt1989][/size]

1991-1992

1991

La población de virus de ordenadores continúa creciendo, alcanzando una marca de 300. Como el número y la severidad de los incidentes aumentan, la necesidad de una seguridad confiable también aumenta en la misma proporción. A comienzos de 1991 vimos la aparición de más productos antivirus: Norton AntiVirus de Peter Norton, que ahora creía en los virus: Central Point Antivirus; Untouchable de la compañía Fifth Generation System. Estos últimos fueron comprados por Symantec en 1993 y 1994.

Surgieron otros boletines de escritores de virus que emulaban el VX BBS y nuevas personalidades emergieron del sub-mundo de los ordenadores: Cracker Jack (Italy – Laboratorio de Investigación Italiana BBS), Gonorrhea (Alemania); Demoralized Youth (Suiza), Hellpit (Estados Unidos ); Dead on Arrival y Semaj (Reino Unido). La comunidad informática clandestina se estaba formando.

Tequila, virus polimorfo que afectaba al sector de arranque, causó una epidemia significativa en abril de este año. Fue creado por un programador suizo solo con propósitos de investigación y sin malas intenciones. Sin embargo, una copia del virus fue robada por un empleado que conscientemente infectó a otros usuarios.

El verano de 1991 vio una epidemia de virus con Dir_II utilizando un medio fundamentalmente nuevo para infectar archivos: la tecnología de enlaces (link technology). Este virus permanece, hasta estos días como el único ejemplo de este tipo detectado en el mundo real.

1991 fue un año relativamente tranquilo. Era la calma que antecedía la tormenta que se desataría en 1992

1992

Los virus para los sistemas no compatibles con IBM o MS-DOS se esfumaron del primer plano en esta época. Las vulnerabilidades de las redes habían sido eliminadas, los errores corregidos y los gusanos de red perdían las condiciones que requerían para esparcirse ... por lo menos en aquellos momentos.

Por otra parte, los virus que infectaba el sector de arranque (boot viruses) iban ganando popularidad en los sistemas operativos más usados (MS-DOS) en las plataformas más difundidas (IBM-PC). El número de virus crecía astronómicamente y los incidentes de seguridad ocurrían casi cada día. Nuevos programas antivirus continuaban apareciendo al igual que varios libros y varias publicaciones dedicadas a los virus. Estos fueron los antecedentes de algunos avances importantes en la escritura de virus.

En los inicios del año 1992 apareció el primer generador polimórfico: MTE. Su primer propósito era integrarse y utilizar otros virus para facilitar su polimorfismo. El autor de este programa, el infame Dark Avenger, hizo todo lo posible para facilitar el trabajo para los colegas en esta área. El generador MTE se distribuía en forma de un módulo listo para usar, acompañado por documentación.

Gracias al MTE, varios virus polimórficos aparecieron poco después. MTE fue también el precursor de varios otros generadores polimórficos, que causaron dolores de cabeza a muchas compañías antivirus. Incluso después de meses de trabajo, muchas compañías antivirus seguían sin ser capaces de detectar el 100% de las versiones conocidas de los virus polimórficos creados con la ayuda del MTE.

Los primeros programas que atacaban a los antivirus aparecieron durante este año. Peach fue uno de los primeros: este borraba la base de datos del inspector de cambios de Central Point AntiVirus. Si el programa antivirus no podía ubicar su base de datos, entonces actuaba como si hubiera sido instalado por primera vez, recreando la base de datos. De esta forma, se evitaba detectar a los virus, y poco a poco infectaban el sistema completo.

Las fuerzas de seguridad en todo el mundo comenzaron a desarrollar departamentos dedicados exclusivamente a combatir crimen informático. Por ejemplo, el Computer Crime Unit de New Scotland Yard desbarató con éxito un grupo inglés de escitores de virus, ARCV (Association for Really Cruel Viruses). La posición proactiva de las fuerzas de seguridad de Gran Bretaña prácticamente neutralizó las actividades de la comunidad informática clandestina e incluso ahora, no se ha sabido de ningún otro grupo organizado de escritores de virus allí.

En marzo de 1992, fuimos testigos del surgimiento de Michelangelo (el 6 de marzo) y de la histeria que causó en la prensa (este virus había sido detectado en 1991, pero causo un brote sólo en 1992). Aunque algunos expertos predijeron que más de 5 millones de maquinas serían infectadas, solamente unos pocos miles fueron realmente afectadas.

Los constructores de virus VCL y PS-MPC aparecieron por primera vez en julio de 1992. Ellos permitieron que la gente crease sus propios virus al añadir un rango de rasgos maliciosos a los constructores. Esto incrementó el número y el efecto potencialmente destructivo de los virus, como lo hizo el MTE.

1992 también trajo el Win.Vir_1_4, el primer virus para Windows que infectaba los archivos ejecutables del sistema operativo.

A pesar de que el virus estaba mal escrito, tenía una capacidad de propagación limitada, y no tenía una funcionalidad Windows especial, abrió un nuevo capítulo en la historia de los virus de ordenadores.

En lo que se refiere a los fabricantes de antivirus, Symantec compró Certus International junto con su programa antivirus, Novi.