Análisis de virus: virus chilenos
por Amador Ahumada Zuñiga


Analizamos los dos primeros virus chilenos, detectados en Chile y
también en algunos puntos de Argentina cercanos a Chile, como Mendoza.

A principios de 1993, abruptamente se nos rompe la provinciana
tranquilidad informática, pues aparece en Valparaíso (Chile) un virus
nuevo, que pasaba desapercibido para todos los antivirus, a excepción
del SCAN (97), que lo identificaba como el 1530 (CB 1530) Para quiénes
estamos preocupados del tema fue una novedad, ya que ese espécimen no
tenía registradas apariciones en nuestro país, si bien era conocido
internacionalmente desde 1991, siendo considerado como de una
peligrosidad medio-alta. Investigando a fondo fui encontrando que la
información existente no calzaba con las características que estaba
presentando este supuesto "1530", especialmente los tamaños en RAM, en
archivos y el hecho que éste infecta los .OVL, algo que no logré por más
empeño que le puse, con el bicho nuevo. Después de muchos Análisis y
pruebas llegué a la conclusión de que se trataba del primer virus "made
in Chile", del que sólo se sabía el nombre, CPW y que se habría
originado en la Serena. (Rev. Microbyte, nov. 1992)

Los datos técnicos obtenidos, los entrego en el siguiente cuadro para
mayor claridad:

Nombre : CPW

1º detección : septiembre de 1992

tipo : de archivo

infecta : exe, y com, incluido el command.com forma de infección : al
ejecutarse archivos, y con algunas apertura de archivos; attrib,
scaneos.

tamaño en archivo : 1459 bytes (al final)

tamaño en RAM : 2000 bytes

ubicación en RAM : últimos 2 KB, bajo los 640 (9F83)

lo elimina Ctrl-ALT-DEL : sí

fecha de ataque : 27 de mayo

tipo de ataque : escribe: ¡Feliz cumpleaños CPW! y traba el equipo.
escribe: You are here CPW (raras veces)

antivirus efectivo : Scan (McAfee) lo confunde con el 1530, pero no lo
limpia, Dr. Solomon, última versión F-Prot 2.07 lo detecta y limpia

Cadena para detectarlo : 46656C697A2063756D706C6561A46F7320435057

Observaciones : Borra los antivirus Scan y Clean (McAfee), al ser
ejecutados, en cualquier fecha. Revisa espacio en disco antes de
infectar. No cambia fecha ni hora de los archivos infectados. Controla
algunos mensajes de error del DOS.

Recomendaciones : Reemplazar los archivos infectados Renombrar los
antivirus mencionados

Fallas : Al intentar borrar ARCH. en discos protegidos contra ESCR. se
queda leyendo indefinidamente.

En un comienzo la situación fue compleja, ya que contábamos sólo con el
SCAN, que sólo lo detectaba (como 1530), sin limpiarlo hasta que
aparecieron los upgrades de los otros softwares. En la revista Microbyte
nº 98 realicé el primer Análisis que se hizo de este espécimen.


Chile Mediera: segundo virus chileno

No acabábamos de reponernos de la sorpresa, cuando comenzamos a observar
que aparentemente CPW se comportaba de una manera distinta, al principio
supuse que se debería a la fecha, y que prepararía alguna fechoría, ya
que a esa altura aún no se podía determinar con certeza los días de
ataque.

Pero no era CPW, sino que se trataba de su hermano menor, bautizado como
Chile Mediera, (Chile Mierda), del mismo autor y de algunas
características similares, pero de mucha mayor peligrosidad, como queda
demostrado por el hecho que el CPW aparentemente se está extinguiendo,
pues cada vez reporta menos apariciones, mientras que el Chile Mediera
(CHME) tiene "vuelto loco a medio mundo" en mi país, dada una rara y
peligrosísima característica que analizaremos al final.

Su currículum es el siguiente:

Apodos : CPW 2, CPW Viva

Autor : El mismo del CPW

Tipo : de archivo

Infecta : Exe y com, incluído el command.com (sólo mayores de 10 kb.)
Forma de infección al ejecutarse archivos, y con algunas apertura de
archivos, Attrib, scaneos

Tamaño de archivo :1527 bytes (al final)

Tamaño de RAM : 2000 bytes

Ubicación en RAM : últimos 2 kb bajo los 640 (9F83)

Lo elim.Ctrl-Alt-Del :sí

Fecha de ataque : 27 mayo, 11 septiembre, 28 diciembre

Tipo de ataque : borra archivos, no siempre los ejecutados, y hasta de
cuatro a la vez

Mensaje en pantalla : Viva Chile mierda (rara veces)

Antivirus efectivo : Scan hasta el 104 lo confunde con el 1530 en la
RAM, y en archivos no lo detecta. Scan 106 sólo lo detecta. Scan 108 lo
detecta y limpia. F-Prot 2.09. Dr. Solomon (última versión)

Cadenas p/ detectar : 56495641204348494C45204D494552 (en RAM)
0681FA1B05752BB42CCD2180 (en archivos)

Observaciones : Borra los siguientes programas antivirus al ser
ejecutados, el Scan y el Clean, CPAV y VSAFE (Central Point),
Checkvirus, Toolkit, Guard, Chklist.Cps, al copiarse y al ejecutarse el
CPAV (renombrado) Revisa espacio en disco antes de infectar. No cambia
de fecha ni hora de archivos infect. Controla algunos mensajes de error
del DOS.

Recomendaciones : Reemplazar todos los archivos infectados. Renombrar
los antivirus mencionados.

Fallas : Al intentar ejecutar Arch. en discos protegidos contra
escritura se queda leyendo indefinidamente.

Las diferencias con su hermano mayor son varias e importantes. Borra
varios antivirus más que CPW. Tiene alguna forma de encriptamiento, pues
al desplegarse en la RAM su código cambia con respecto al que presenta
cuando está inactivo en un archivo, esto trae como complicación que para
su detección a través de cadenas se deban ingresar dos, aunque cabe la
posibilidad que se pueda hallar una que mantenga su estructura, pero eso
implicaría un trabajo de chinos.

Por esta razón los Scan hasta el 104 lo detectaban sólo en RAM,
confundiéndolo nuevamente con el 1530, lo que explica el explosivo ritmo
de propagación de éste, en comparación con CPW, que a pesar de ser más
antiguo no ha prosperado mucho.

Otra curiosidad: cuando termina la ejecución de algún programa que
necesita cargar el Command.com, este siempre será buscado en la raíz,
aunque la variable Comspec, esté definida por el usuario a otro lugar.
Incluso normalmente después de ciertos comandos va deliberadamente a
infectar el Command.com de C:. De esta forma se asegura que estará
activo en memoria en cada arranque.

Situación peligrosísima

A mediados de mayo, se comenzaron a reportar con mayor frecuencia casos
de discos duros en que absolutamente todos (o casi) los ejecutables
estaban infectados con uno de los dos hermanos, cosa muy rara, pues los
virus de archivos normalmente infectan al ejecutarse programas o al
hacerse un DIR, lo que hace el proceso relativamente lento.

Después de conversar con usuarios y operadores, analizar todas las
posibilidades, y realizar innumerables pruebas comenzó a revelarse la
explicación. Los dos virus chilenos, el CPW y el Chile Mediera, tienen
una rara habilidad. Al estar activo en la RAM uno de ellos, es decir que
si durante la sesión o el arranque se ejecutó algún archivo infectado; y
se habrá algún archivo por cualquier razón éste será casi
invariablemente infectado. Entendamos la gravedad de ésto, si Ud. da el
comando: C:attrib *.* +r /s (return)

todos o casi todos los .com y .exe de la unidad quedarán infectados con
el virus que esté activo en RAM. ¿No me creen?, hagan la prueba, ¡pero
con un diskette! por si acaso. Debe haber otros comandos del DOS, con
los que esto también ocurra, estemos alertas.

Pero la cosa no termina ahí, cuando un antivirus scanea en una unidad,
debe abrir los archivos para realizar la operación, ¿qué creen que pasa
si uno de los dos chilenitos está en RAM y el software no lo detecta?,
lo mismo que en el caso anterior, se infectan todos los ejecutables,
¿que no me creen de nuevo?, vuelvan a hacer la prueba. (parte de esto
apareció en Microbyte nº 100) Simplificando la cosa, si se realiza un
scaneo con casi cualquier antivirus, dependiendo de algunas condiciones,
todos, o casi todos los archivos investigados, se habrán infectado, así
de simple. Si se escaneó todo el disco duro, todos los .com y .exe se
habrán infectado. El autor de los virus, podría jactarse de que él
programó así a sus creaturas, pero debo bajarle los humos de la cabeza,
es una casualidad. Si él hubiera reparado en el hecho, no les hubiera
ordenado borrar a los antivirus más comunes, pues habrían sido el mejor
vehículo para expandir la infección a niveles increíbles. Más bien creo
que fue un grave error el borrar antivirus, y que de paso alerta a los
usuarios, que algo deberían sospechar al ver desaparecer metódicamente
al software de sus amores. Temiendo que este fenómeno también suceda con
otros especímenes aparte de los ya nombrados, efectúe tediosas pruebas
con el 1575/1591, Jerusalem, cascade, y con el DIR 2, todos muy comunes
en América, y los resultados fueron negativos, concluyentemente.
Escarbando en mis archivos sólo he encontrado algunas características
similares en los especímenes más peligrosos a nivel mundial, tales como
el Dark Avenger, Taiwan 3, 4096 (Frodo), Holocausto y Whale. Algunos de
estos infectan hasta con un Chkdsk, cosa que no pasa en nuestro caso. He
podido determinar muchas variantes para el problema, dependiendo de
algunos factores, principalmente del virus y del antivirus que se trate.
Lo primero que queda claro es que el CPW es más peligroso que su
hermano, (en éste aspecto puntual) pues no se le escapa prácticamente
ningún archivo. Diría que su efectividad es del 98%. En el caso del
Chile Mediera, pro razones de diseño no infecta los menores a 10 kb. y
deja por causas no determinadas un porcentaje de alrededor del 10% del
resto de los archivos, sin dañar. Esto hace que su performance se
acerque aproximadamente a un 85% según lo almacenado en el disco.

MSAV

Para este antivirus, incluído en el MS DOS 6.0, ambos especímenes
simplemente "no existen", por lo que un scaneo con uno de ellos activo
en RAM es el fin de los ejecutables. Lamentablemente este producto no
contiene la opción de búsqueda por cadenas externas, pues es una versión
de batalla que la Central Point negoció con Microsoft. Ni tampoco parece
preocuparle que el ejecutable principal haya sido incrementado, ni
alterado. De los antivirus tratados es claramente el menos adecuado a la
realidad nacional del momento, esperando que con la llegada de los
Upgrades correspondientes esta debilidad se solucione

CPAV

Si se ejecuta (renombrado) este software, tampoco detecta a ambos
hermanos. Por lo que una revisión del disco duro con una de ellos activo
en RAM sería fatal. Afortunadamente éste sí posee la forma de ingresar
las cadenas, lo que asegura su detección. Curiosamente este antivirus no
es infectado por el CHME, incluso sin inmunización. Otro dato, el CHME
borra los archivos de verificación CHKLIST.CPS al ejecutarse el CPAV y
¡al intentar copiarlos!

NAV

Abreviatura del Norton Anti Virus. El NAV.EXE, al ejecutarse es
infectado por cualquiera de los virus si están en memoria, pero este
producto tiene una característica muy positiva. Una de las primeras
funciones que realiza es autochequearse, y si se detecta alterado (se le
agregaron los bytes del virus) no permite completar la ejecución y
vuelve al DOS. Por lo tanto con él no se podría realizar la infección
masiva. Otro asunto es que, hasta la versión que conozco, no es capaz de
identificar a ninguno de los virus chilenos ni en RAM ni en archivos, lo
cual es una gran limitación, pero posee la opción de ingresar cadenas
vía usuario.

SCAN

En el caso del popular SCAN la situación es bastante más compleja, pero
también ocurre, aunque para ello se requiere de la conjunción de varias
condiciones, las que son relativamente fáciles de conseguir. El SCAN
posee la opción /NOMEN que se salta el chequeo de la RAM con lo que se
acelera notablemente el trabajo al estar usándolo continuamente. Pero el
uso de esta opción supone la certeza de trabajar en un ambiente
absolutamente libre de virus, pues de activarse alguno, ya no nos será
avisado, esto es advertido en las instrucciones, pero tal vez no con la
suficiente fuerza. Existen muchos usuarios que han descubierto las
"bondades" de /NOMEM pero no han reparado en las restricciones, y
practican su uso indiscriminadamente. Relataré los hechos ordenados
cronológicamente para mayor claridad:

- El CPW o el Chile Mediera están residentes en RAM, o ambos.

- Se ejecuta el SCAN, renombrado, o sino es borrado por el virus. Muchos
usuarios han renombrado sus antivirus permanentemente, ante la amenaza
de estos entes.

- El SCAN se infecta inmediatamente por lo que al autochequearse, algo
que hace siempre, detecta esa condición y nos avisa, preguntando si
continúa o no. Normalmente si uno está al corriente de la situación,
responde que sí a todas esas consultas.

- Desde este momento la suerte de nuestro disco duro está echada, al ir
revisando los archivos, los abrirá, se infectarán y después se hará el
scaneo. Este es el único consuelo que nos queda, la infección se produce
antes, por lo que nuestra pantalla se llenará de nombres de archivos
infectados, deteniéndose cuando se completa, esperando que se pulse la
barra espaciadora para continuar revisando e infectando. Se debe ser muy
observador, demasiado quizás, la primera vez que esto ocurre para notar
que los archivos que van a apareciendo son absolutamente todos los .com
y los .exe en el mismo orden. Si se reparara en ello con pulsar
control-pausa, se pararía el proceso pero no es fácil, lo digo por
experiencia propia, y a mucha honra.

- Existe una posibilidad agravante, si se agregó /NOPAUSE, que evita que
se detenga el scaneo cuando se llena la pantalla de información, no
habrá espera al llenarse ésta y el proceso ocurrirá más rápidamente.

Amador Ahumada Zuñiga es profesor y programador de Valparaíso-CHILE.
Comenzó con el ya legendario ZX 81, actualmente dicta clases en el
Instituto PROCAP y en ASICOM, siendo creador del primer curso de Control
de Virus Computacional, aprobado por el Sence.

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.