Analisis de virus
Por Fernando Bonsembiante


Ya hablamos en otra nota del Virus Creation Lab, el programa que permite
crear virus sin esfuerzo. Ahora veremos algunos otros programas
similares.

El Virus Creation Lab fue el primer programa de creación de virus que
llegó a la Argentina, pero no es el único. Además de él, existen muchos
otros, más complejos o más simples, que cumplen la misma función:
permitir la creación de virus sin esfuerzo y sin conocimientos. Vamos a
pasar revista brevemente a algunos de ellos:

Satanic Brain virus tools

Este es el primer generador de virus argentino. Fue hecho basándose en
el VCL, y los virus que generan son variantes de los generados por el
VCL. Su autor se hace llamar Azrael. La documentación está escrita en
castellano, con muchos errores de ortografía. Aclara explícitamente que
los virus que genera están basados en los del VCL ligeramente
modificados. El programa funciona con menúes, de donde se puede
configurar para crear el virus deseado. Las únicas opciones que tiene
son elegir el nombre del virus, que día del mes se activará, y la acción
a realizar, a elegir entre beeps por el parlante de la PC y mostrar un
texto a elección. Con tan pocas opciones, casi podríamos decir que
genera un solo virus con una acción variable. Como en todos los
programas de este tipo, el autor promete una próxima versión con
capacidades destructivas.

Instant Virus Production Kit

Este programa, también llamado IVP, fue creado por Admiral Bailey de un
grupo llamado YAM (Youngsters Against McAfee, jóvenes contra McAfee). El
programa funciona con una configuración que hay que modificar con un
editor de texto común, en modo ASCII. En esta configuración se eligen
las opciones que el autor desee para su virus. Entre ellas se puede
definir el nombre del autor y del virus. Entre las opciones de creación
del virus en sí, se puede elegir el tipo de infección, .com, .exe, ambos
o generar un troyano. Se puede hacer que el virus sobreescriba el
huésped o que su código se agrege al programa. El virus puede hacerse
encriptado o sin encriptar. La rutina de encripción es un simple XOR,
nada complicada, con un valor elegido al azar. Con respecto a la
activación, se puede elegir la fecha y hora, con precisión de segundos.
Lo que hará en el momento de la activación es totalmente configurable.
En principio se puede hacer que muestre un mensaje por pantalla, pero
esto puede complicarse todo lo que se quiera. Existe la posiblidad de
escribir rutinas en assembler que hagan lo que se desee y activarlas con
el virus. Entre los ejemplos que trae hay rutinas desde borrar parte del
disco hasta hacer un ruido extraño por el parlante de la máquina. El
virus generado no es demasiado complicado, y ni siquiera puede hacerse
un virus residente.

G²

G² es un generador de virus creado por Dark Angel de Phalcon/Skism. Como
el IVP, se configura editando un archivo de texto con un editor en modo
ASCII. Este programa puede ser configurado para crear virus de .com, de
exe, y que infecten ambos tipos de ejecutables. En la configuración se
especifica el nombre del virus y del autor. Se puede hacer un virus
residente o uno que infecte sólo en el momento de ser ejecutado. Existe
también la opcion de crear un virus encriptado, tambien en forma muy
sencilla con XOR o con un ADD y un valor elegido al azar. El programa
usa algunos trucos para evitar que se haga un string de detección simple
y único para detectar todos los virus generados con él. Lo que hace es
cambiar al método de encripción al azar y cambiar algunas instrucciones
de lugar para evitar generar el mismo código dos veces aún sin modificar
la configuración. A pesar de todos estos esfuerzos, las pruebas que
hicimos demostraron que el F-Prot detecta sin problemas todos y cada uno
de los virus generados con este programa.

Fernando Bonsembiante es jefe de redacción de Virus Report y está
estudiando los virus informáticos desde hace varios años. Tambien es
miembro de la comisión directiva del Círculo Argentino de Ciencia
Ficción, (CACyF) y participa como columnista de varias revistas sobre
informática. También es consultor en seguridad informática de varias
empresas. Puede ser contactado en Fido en 4:901/303 o en Internet en
[email protected]

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.