SITUACION DEL VIRUS COMPUTACIONAL EN CHILE.
Por Amador Ahumada Zuñiga


No hay nada mas subjetivo que hablar de virus computacional. Pocas cosas
desatan mas activamente la fantasía, incluso de los mas serios usuarios,
que tratar de hacerlos aportar algunos datos, para una también muy seria
investigación acerca de nuestro tema. Todos juran haber sido atacado por
los especímenes mas exóticos, los que por supuesto se manifestaron de
las formas mas sorprendentes posibles, escapando a toda lógica, violando
incluso, todas las leyes posibles de la naturaleza. El investigador debe
ser capaz de discriminar entre lo que es realidad y fantasía, no puede
comenzar a matricular en su libreta, toda la fauna de virus que le
fueron entregando los entrevistados, pues, la cantidad sería
interminable.

Es por ello que deseché mucha información, alguna incluso "sospechosa"
de ser verídica, solo acepté lo que venía de fuentes absolutamente
confiables. La verdad es que yo tenía un trabajo similar a este, hecho
hace poco mas del año, pero la aparición de los dos primeros especímenes
chilenos trastrocó todo a tal manera, que bien valía la pena volver a
establecer este oscuro ranking.

Hay que aclarar que la lista de especímenes, que doy como presentes en
Chile, podrá parecer muy reducida, pero sólo incluí en ella a aquellos
que realmente tienen una presencia masiva, y que han sido reportados por
varios usuarios en distintas partes del país, es seguro que muchos
otros, han tenido alguna aparición esporádica o puntual, pero nada más.
Se debe tener en cuanta varios factores tales como la geografía de mi
país, inmensamente largo, pero muy angosto. En el norte tenemos
estrechísimo contacto con Perú, y un poco mas restringido con Bolivia,
en el centro y sur es Argentina con quién se realiza la mayor parte del
intercambio en todo sentido, incluyendo el informático y por ende el de
virus.

Otro detalle que puede mover a confusiones, es el hecho que los
especímenes en su mayoría tiene varios nombres, aquí en general se usa
mas el que viene de USA, de MC AFEE y Patricia Hoffman, (a veces tampoco
coinciden entre ellos), pero algunos son conocidos también con la
denominación europea, proveniente principalmente de CARO, (Computer,
Anti Virus, Research Organization). Aquí trataremos de dar los alias mas
comunes.

En este punto debemos hacer una reflexión acerca del curioso hecho que
la producción argentina no haya traspasado las fronteras masivamente.
Pese al estrecho vínculo que existe, hay sólo algunas referencias al
Jerusalem Mendoza y últimamente al Xuxa, pero casi a nivel de rumor.

ANTECEDENTES HISTORICOS.

Es imposible establecer con certeza las primeras apariciones verdaderas
de virus en mi país. Las referencias en publicaciones comienzan a partir
de 1987. Aparentemente los primeros especímenes en llegar fueron: BRAIN,
CASCADA, PING PONG, JERUSALEM, y algún otro tal como el LEHIGH, aunque
este no tuvo una presencia muy destacada.

Se escuchaban las cosas mas increíbles, que eran seres vivos, que al
colocar un disco limpio, junto a uno infectado se podía producir la
infección, que podían electrocutar al usuario a través del teclado, etc.

Luego de los primeros especímenes, comenzaron a llegar los primeros
antivirus internacionales y algunos desarrollados por nuestra gente, lo
que demuestra que el nivel de los profesionales chilenos siempre a
estado al nivel de los acontecimientos.

Las primeras respuestas antivirus debemos recordar, estaban en general
destinadas a limpiar y/o prevenir un sólo espécimen, en particular,
luego apareció la "segunda generación" de antivirus que ya incluían la
capacidad de detectar varios. Desde ese momento la situación comenzó a
mejorar, la información fue llegando a tiempo y se comenzó a dar un
fenómeno que aún se mantiene, por primera vez el remedio estaba, casi
siempre, antes de la enfermedad. Claro, los antivirus, traían incluidos
los últimos bichos internacionales aparecidos, y la mayoría de ellos
tardaba en llegar bastante mas, esto salvo algunas excepciones, entre
las que se encuentran obviamente nuestros dos bichos nacionales.

En cuanto a los factores de propagación parecen ser las instituciones de
enseñanza, de todo nivel, las principales sospechosas, ya que la
inevitable "promiscuidad" en que realizan sus actividades favorece este
hecho.

¿Como evitar que los estudiantes, que practican y hacen sus tareas
lleven sus discos infectados?. ¿Instalando TSRs vigilantes?, si muchos
llevan sus propios Sistemas Operativos de arranque, con configuraciones
personalizadas. Esto es algo que parece no tener remedio en ningún sitio
del mundo. De todas maneras se reciben sugerencias.

Reiterando la extremada subjetividad de un tema como éste, y agregando
el hecho que quien escribe, reside a 120 kms de la Capital, lo que
también puede provocar alguna distorsión en la apreciación, podemos
establecer el ranking del momento, en el muy aproximado siguiente orden:

TAMAÑO TAMAÑO FECHA DE NOMBRE INFECTA EN RAM EN ARCH. ATAQUE VARIOS
CHILE MEDIERA E/C/C.C 2000 1527 27/5-11/9-28/12 (VIVA, CPW2, MIERDA)
1575/1591 E/C/C.C 1840 1575/1591 ALEAT. (GREEN CATERPILLAR)
MICHELANGELO T/P BOOT 2048 --- 6 MARZO
DIR 2 E/C/C.C 1552 691-1024? SIEMPRE
Muy peligroso
JERUSALEM E/C 1808 1808-1813 VIERNES 13
STONED T/P BOOT 2048 --- ----- (MARIJUANA)
CPW E/C/C.C 2000 1459 27/5
SVC 2936 E/C 2960 2936 ----- (2936)
BLOOMINGTON BOOT 2048 ---- ----- (NoInt)
VACSINA E/C/O 1200 1206 -----
1554 E/C/C.C ¿? 1554 ----- (TEN BYTES).
AZUSA T/P BOOT 1024 -- ----- (HONG HONG)
ARMAGEDON C/C.C 1392 1079 ----- (ARMA)
DISK KILLER T/P BOOT ¿? ---- ----- (OGRE)
INVADER E/C BOOT 5120 4096 ----- Multipartito. *
QUICK T/P BOOT 1024 ---- ----- (BRASIL)
DARK AVENGER E/C/C.C/O ¿? 1800 ----- (EDDIE)
1530 ¿? C/E C.C 3696 1530 ----- Ver nota.

INACTIVOS. ¿?

----------
PING PONG (B) BOOT 2048 --- ----- (BOUNCING BALL)
CASCADA C 2064 1701-4 SEP. A OCT. (FALL, 1701, 1704)
BRAIN BOOT 3072 --- ----- (PAKISTANI, ASHAR)
MISTIC C/E/O ¿? 2859-73 ----- (LIBERTY)

NOTA. entre paréntesis algunos alias.

ABREVIATURAS.

ARCHIVOS TIPO :
E = .EXE C = .COM C.C = COMMAND.COM O = .OVL
DISCO DURO.
T/P = TABLA DE PARTICION. BOOT = SECTOR 0.
MULTIPARTITO: Que infecta archivos y sectores de disco simultáneamente.

CPW Y CHILE MEDIERA. Las dos creaciones nacionales (no se puede dejar de
sentir cierto orgullo), que analizamos en profundidad en el número
anterior 10, desde el punto de vista técnico, debemos ahora insertarlas
en el contexto de la fauna vírica general. CHILE MEDIERA pasó del
anonimato total, al primer lugar del ranking en pocos meses. Mientras
que con su hermano CPW ocurría casi lo contrario. Desde que tomó estado
público, a fines del 92 se ubicó muy arriba, pero desde que CHME entró
en competencia, a principios del 93, comenzó un franco proceso de
retirada, hasta tal punto que me atrevería a aventurar que actualmente
se encuentra casi en peligro de extinción, aunque pienso que ninguna
entidad ecologista ni de ningún tipo mueva un solo dedo en su defensa.
No deja de llamar la atención, puesto si bien es cierto el segundo
(CHME) traían algunas mejoras con respecto al anterior, estas no eran
tan importantes como para decidir la vida de uno y la muerte del otro.
Es mas, CPW tiene la ventaja que el SCAN no lo detecta, en ninguna
versión (hasta la 109), sino que lo confunde con el 1530, no siendo
capaz de limpiarlo, esto supone una gran handycap pero no se tradujo en
una consolidación de su posición, es mas hoy podemos ya decirlo, el
CHME, es claramente el primero del rankig, en STAND ALONE y lo mas
peligroso también en redes.

1575/1591 También llamado GREEN CATERPILLAR, presente en todo el país,
en sus versiones antiguas. Este es uno de los pocos virus que no es
capaz de levantar el atributo de sólo lectura de los archivos. Es decir
que un usuario cuidadoso, que mantenga todos sus .COM y .EXE en esa
condición, está totalmente protegido de él, de otros pocos especímenes
(LEHIGH) y de otras desgracias, tales como borrados accidentales,
sobreescritura etc. Esto se logra fácilmente con los comandos :

C:]ATTRIB *.COM +R /S (RETURN)
C:]ATTRIB *.EXE +R /S (RETURN)

El modificador /S hace que el comando se interne en todo el árbol de sub directorios.

1530. Mención aparte merece el 1530, virus poco común, que data de 1991,
y que aparece mencionado por casi todos los usuarios como muy
recurrente, a partir de fines del 92. Pero lo que ocurre es lo
siguiente, el primer virus chileno CPW, es confundido por el SCAN como
el 1530, en todas sus versiones, y con el segundo virus nuestro (CH.
MEDIERA) hasta la versión 105 también ocurre lo mismo. Dada la gran
difusión del SCAN y de nuestros dos virus, prácticamente no hay equipo
donde no se haya presentado esta confusión.

Pero del 1530 verdadero no tengo referencia cierta que esté presente en
nuestro país, al menos en cantidades dignas de ser tomadas en cuenta.
Incluso, el SCAN 108, que reconoce y limpia al CHME, bajo ciertas
circunstancias también lo confunde con el 1530.

MICHELANGELO. Omnipresente en todo el país, en su versión original,
afortunadamente ataca sólo los 6 de Marzo de cada año, o sus estragos
serían enormes. A pesar de ser uno de los mas publicitados y conocidos,
aún algunos incautos son sorprendidos por él, incluso algunas
instituciones importantes. Durante todo el año se dedica a reproducirse
y prepararse para la fecha antes indicada.

STONED. El SCAN hasta la versión 100 aproximadamente, alertaba la
presencia del STONED en RAM, cuando era en realidad el MICHELANGELO.

Esto que no era una falla del programa (es muy largo para explicarlo
aquí), se solucionaba agregando la opción /M, que hace que se busque en
RAM, todos los virus que conoce y no solo los mas peligrosos. A partir
de la versión señalada esta complicación desaparece, pero para todos los
usuarios medios, que no tiene porque saber estas cosas, les quedó la
sensación de haberse enfrentado con el STONED muchas veces, cuando en
realidad era el MICHELANGELO. Teniendo en cuenta esta situación, es que
me atrevo a aseverar que de cada 10 "apariciones" del STONED 7 o mas
corresponden al MICH. el que entre paréntesis también es confundido por
el FPROT, y por otro software, bajo condiciones parecidas. Las versiones
del STONED que se hallan aquí, son principalmente la original, la III, y
el NOINT o BLOOMINGTON. Son muy parecidas en todo, tanto que el SCAN las
identifica a todas como STONED.

JERUSALEM. Uno de los decanos por acá, presente en las versiones
original principalmente y B. A pesar que no hay antivirus que no lo
detecte aún "pilla volando bajo" a algunos usuarios.

DIR 2. También búlgaro, data de 1991. Presente en el país
aproximadamente desde mediados del 92, posee "cualidades" muy singulares
de infección, ya que los archivos infectados no muestran alteración en
su tamaño, a pesar de estar prácticamente destrozados. A veces un CHKDSK
/F a un disco infectado, recupera algunos archivos, los que quedarán con
algunos pocos bytes de mas, pero operativos.

SVC 2936. Este virus tiene el record de ser el que menos tiempo demoró
en llegar a nuestro país, desde su descubrimiento, menos de cuatro
meses, lo que plantea una nueva inquietud ante el futuro, si este
período se sigue acortando. Al estar activo en RAM, oculta el incremento
de los archivos infectados, está bastante difundido a pesar del corto
tiempo que lleva entre nosotros. El SCAN lo identifica como el JUNE 1530
en archivos, pero el CLEAN lo remueve sólo con el código [2936]. Por el
momento, ésta es la única forma de removerlo, ya que FPROT y DR SOLOMON
sólo lo detectan, y para el resto de los A.V. simplemente no existe. A
continuación entrego una cadena provisoria para su detección, la que
hasta el momento no ha fallado, tanto en archivos como en RAM.

0B 9C 1E 06 50 53 51 52 57 56 72 3B

DARK AVENGER. Peligrosísimo engendro Búlgaro, creado en 1989. A pesar de
su alta capacidad infecciosa, está aún muy poco difundido en Chile, es
uno de los mas peligrosos del mundo.

INACTIVOS.

Son especímenes que tuvieron una gran presencia en otras épocas y hoy
solo se presentan en muy raras ocasiones, algunos se extinguen por
razones de "selección natural", es decir porque no pudieron sobrevivir
en la vida real, por los nuevos DOS, o por las nuevas configuraciones
etc., otros como el CASCADA, estaba programado para activarse hasta el
año 1988, el PING PONG trabaja sólo en equipos 8086 - 88 etc. Estos aún
se hallan en algunos discos o subdirectorios olvidados.

OTROS DE MENOR PRESENCIA.

Aparte de los incluidos en el cuadro, podemos citar algunos que
registran apariciones muy puntuales, y sin absoluta seguridad, estos
serían : XUXA, JERUSALEM MENDOZA, JOSHI, YANKI DOODLE, 4096, Y 512.

PARALELO ENTRE CHILE Y ARGENTINA.

Tratando de hacer una comparación entre los diez bichos mas activos en
ambos países, según este trabajo y lo publicado en los Nº 1 y 6 de V.R.
nos encontramos con que los únicos comunes, son : STONED, MICHELANGELO,
Y JERUSALEM. Si la extendemos a los 15 mas activos, se agregaría a
estos, sólo uno mas : DISK KILLER. Es curioso que pese a la cercanía con
Argentina tengan poca presencia allá, algunos tales como el 1575/1591 y
el DIR II, que por acá figuran "bien colocados". Visto desde el otro
punto de vista, llama la atención que de los que puntean en Argentina
algunos tienen muy poca o ninguna presencia en Chile, tales como : 512,
Telefónica, Form, 4096, etc.

Amador Ahumada Zuñiga es profesor y programador de Valparaíso-CHILE.
Comenzó con el ya legendario ZX 81, actualmente dicta clases en el
Instituto PROCAP y en ASICOM, siendo creador del primer curso de Control
de Virus Computacional, aprobado por el Sence.

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.