Habi Hablóg

Viejos virus

Habi -

16/07/2008 17:24:16 -

Posts lúcidos

Hoy me ha dado por revisar mi colección de virus y me han venido recuerdos suficientes como para hacer un post, que por cierto ya toca. Creo que el primer virus que conocí (y padecí por tiempo limitado) fue el Jerusalem (Viernes 13), harto conocido por estos lares. Llegué a conocer también el Stoned, Ping-Pong,... y el Barrotes.

El Barrotes fue el primero que desensamblé, y el primero del que sentí sus efectos. Estando perfectamente desensamblado quise ver su efecto en pantalla, así que con un debugger y a lo vivo le hice creer que era su fecha, pero me equivoqué al poner un breakpoint para ver el dibujo de los barrotes y la rutina se lanzó totalmente. Nada que no pudiese arreglar con el Norton Disk Doctor, pero fue un buen susto de todas formas el que sobrescribiese el inicio de mi disco duro. Posiblemente fue también mi primer trabajo de recuperación de datos en PC.

Cuando estuve en la universidad pasé por una racha creadora. Mis dos preferidos son el Anti-Windows y el virus Poeta.

El primero "vacunaba" a los programas de DOS para que no se ejecutasen bajo Windows; al hacerlo salía un mensaje "This program will NOT run under Microsoft Windows", parodia de los mensajes que aparecían en DOS al ejecutar un programa de Windows.

El virus Poeta (el más cachondo del planeta, que es más malo que la ETA, etc.) te mostraba una poesía antes de ejecutar el programa infectado; lectura opcional, pero espera obligatoria. Internamente era bastante complejo y el texto estaba comprimido internamente, y lo mostraba con colorines y con un desplazamiento pixel a pixel (en modo texto) de abajo a arriba.

Ya por último, hablemos de la joya de la corona. Es un viejo virus de DOS, que contrajo el ordenador de un amigo hace muchos años, y que todavía guardo con cariño y con el honor de ser el mejor virus que he visto nunca. Es una variante avanzada del Dir-II / Creeping Death, según los antivirus.

¿Qué tiene de especial? Bueno, para empezar que NO contagia a los programas. Contagia el propio sistema de archivos (FAT 12 / 16), con lo que los ficheros no engordan y pasan las pruebas de virus sobre ficheros si el virus está residente en memoria.

Básicamente, en la entrada del directorio en el cual se halla un ejecutable redirecciona el puntero al cluster de inicio para que apunte al virus, que está alojado en los últimos clusters (2K) del disco en forma de sectores defectuosos (así el DOS no lo tiene en cuenta, y un usuario normal no se entera).

Cuando se ejecuta un programa, el virus toma el control (debido a que el DOS distingue el tipo de ejecutable por la cabecera y no por la extensión, es válido tanto para COM como para EXE; debido a que el dos lee la cadena de clusters, no lee bytes de más). Una vez activo en memoria, decodifica la verdadera dirección de inicio de los ejecutables que se lancen a continuación para que todo vaya como siempre.

La verdadera dirección de inicio se guarda encriptada en una zona no utilizada en la entrada del directorio. No usada hasta Windows 95 y sus nombres largos, claro, motivo por el cual fue descubierto (os podéis imaginar las corrupciones de datos).

Todos los antivirus lo detectan, ninguno lo quita; no se trata de operar con un fichero sino con el sistema de archivos, leyéndolo recursivamente a bajo nivel, analizando las entradas, obteniendo las direcciones buenas, desencriptarlas y restaurarlas siempre y cuando no sean nombres largos, etc.

Al final acabé haciéndole un programa a mi amigo para limpiarle el ordenador a cambio de un libro como incentivo. Así fue como me gané ese PC Interno de moda.

Post cerrado

Acerca de

Red antisocial

Últimos posts

Últimos comentarios

Calendario

Categorías

Cenas de Abj

Frase célebre

Viejos virus