por Fernando Bonsembiante
En 1992 los virus tuvieron una gran publicidad
gracias a que se activaba el Michelangelo el día 6 de
marzo. Probablemente la causa de tanto interes repentino
de la prensa fue que era muy destructivo y estaba
diseminado en gran cantidad de máquinas. El día fatídico
se reportaron muchos casos de información perdida, pero
mucha más gente ni siquiera prendió su máquina por
miedo
a lo que pudiera pasar. Las pérdidas que originó este
virus, por lo tanto, no solo deben contarse por la
información destruida, sino por el lucro cesante causado
por tantas máquinas apagadas. Quien sabe que hubiera sido
peor, si nadie hubiese estado advertido del virus quizá
hubiesen habido muchas más pérdidas de información,
pero
de esta forma se perdió un día de trabajo para mucha
gente. Seguramente si la gente supiera más sobre virus no
habría estos problemas. Se dijeron muchas cosas absurdas
de este virus, por ejemplo que se contagiaba por modem,
cosa ridícula, ya que la única forma de contagiar un
virus es en el momento de ejecución de un programa (o en
el booteo de un disco, que tambien es la ejecución de un
programa). Para transmitir un virus por modem hay que
transmitir un programa infectado y el que lo recibe debe
ejecutarlo. En el caso de un virus de boot esto es mucho
más complicado ya que se debería enviar una imagen de
disco y reconstruirla del otro lado, y bootear con ese
disco.
Michelángelo es un virus de boot sector, que lleva
ese nombre porque se activa en la fecha de cumpleaños del
genial artista italiano. Se cree que se originó en Suecia
o en Holanda, o por lo menos fue aislado allí. Está
basado en el virus Stoned, pero a diferencia de este
último, que es inofensivo, Michelángelo es altamente
destructivo cuando se activa. El virus queda residente en
memoria cuando se intenta bootear con un diskette
infectado, y aunque el disco no contenga el sistema
operativo puede copiarse a un disco rígido. Se instala
residente dentro de los 640k de memoria del DOS, y ocupa
2k. El DOS va a reportar 2k menos de memoria disponible
si el virus está activo. El virus se instala en el boot
de los diskettes, y copia el boot original en uno de los
sectores finales del directorio. En los discos rígidos se
instala en la tabla de particiones y copia la tabla
original en una parte del disco que normalmente no se
usa. Cuando el virus está activo en memoria infecta cada
disco al que se acceda para lectura o escritura. El día 6
de marzo (de cualquier año) se activa su rutina de
destrucción. Esta rutina toma un área de memoria y copia
su contenido secuencialmente en el disco rígido, con lo
cual se pierde toda la información, e incluso el DOS no
reconoce más el disco ya que sobreescribe la tabla de
particiones. La mejor forma de detectarlo es usando el
Scan, con la precaución de que sea la versión más nueva
que se pueda encontrar. Al momento de escribir esto, la
última versión es la 100. Para limpiarlo podemos usar el
Clean o el Mdisk.
El virus Ping Pong es el primero en hacer explosión
en Argentina. Fue descubierto en marzo de 1988, y en poco
tiempo estuvo en nuestro país, donde se convirtió
rápidamente en epidemia. La falta de conocimiento sobre
los virus lo ayudó a que se diseminara por todos lados, y
fuera incontrolable en un principio. En centros
universitarios como la Facultad de Ciencias Exactas de la
UBA o la Facultad de Informática de la Universidad de
Morón era difícil encontrar un disco sin infectar. El
desconocimiento del tema llevó a que pasara bastante
tiempo hasta que se empezaran a tomar medidas. Solo
despues de algunos meses medios como Compu Magazine
empezaron a publicar formas de desinfectar los discos, y
se aplicaron políticas de seguridad en las universidades.
Lo que siempre se ve como positivo de esto fue que la
gente empezó a conocer el DOS más profundamente, por
ejemplo, a conocer el boot sector, para que servía y que
era, ya que se usaban las máquinas pero nadie sabía como
funcionaban realmente. Demostró que la ignorancia es el
peor enemigo. Por eso mismo, pensamos que la mejor forma
de combatirlos y evitar que se repita una epidemia de
esas proporciones es conocerlos lo más posible. Otro
efecto que causó en la gente es la confusión entre el
síntoma y el virus en si. Como tenía un síntoma muy
evidente, la famosa pelotita que rebota, pensaron que
todos los virus debían ser tan visibles. Los siguientes
fueron más ocultos, y se limitaban a reproducirse o
destruir sin avisar al usuario.
El Ping Pong original no podía infectar discos
rígidos, pero la versión que se popularizó aquí
fue la B,
que podía hacerlo. Se creó una variante en Argentina,
probablemente fue la primera variante de virus originada
en el país, el Ping Pong C, que no mostraba la pelotita
que rebota en la pantalla. Este virus está extinto en
este momento ya que sólo podía funcionar en máquinas
con
procesador 8088 o 8086, porque ejecutaba una instrucción
que es indocumentada en estos e ilegal en los siguientes.
Piazzolla es un virus que infecta todos los archivos
.COM, ejecutados despues de que esté activo en memoria,
excepto el command.com. Su síntoma más notable es que el
archivo infectado crece en 874 bytes, y que se instala
como un residente de 1,136 bytes. Tambien toma la
interrupción 21h. Una vez que está residente, infecta
todos los archivos .com que se ejecuten. No cambia la
fecha y hora del archivo. En el programa infectado se
pueden ver los siguientes textos:
"Piazzolla"
"COMMANDCOM"
"Piazzoll.$$$"
No hace nada, excepto reproducirse.
En el programa infectado por Piazzolla, primero está
el código del virus, y a continuación el programa
original. Cuando el DOS carga el programa en la memoria,
deja el virus primero y el programa original a
continuación. Lo que empieza a ejecutarse es el código
del virus, ya que la ejecución de un .com empieza en el
principio del archivo, cargado por el DOS en la posición
de memoria CS:0100h
Es interesante que veamos como funciona en detalle,
ya que es un virus sencillo de archivos .COM, y no hace
uso de ningun truco extraño del sistema operativo,
funciona como si fuese un residente común y corriente.
Instala una rutina en la interrupción 21h (en la
función DDh) que restaura el programa cargado a
continuación del virus y le da control a este. Cuando se
carga un programa infectado, lo primero que hace es
llamar a esa función, (poniendo en ah 0DDh y llamando a
la interrupción 21h). Si el virus ya está activo en
memoria, esta rutina copia el programa original desde la
zona de memoria en que lo cargó el DOS, (a continuación
del virus) a donde debería estar normalmente, en
CS:0100h. Obviamente, el CS es el CS del programa cargado
y no el de la rutina residente del virus, que es
distinto. Despues de restaurar el programa, salta a la
dirección de origen del mismo (CS:0100h) con lo que lo
ejecuta. De esta forma no se nota nada raro al ejecutar
un programa infectado.
En el caso de que el virus no esté ya presente en la
memoria, instala una rutina propia para la interrupción
21h, y reserva memoria para dejar su código completo
residente. Es importante este detalle, ya que para
infectar un programa copia el código del virus que está
en memoria antes del programa original. Si no hiciera
esto debería sacar el código del virus del disco, es
fácil ver que esta estrategia es mejor. Por esta causa
los virus suelen ocupar más lugar en memoria que en
disco, o por lo menos el mismo lugar, ya que deben
guardar todo su código en memoria y no solo la parte que
van a usar. Cuando instaló esa rutina, llama a la
interrupción 21h servicio 4B00h para ejecutar el programa
original desde disco. La forma en que lo hace es
interesante, ya que busca el nombre con el que fue
llamado el programa en el environment del mismo. En esa
área de memoria, apuntada por el byte que está en el
offset 2Ch del Program Segment Prefix (PSP), están todas
las variables del environment del programa (path,
comspec, etc.) A continuación de esas variables está el
nombre completo con el que fue llamado el programa. Está
después del primer par de bytes con valor 0 (o sea, un
byte 0 del final de la cadena ASCIIZ (ASCII terminado en
cero) de la última variable de environment, y un byte 0
que señala el final del environment) El código que hace
eso es así:
mov cx,0FFFFh
xor ax,ax
xor di,di
mov es,ds:env_seg ; previamente se hizo env_seg equ
2Ch
busca:
repne scasb ; Repetir mientras zf=0 y cx>0
; Scan es:[di] hasta que sea = ax
(0)
cmp byte ptr es:[di],0
je encontro ; si lo encontró
scasb ; Scan es:[di] hasta que sea = ax
(0)
jnz busca ; repetir hasta que lo encuentre
encontro:
mov dx,di
add dx,3 ; dx = di + 3 (el primer word es el
nro
; de strings despues del
environment)
push es
pop ds ; ds = es
mov bx,13Ah
mov ax,4B00h
push cs ; llama a la int 21h
pop es ; 4B00h load and execute
pushf ; ejecuta el programa huesped desde
disco
; En int21h está la
dirección de
call dword ptr cs:int21h ; la interrupción 21h
original
mov ah,4Dh ; obtiene el codigo de retorno del
programa
int 21h ; para devolverlo despues de terminar
mov dx,cs:tamres ; en tamres tiene el tamaño del
código
mov ah,31h
int 21h ; termina y queda residente
Nótese que no hace una llamada a la interrupción
21h, sino que usa la instrucción call, como si fuese una
subrutina más, pasando por encima de la interrupción
instalada por el programa. Esto es una técnica muy usada
por los virus cuando quieren ejecutar una interrupción
modificada por ellos mismos pero como si no estuviese
modificada.
La interrupción 21h instalada por el virus
básicamente tiene dos funciones. Cuando es llamada
verifica si ah es 0DDh o ax es 4B00h. Si es la primera,
realiza la rutina descrita anteriormente para restaurar
el programa original. Si es la segunda, (servicio de
cargar y ejecutar un programa) infecta al archivo. Veamos
como lo hace: Crea un stack temporario, porque va a usar
servicios de la interrupción 21h, y como es un programa
residente esto causa problemas en el stack. Luego
convierte el nombre del programa que se quiso ejecutar a
mayúsculas (el nombre está en DS:DX) y verifica si la
extensión es .COM. Como el programa puede ser un .EXE
renombrado a .COM, el virus verifica si tiene el
identificador interno de los .EXE, en los cuales los dos
primeros bytes del archivo son los caracteres ASCII 'MZ'.
Si el archivo es el command.com, tampoco lo infecta. Para
saber si está previamente infectado verifica que el
cuarto y quinto byte sean 'ia'. A partir del tercer byte
de todos los programas infectados está el string
'Piazzolla', aunque el virus utiliza solamente los bytes
'ia' como identificador, no el nombre completo. Si no es
un .COM real, es el command.com o ya está infectado,
sigue con la interrupción normal, con un jmp dword ptr
cs:int21h, ya que no debe infectar esos archivos.
La rutina de infección crea un archivo temporario
llamado PIAZZOLL.$$$ donde el copia código del virus
residente en la memoria, y a continuación el programa a
infectar, leyéndolo del disco. De esta forma genera lo
que luego será el programa infectado. Para hacerlo
eficientemente crea un buffer de 20k reservando memoria
con el servicio 48h de la interrupción 21h. Cuando ya
generó el programa infectado, utiliza una estrategia algo
extraña, en vez de borrar el programa original y
renombrar el temporario, borra el original, copia
nuevamente el temporario con el nombre del original, y
borra el temporario. Esto parece una pérdida de tiempo,
pero quizá es un truco para engañar a algún antivirus.
Cuando termina la infección, cambia la hora y fecha del
archivo recien infectado para que sea igual al original.
Mientras está haciendo la copia redirecciona
temporariamente la interrupción 24h (manejo de errores
críticos del DOS) para que siempre devuelva 0, o sea,
para que el DOS no note posibles errores mientras se está
infectando, como ser que no hay lugar en el disco, etc.
Si el virus detecta algún error en algun momento de la
infección, o sea, si la interrupción 21h vuelve con el
flag de carry encendido, aborta toda la operación.