Están a punto de cumplirse los tres primeros años desde la
aparición de Bizatch (Win95.Boza según la nomenclatura CARO),
el primer virus del mundo para plataformas Windows de 32 bits
(Windows9x/NT), y parece que es hora de hacer recapitulaciones
y estudiar la expansión del fenómeno vírico en este nuevo
terreno.
Una nueva plataforma, un nuevo sistema operativo, ha traído como
consecuencia la desaparición de ciertos tipos clásicos de virus,
y la consiguiente llegada de sus sustitutos naturales. Además es
de vital importancia resaltar el hecho de que el cambio ha sido
un proceso progresivo y paulatino, una adaptación darwiniana a
los nuevos esquemas funcionales.
El cambio más radical ha sido el de la «defunción» de los famosos
virus de «boot», que no han sido capaces de encontrar su sitio en
Windows, a pesar de haber sido desde siempre números uno en las
listas de virus «in the wild» durante la etapa del DOS. El
progresivo relevo generacional lo tomaron los virus de macro,
que por su sencillez estructural y su carácter multiplataforma
han sido una auténtica mina para los escritores de virus que no
se manejaban en ensamblador. Dicen que en muchas ocasiones lo más
sencillo es lo que triunfa, y en el caso de los virus de macro
este dicho se ha hecho bueno: su progresión en cuanto a número
ha sido geométrica, y llevan copando, prácticamente desde sus
orígenes, los primeros puestos de las listas «in the wild».
Por su parte, los virus de fichero siguen siendo los más
«artísticos». Desde la aparición de Bizatch, el primero de la
saga, pasó algún tiempo hasta que empezó a darse un flujo normal
de producción de virus de estas características. En un principio
se trataba más bien de «virus de museo», y así se fueron
sucediendo especímenes como Mr.Klunky, Punch, Harry… el paso
definitivo de la experimentación a la funcionalidad vino de la
mano del escritor de virus peruano del grupo 29A, Jacky Qwerty,
el primero en abrir las puertas a los virus al mundo de la
compatibilidad Win32, y famoso por haber sido el pionero en
numerosas técnicas de programación, como la residencia por
proceso.
De esta manera se ha llegado, con el paso de los meses, a una
paulatina desaparición de los virus de fichero de DOS, que han
cedido el terreno a sus sucesores de Win32. Esto, por otra parte,
ha desembocado en una triple vertiente: en líneas generales, los
únicos virus de DOS de los que hemos tenido noticia en los últimos
meses están caracterizados por un alto nivel técnico, siendo el
Emperor el último ejemplo más significativo; por su parte, los
virus de Win32 en un principio comenzaron siendo extremadamente
«naïve», y no tuvieron que pasar muchos meses para que empezasen
a salir a la luz ejemplares de una gran complejidad técnica, de
la mano de aquellos escritores de virus experimentados en DOS
cuyo proceso de adaptación a Win32 fue un simple cambio de
hábitos de programación. Este doble carril ha venido siendo la
nota dominante del panorama Win32 hasta el último año
aproximadamente, época en la que la situación se ha normalizado,
trayendo como consecuencia la predominancia de virus de nivel
estándar para plataformas Win32.
Por otra parte, la versatilidad de Windows ha traído consigo la
aparición de nuevos tipos de virus hasta ahora desconocidos,
nuevas amenazas que, a pesar de haber sorprendido a propios y
extraños en el momento de su aparición, no han causado demasiados
quebraderos de cabeza a las casas antivirus. Entre los tipos de
virus de nueva generación más importantes cabría destacar los dos
grupos principales: I-Worms y virus de WSH. Mientras que los
segundos no parece que vayan a suponer una seria amenaza, a
pesar de ser capaces de infectar HTML y procesos VBS y JS, los
primeros están compitiendo en los últimos meses seriamente con
los virus de macro en la cabeza de las listas «in the wild».
Los I-Worms son los primeros resultados víricos de la amoldación
total a la integración a la red de los ordenadores por medio de
Windows: estos agentes infecciosos se limitan a infectar y/o
parchear únicamente lo imprescindible, y su mayor amenaza está
en su capacidad de reproducirse por medio de la red, o bien
valiéndose del e-mail, o bien de mensajes en newsgroups o
enviándose por FTP. En el último semestre hemos tenido ocasión
de oír acerca de las «andadas» de ejemplares de este tipo como
Parvovirus, Happy, PrettyPark o, en la última semana, Zipped_Files.
Aparte de éstos, otros dos virus, Melissa y Papa, de macro,
también coparon posiciones privilegiadas en los «top-ten» de
la ITW, llegando el primero hasta el punto de ver involucrado
al FBI en la detención de su autor, un escritor de virus
aparentemente desconocido en la escena.
En cualquier caso la rápida difusión «in the wild» no es algo
exclusivo de I-Worms y virus de macro: ahí están los ejemplos
de, en un principio, Marburg -que llegó a ser distribuido en el
CD de un simulador de vuelo y de la conocida revista de difusión
europea «PC Gamer»- y HPS, y, en una segunda etapa, el
extendidísimo CIH y el versátil Girigat, que ha llegado a
colapsar los sistemas administrativos del gobierno de Grecia.
Es curioso observar también que, mientras que Estados Unidos y
la Unión Europea se disputan el número de autorías de virus casi
por igual -con Sudamérica y Europa del Este a los talones-, un
gran número de las infecciones que se registran cada año tienen
su origen a lo largo de todo el continente asiático con especial
intensidad.
El futuro y la evolución son inciertas, aunque lo que parece
claro es que los virus tienden a ser cada vez más complejos,
debido a las exigencias de la nueva plataforma, y que el camino
está abierto hacia la integración con Internet. Los límites están
en la propia imaginación de los escritores de virus, y el único
freno que existe es el propio tiempo, que es el que va trayendo
consigo día a día las innovaciones en el terreno de Win32. La
duda está en si las compañías antivirus van a ser capaces de
seguir el ritmo frenético de la evolución vírica o si, por el
contrario, se verán finalmente desbordadas por la imaginación
del lado oscuro de la programación.
Deja un comentario