Evolución de los programas malignos desarrollados en Cuba o para Cuba

Autor: Edgar Guadis Salazar / edgar@segurmatica.cu

Resumen

Existen en la actualidad más de un centenar de programas malignos desarrollados en Cuba o para Cuba, algunos de los cuales ocasionan daños a los sistemas que infectan, incluyendo la pérdida total o parcial de la información almacenada en los discos duros y otros dispositivos externos. En el presente trabajo se analizan las características generales de algunos de estos códigos malignos, prestando especial atención a los que han sido más conocidos y relevantes debido a su forma de infección, propagación y efectos ocasionados.

Palabras Claves: Virus, Virus cubanos, Virus para Cuba, programas malignos.

Introducción

La Empresa de Consultoría y Seguridad Informática Segurmática celebra su 20 aniversario en este año 2015 manteniéndose fiel, entre otros, al objetivo de dar respuesta al ciento por ciento de los programas malignos reportados por cualquier vía a la institución y a los desarrollados en Cuba o para Cuba. Es precisamente en este último aspecto en el que se centra el siguiente trabajo, intentando resumir lo que pudiera considerarse su desarrollo evolutivo.

Desarrollo

Aun cuando fue 1988 el año en que se aisló el primer virus informático internacional, llegado al país, nombrado Vienna.648, no fue hasta 1991 cuando se detectó uno desarrollado en el archipiélago cubano, el cual fue identificado como TERMINATOR.A. Tuvo como características fundamentales que se replicó en el Sistema Operativo MS-DOS, teniendo como blancos a ficheros ejecutables .COM, los cuales fueron destruidos durante la propagación al sobrescribir sus códigos. Cuando se ejecutaba una aplicación infectada, solo lo hacía el virus hospedado y no el código del programa original por lo que los usuarios apreciaron que algo extraño sucedía, siendo muy bajo su nivel de propagación. Otra de sus características es que contenía una condición de activación para destruir los primeros 32 sectores del disco activo. En 1992 fue identificada una segunda variante, TERMINATOR.B, que se propagaba adicionando su código al inicio del fichero, mientras guardaba cifrado el código del programa original. El creador de ambos fue el primer autor confeso de programas malignos elaborados en Cuba.

A diferencia de los programas .COM, muy sencillos en estructura y que igualmente fueron víctimas iniciales de los virus reportados internacionalmente, las aplicaciones .EXE con el formato conocido como “MZ” comienzan con una cabecera que le permite al sistema operativo conocer a priori algunas de sus características y estructuras, y en base a ellas las cargan y ejecutan en memoria. Similarmente a lo sucedido extra frontera, los consignados al territorio cubano también tuvieron a estos últimos entre sus hospederos, siendo el identificado como CNTV-2630, el más novedoso.

Este virus infectaba a los ficheros .COM y .EXE y colocaba su código, dividido en dos bloques, dentro del ejecutable. El primero contenía la rutina de descifrado y residía en una posición aleatoria dentro del fichero infectado, mientras que el segundo, que estaba cifrado y contenía prácticamente al cuerpo del virus, era agregado al final del archivo. Una vez que la aplicación así comprometida era ejecutada, podía ocurrir que el código del virus no lo hiciera debido a que el flujo de ejecución del programa no pasara por la zona del fichero donde se encontraba alojado el primer bloque, sin embargo en otras sí y en ese caso éste tenía la función de descifrar al resto del virus y cederle el control. La propagación en los ficheros la hacía, una vez instalado en memoria, cuando comprobaba que estos eran cargados por el sistema operativo para ser ejecutados.

Para escoger el lugar donde alojar su primer bloque seguía paso a paso la ejecución de una cantidad aproximada de cien instrucciones del programa a infectar, de ahí la posición variable pues obedecía al flujo de ejecución, que incluso en un propio programa puede variar, por ejemplo en dependencia de parámetros de entrada o de versiones del sistema operativo, por solo citar a algunas de esas causas. Además, se activaba a partir de una determinada fecha y mostraba en pantalla el mensaje: «A CuBaN NeW TeChNoLoGy ViRuS By SoMeBoDy!».

Si bien este programa maligno, para evitar ser detectado, no infectaba a algunos antivirus reconocidos, el destructivo virus KILL_CVS, reportado en 1999, que tomaba como anfitriones a los .COM, intentó borrar de las computadoras al programa antivirus de factura nacional: CVS.EXE.

Aislado en el propio año, el virus macro WM.Mortal Kombat, fue el primero de su tipo de los destinados al país insular. Escrito en lenguaje Word Basic de Microsoft Word – tal como lo hicieron muchos que se pusieron de moda internacionalmente desde 1995 -, infectaba a los documentos Microsoft Word versiones 6.x y 7.x cuando eran abiertos, y al activarse borraba líneas de texto e insertaba la cadena » MORTAL KOMBAT I».

A partir del 2001 comenzaron a detectarse aplicaciones Windows de 32 bits con acciones malignas, creadas en Cuba o para Cuba. Entre ellas destacaron, de 2004 a 2007, por la cantidad de variantes que las formaron, dos familias de Caballos de Troya y Gusanos identificadas como W32.CTFMON y W32.RED, respectivamente, desarrolladas por el segundo autor confeso. Del primer caso se llegaron a aislar seis que de manera general copiaban diferentes archivos en carpetas ubicadas en los discos y modificaban los registros del sistema para tomar el control cada vez que fuera iniciado. Del segundo, el número aproximado fue de cincuenta y se propagaron fundamentalmente anexadas, con nombres variables, en mensajes de correos electrónicos creados y enviados por ellos desde las computadoras comprometidas a direcciones de correo prefijadas y, en su mayoría, a otras obtenidas desde ficheros almacenados en éstas. Los textos, escritos en diferentes idiomas, tanto en los cuerpos de los mensajes como en los asuntos, también variaban e incentivaban a los receptores a abrir/ejecutar los anexos, por ejemplo:

Asunto: “Feliz año nuevo 2005!!”,

Texto en el cuerpo del mensaje: “Feliz año nuevo para todos mis amigos y conocidos”

Nombre de anexo: Feliz 2005.zip.

Este tipo de práctica, capaz de manipular a las personas, es conocida como ingeniería social, y fue transformada a lo largo de varios grupos de versiones del W32.RED, en la medida en que también era empleada internacionalmente por otros creadores de programas malignos, es decir, su autor siguió la tendencia mundial en el uso de esta técnica. En la mayoría de las ocasiones, una vez que la computadora era afectada por cualquiera de estas variantes ocurrían bloqueos del sistema debido a errores en su implementación. Las últimas versiones detectadas cifraban, entre otros, a documentos de Microsoft Office y mostraban en pantalla mensajes en los que se le indicaba a los afectados que descargaran, desde un sitio determinado de INTERNET, una herramienta para recuperar los ficheros así corruptos, siendo esta una vía usada por el autor en su objetivo de llamar la atención de los usuarios. Aún ejecutada, debido a errores en el cifrado, los documentos quedaban inservibles con la consiguiente pérdida de la información almacenada en las computadoras atacadas.

VBS.SETCH, detectado en 2010, fue el primer virus implementado en Visual Basic Script, con destino cubano. Al ejecutarse creó archivos en el directorio raíz de las unidades lógicas incluyendo soportes de almacenamiento móviles como memorias flash y discos externos, y en otras carpetas existentes o creadas por él. Además modificó registros del Sistema con el fin de ejecutarse, ocultarse y desactivar productos antivirus y creó un nuevo usuario agregado al grupo de administradores. Según un mensaje que mostró en pantalla, el autor se propuso desarrollar una prueba de concepto de “polimorfismo total” capaz de burlar a todos los antivirus. Segurmática Antivirus ha mostrado ser el más efectivo en la detección de todas las variantes reportadas a la empresa. El polimorfismo en cuanto a los virus informáticos se refiere a la técnica de mutar su código de una infección a otra.

En Agosto de 2011 fue aislado el Caballo de Troya W32.VRBAT, considerado el más destructivo de los programas malignos desarrollados en Cuba o para Cuba y el primero, de los reportados internacionalmente, que usó con fines dañinos las propias medidas de seguridad del protocolo ATA, las cuales permiten, entre sus opciones, limitar el acceso a los discos IDE y SATA con el uso de palabras clave. Formado por varios componentes se propagó a través de dispositivos removibles de almacenamiento como las memorias flash y discos externos.

Una vez ejecutado en la computadora garantizó tomar el control cada vez que se iniciaba una nueva sesión de entrada al sistema para continuar su propagación y revisar si se cumplían las condiciones requeridas para su activación, y en ese caso hacer los cambios necesarios que garantizaran la realización de su acción más vandálica la próxima vez que se intentara iniciar el sistema. Esta ocurría aún cuando no se hubiera cargado el Sistema Operativo instalado, pues el programa maligno suplantaba con su código este proceso y fue implementada de forma tal que no acaeciera el mismo día en que se instalara el programa maligno y solo después de haber acontecido al menos seis inicios de sesiones desde ese instante.

Satisfechos esos requisitos procedió a proteger con clave a los discos duros dejándolos inservibles desde el punto de vista de los usuarios, lo que aparentó errores de hardware. La clave en cuestión fue el número de serie del disco algo modificada y el efecto dañino pudo ser ocasionado transcurrido varios días, e incluso semanas, entre la instalación y la activación, en dependencia del uso que se le dio a la computadora afectada.

Uno de los componentes empleados por este programa maligno era identificado con antelación por el producto Segurmática Antivirus, por lo que no se propagó en aquellas computadoras donde estaba actualizado y con la protección permanente activa. La actualización con la identificación del resto de los componentes se liberó el mismo día en que se recibieron las muestras en Segurmática y a partir de sus análisis se comenzó a devolver la disponibilidad a los dispositivos de almacenamiento afectados, que fueron llevados a la empresa. Esta experiencia fue transmitida a especialistas de otras entidades para facilitar su erradicación y llevar a cabo la restauración de los daños.

Conclusiones

En la actualidad la cantidad total de programas malignos desarrollados en Cuba o para Cuba supera el centenar y todos son identificados y descontaminados por el Segurmática Antivirus, un antivirus sostenible, cuya actualización ocupa un volumen muy pequeño, del cuál se pueden obtener los archivos correspondientes tanto en el sitio web de la empresa como en los Joven Club de Computación.

Además, la empresa da respuesta rápida ante afectaciones provocadas por estos programas y cuenta con un soporte técnico especializado que se expande a través de empresas como DESOFT y los especialistas de los Joven Club de Computación y Electrónica.

Referencias Bibliográficas

Consultoría y seguridad informática. (s. f.). Segurmáticasitio. Recuperado el 7 de agosto de 2015, de http://www.segurmatica.cu

Peter, S. (2005). The Art of Computer Virus Research and Defense. Recuperado el 23 de agosto de 2015, de http://www.amazon.co.uk/Computer-Virus-Research-Defense-Symantec/dp/0321304543#reader_B003DQ4WLQ