G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

En 1995 surgieron los primeros virus de macro. Hasta entonces, sólo se atacaban los archivos ejecutables y los sectores de arranque. Los virus de macro representan un desafío importante para los detectores de virus. Melissa, Loveletter, Sobig y sus consortes establecen cada vez nuevos récords de velocidad en su propagación.

"DMV" y "Vigilante nocturno" son los primeros virus de macro. "Concept 1995" fue el primer virus de macro de dominio público que se extendió sin oposición por los sistemas ingleses.

El virus Hunter.c fue el primer virus de macro polimórfico de Alemania.

Wm.Concept fue el primer virus de macro “in the wild” para Word (si descontamos los agentes infecciosos HyperCard). Sólo contenía el mensaje "That's enough to prove a point." (algo así como: "esto basta como prueba") y poco tiempo después era el virus más extendido en todo el mundo. Wm.Concept creó la especie de virus "Proof of Concept". Los virus PoC sólo demuestran que es posible aprovechar un punto débil determinado sin producir verdaderamente daños. El reconocimiento de los virus de macro exige grandes esfuerzos a los escáneres de virus, y no sólo debido a los formatos siempre cambiantes de los lenguajes de script y los archivos de Office.

Aparecen los primeros generadores de macros para virus de macro alemanes o ingleses. Los virus de macro ya no se limitan a Word, sino que apuntan sus armas también a Excel y AmiPro. También saltan las barreras entre los sistemas operativos y atacan tanto a PC como a Mac.

Laroux es el primero que infecta archivos MS-Excel.

Boza es el primer virus que ataca al formato PE-EXE de archivos de Windows 95. Lo escribió Quantum, un miembro del grupo australiano de autores de virus VLAD.

Los virus se hacen cada vez más especializados y atacan selectivamente los puntos vulnerables de los programas, sistemas operativos o elementos de hardware.

Aparecen los primeros scripts mIRC que se propagan como gusanos entre los usuarios de los chats interactivos de Internet.

Aparece el primer virus para el sistema operativo Linux.

Strange Brew es el primer virus para Java.

Si descontamos los virus de macro, que ahora también pululan por Access y otros programas, los ordenadores con MacOS habían estado a salvo de virus desde hacía 3 años por lo menos. El gusano Autostart.9805 invierte esa tendencia. Autostart aprovecha el mecanismo Quicktime Autostart de los PowerPC y se copia en los discos duros y otros soportes de datos. Determinados archivos se sobrescriben con datos basura y, de esa manera, se hacen inservibles. AutoStart se propaga desde Hong Kong por todo el mundo. Más detalles...

Netbus y Back Orifice suponen la aparición de los backdoors o puertas traseras, que permiten vigilar y controlar a distancia el ordenador de la víctima sin que ésta lo note. En relación con Back Orifice, surge repetidamente la discusión de si se trata de un programa de mantenimiento a distancia o de control a distancia. Como las funciones de mando a distancia se pueden ejecutar sin el conocimiento del usuario, Back Orifice debe considerarse un troyano. Con Back Orifice, un atacante consiguió introducirse a mediados de 2000 en la red corporativa interna de Microsoft.

En junio aparece CIH (Spacefiller, Chernobyl) en Taiwan. Está dotado de una de las peores cargas destructivas de la historia. Vuelve a suscitar la pregunta de si los virus son capaces de destruir el hardware. Cuando se activa su función nociva (el día 26 de abril), sobrescribe la flash BIOS y la tabla de particiones del disco duro. De este modo, ya no se puede iniciar el ordenador. En algunas placas madre se tuvieron que cambiar los componentes de la BIOS o reprogramarlos. Pero incluso después de la recuperación del sistema se habían perdido los datos. El autor, el estudiante chino Chen Ing-Hau, no tiene que responder ante los tribunales. Más detalles...

VBS.Rabbit es el primero que utiliza Windows Scripting Host (WSH). Está escrito en Visual Basic y ataca otros archivos VBS. HTML.Prepend demuestra que se pueden infectar archivos VBScript y HTML.

Dr. Solomons fue comprado por Network Associates. Como antes había sucedido con McAfee, los clientes se distanciaron del programa.

En marzo, el gusano "Melissa" consigue infectar el primer día de su aparición miles de ordenadores y se propaga como un reguero de pólvora por todo el mundo. Envía correos electrónicos a las primeras 50 direcciones de la agenda de Outlook y muchos servidores de correo se colapsan por la avalancha de correos. En agosto, David l.Smith confiesa haber escrito el gusano.

Happy99 crea una copia de cada correo enviado por el usuario y la vuelve a enviar con el mismo texto y la misma línea de asunto más el gusano en el archivo adjunto. Esta táctica también funciona en los postings de Usenet.

En junio, ExploreZip se camufla como archivo autoextraíble que se envía como respuesta a un correo entrante. Se propaga a través de los accesos compartidos de la red y puede infectar un ordenador de la red sólo por la imprudencia de otro usuario de la red. La función nociva busca en el disco duro programas C y C++, archivos de Excel, Word y Powerpoint y los borra. Más detalles...

Además de por vía del correo electrónico, Pretty Park también se propaga mediante los chats interactivos de Internet (IRC). Este gusano contaba con mecanismos de protección y camuflaje muy efectivos que impedían que se pudiera eliminar. En el siguiente escaneo de virus, el gusano se considera legítimo. En ocasiones, también bloqueaba los escaneos de virus. Mediante una manipulación del registro, Pretty Park se ejecutaba antes que los archivos EXE, con lo cual se comunicaba la infección de todos los archivos EXE.

Para los usuarios de Outlook, en noviembre Bubbleboy hace realidad la visión de "Good-Times", que profetizaba la infección de un ordenador al abrir un correo electrónico (también en el modo de vista preliminar). Bubbleboy aprovecha para sus fines un error en una biblioteca del programa.

A pesar de todas las profecías, no hay ningún gusano del milenio que merezca ese nombre.

Palm/Phage y Palm/Liberty-A, aunque raros, son absolutamente capaces de atacar las PDA con PalmOS.

El gusano en script VB VBS/KAKworm aprovecha un punto débil de scriplets y typelibs de Internet Explorer. De modo similar a BubbleBoy, se propagaba al abrir un correo electrónico (también con la vista previa).

En mayo, un gusano envía un alud de correos electrónicos a partir de la agenda de contactos de Outlook con el asunto "I love you" y causa daños del orden de miles de millones, sobre todo en las redes de grandes empresas. En este caso, las redes también se sobrecargaron completamente en poco tiempo. A partir de la versión original de un estudiante filipino llamado Onel de Guzman se derivan numerosas variantes. Los expertos americanos hablan del virus más maligno de la historia de la informática.

El autor de W95/MTX intentó por todos los medios impedir la eliminación del ordenador del híbrido de gusano y virus. Envió un archivo PIF con doble sufijo de archivo por correo electrónico. Bloqueó el acceso del navegador a algunos sitios Web de fabricantes de antivirus, infectó los archivos con el componente de virus y algunos archivos fueron reemplazados por el componente de gusano.

Después de Loveletter y sus muchas variantes, en las pasarelas de correo se filtraban sencillamente los correos con las líneas de asunto correspondientes. Stages of Life varió la línea de asunto y consiguió pasar por las mallas de los filtros.

En septiembre nace Liberty en Suecia, el primer troyano para agendas personales PDA. Se propaga al sincronizar la agenda con el ordenador y borra las actualizaciones.

En febrero circula un gusano de correo electrónico con un adjunto que, supuestamente, contiene una foto de la tenista rusa Anna Kournikova. Al abrir el adjunto se instala el gusano que se envía a todas las direcciones de la agenda de contactos de Outlook.

También Naked se difunde vía correo electrónico. Alega que se trata de una animación flash de una mujer desnuda. Al abrirlo se instala y se envía a todas las direcciones de Outlook. Como también borra directorios de Windows y de sistema, deja el ordenador inservible. Sólo instalando de nuevo el sistema operativo puede volverse a utilizar el ordenador.

Code Red, que aparece en julio, aprovecha un error de desbordamiento del búfer en el Internet Information Server (IIS) Indexing Service DLL de Windows NT, 2000 y XP. Escanea al azar direcciones IP en el puerto estándar de conexiones de Internet y transmite un troyano que entre los días 20 y el 27 del mes inicia un ataque de denegación de servicio (DoS) contra el sitio Web de la Casa Blanca. La eliminación del virus es muy laboriosa y se traga miles de millones.

En julio se propaga SirCam a través de las redes y mediante Outlook Express, y trae algunas novedades. Hace que se active un archivo EXE cada vez que se enciende el ordenador. Es el primer gusano que lleva su propio motor SMTP. Pero no sólo se envía a sí mismo, sino también los datos personales que encuentra en el ordenador.

Nimda se difunde en septiembre y constituye el primer gusano de Internet que no necesita ninguna interacción del usuario. Para su difusión se vale de los correos electrónicos y de brechas de seguridad en los programas. Numerosos servidores de la red se sobrecargan y los sistemas de archivos infectados están abiertos para que todo el mundo los lea.

En noviembre, el gusano residente en la memoria Badtrans aprovecha una brecha de seguridad en Outlook y Outlook Express para propagarse. Se instala como un servicio, responde a los correos, espía las contraseñas y registra secuencias de teclado.

El gusano "MyParty" demuestra al principio del año que no todo lo que termina en ".com" es un sitio Web. La persona que hace doble clic en el adjunto "www.myparty.yahoo.com" recibe, en vez de las imágenes esperadas, un gusano con componente backdoor.

En la primavera y el verano, Klez aprovecha el agujero de seguridad de IFRAME en Internet Explorer para instalarse automáticamente al mirar el correo. Se propaga a través del correo y la red y se adjunta a los archivos ejecutables. El día 13 de los meses pares (en versiones posteriores era en otros días), todos los archivos de todas las unidades accesibles se sobrescriben con contenidos al azar. Los contenidos sólo se pueden recuperar mediante copias de seguridad.

En mayo se extiende Benjamin, el primer gusano propagado a través de la red KaZaA. Se copia con muchos nombres diferentes en una carpeta de red. En los ordenadores infectados, se muestra un sitio Web con publicidad. Anteriormente, también habían sido atacadas las redes P2P basadas en Gnutella.

Lentin es un gusano que aprovecha el hecho de que mucha gente no sepa que los archivos SCR no sólo son simples salvapantallas, sino también archivos ejecutables. Comparado con Klez, su efecto de vídeo como función maligna sólo resulta molesto. Su propagación tampoco alcanza a la de Klez.

A finales de septiembre, Opasoft (también llamado Brazil) se propaga como una epidemia. En el puerto 137, escanea ordenadores en la red y comprueba si hay allí permisos de acceso compartido de archivos y/o de impresoras. A continuación, intenta copiarse en el ordenador. Si existe protección mediante contraseña, lee una lista de contraseñas y aprovecha un punto débil al guardar las contraseñas.

Tanatos, alias BugBear, es el primer gusano que desplaza a Klez del primer puesto que ostentaba desde la primavera. El gusano se propaga a través del correo electrónico y la red, instala un componente de espionaje (spyware) y envía registros de las pulsaciones del teclado.

En enero, "SQL-Slammer" infecta en una hora 75.000 servidores SQL, como mínimo, dejando así Internet fuera de servicio durante horas. Aprovecha un punto débil conocido desde hace 6 meses en el servidor SQL de Microsoft que le permite neutralizar el servidor de la base de datos. El SQL-Slammer está formado sólo por una consulta errónea y se carga como archivo en la memoria, por eso los programas antivirus no le reconocen. La consecuencia, en Seattle fallaron los números de emergencia de la policía y de los bomberos, los cajeros automáticos del Bank of America dejaron de funcionar, 14.000 oficinas de correos en Italia tuvieron que cerrar y las operaciones de bolsa sufrieron un duro revés. En Corea, KT Corp estuvo un tiempo totalmente seccionado de la red. Allí, con la fuerte reducción del volumen de transacciones, la bolsa cayó un 3 %. En China bloquearon todo el tráfico de red con el extranjero.

En agosto se propagó Lovesan (alias Blaster) por sí mismo en Internet. Aprovecha una brecha de seguridad que Microsoft había cerrado apenas 4 semanas antes en el servicio RPC/DCOM e infecta la dirección IP de ordenadores elegidos al azar. En un periodo brevísimo se habían infectado cientos de miles de ordenadores (se dice que 570.000). Al poco tiempo Welchia (alias Nachi) empezó a eliminar a Lovesan/Blaster de los ordenadores y a cerrar la brecha de seguridad en RPC/DCOM. A finales de agosto del 2003, Jeffrey Lee Parsons, un joven de 18 años, fue detenido acusado de ser el autor de Lovesan. En marzo del 2005 se le impuso una elevada sanción financiera que luego fue conmutada con la aprobación de Microsoft en la prestación de un servicio social semanal durante 3 años.

El gusano de correo masivo "Sobig.F", con su propio motor de correo, alcanza un nuevo record de velocidad de propagación. Se extiende diez veces más rápido que los gusanos anteriores.

Los virus se convierten en las armas del crimen organizado. Numerosísimos troyanos espían las contraseñas, los números de tarjetas de crédito y otros datos personales. Los backdoors hacen el ordenador controlable a distancia y lo integran en las llamadas botnets. Con los zombis de estas redes se ejecutan luego ataques de denegación de servicio a las casas de apuestas en línea durante la Eurocopa. Los explotadores pagarán sin remedio el dinero exigido por los chantajistas.

Rugrat es el primer virus para sistemas Windows de 64 bits.

Cabir, el primer virus para teléfonos móviles con sistema operativo Symbian e interfaz Bluetooth, es desarrollado por el grupo 29A, conocido por sus virus Proof of Concept. Poco después, del mismo grupo le sigue WinCE.4Dust.A, el primer virus PoC para Windows CE.

El primer gusano para los Smartphones con Symbian que se propaga es CommWarrior.A por vía MMS. Este agente nocivo envía mensajes MMS a todas las entradas del listín telefónico y se presenta con diferentes textos acompañantes como software antivirus, juegos, controladores, emuladores, software 3D o imágenes interesantes.