azul1:(DEPECHE.DOC):12/09/1995 << Back To azul1


Archivo Azul; Desensamble/Análisis De Virus ─────────────────────────────────────────────────────────────────────────── Número 001; 15 De Agosto De 1995. Virus Depeche Mode: Comentarios Del Autor. El virus DepecheMode es del tipo no-residente, infectador de archivos EXE y Command.Com. La forma de infectar es la parasística convencional, es decir, el virus se agrega al final del huésped, preservando su antiguo funcionamiento. Algunos otras características son que el virus infecta archivos read-only, y preserva las fechas originales de los huéspedes. El DepecheMode además se autoencripta con una clave diferente en cada infección, con un simple Xor, nada complicado... Este virus tiene la peculiaridad de que, a pesar de ser un virus de infección directa, es altamente infeccioso. La eficiencia en un virus de este tipo esta dada por la forma de buscar archivos en el disco infectado, y el DepecheMode combina unas cuantas de estas técnicas para poder hallar víctimas la mayoría de las ocasiones. Para comprender un poco mejor todo esto, recordemos cual es la filosofía de un virus de infección directa, y cuales son las mencionadas 'técnicas': Los programas de este tipo realizan sus infecciones cuando se ejecuta un archivo infectado exclusivamente, no quedando residentes en memoria (salvo obviamente, si se combinan los dos tipos de virus). En un principio, se suele buscar sólo en el directorio 'actual', pero debido a que en ese caso las posibilidades de distribuirse bien son muy limitadas, los virus suelen usar ciertas 'técnicas' para buscar víctimas por otros lados; las más utilizadas son: - Buscar subdirectorios en el directorio actual, y en caso de haberlos, pasar a buscar víctimas allí. - 'Subir' por el árbol de directorio (O sea, sería como hacer '..' desde el prompt) hasta encontrar algún archivo adecuado para infectar. Se suele llamar a esta técnica 'DotDot' o 'PuntoPunto' (traducción literal) por razones obvias... - Una técnica bastante interesante, y con muchas posibilidades, es buscar en el 'PATH' definido en el environment. Las ventajas de esta opción son muy amplias, ya que generalmente los directorios colocados en el path son los que contienen los programas más requeridos por los usuario, y de esta forma el virus puede garantizarse bastantes ejecuciones de su código, y por lo tanto, bastantes infecciones. Veamos ahora que hace que el DepecheMode tenga un grado de virulencia relativamente alto. Precisamente, el virus combina varias de las recién mencionadas formas de buscar víctimas para asegurarse alguna infección por cada corrida. Además, cada vez que es ejecutado, busca en la variable COMSPEC del environment la ubicación del Command.Com, y si no está infectado...Lo infecta!. Seamos un poco más específicos. Lo primero que busca el virus es el Command.Com (a no ser que el archivo ejecutado sea precisamente ese). A continuación buscará de varias formas tres archivos a infectar (si se infectó el Command.Com, serán sólo dos). En un principio, la búsqueda se realizará en el directorio actual, y si no encuentran suficientes víctimas allí, prueba 'subir' ('DotDot') por el árbol de directorio. Si aún no termina de infectar 3 archivos, existen dos posibilidades: si el archivo ejecutado era el Command.Com, se busca en el directorio \DOS (que en el 80 % de las máquinas está definido como el directorio del DOS), y si no, utiliza la ya explicada técnica de buscar en los directorios del Path. La ejecución del virus termina cuando se infectaron 3 archivos, o se agotaron todas las formas de buscarlos (pueden haberse infectado 0 1 o 2 en este último caso). Me preguntarán ahora...¿No se hace lento el proceso con todo esto?. Entramos en el eterno dilema de Efiencia En El Trabajo Vs. Tiempo De Ejecución. La conclusión a la que llegué cuando diseñé este engendro, es que dado lo pequeño de los tiempos de corrida de los programas a bajo nivel en los procesadores actuales, y a la alta velocidad de los discos rígidos modernos, era preferible sacrificar un poco de velocidad por una buena rutina de búsqueda...Y de hecho, en la mayoría de las máquinas que corrieron el virus, su actividad pasa desapercibida...Y las infecciones suben bastante bien! ;) El virus se 'activa' el día 30 de cada mes, mostrando un mensaje. Cada vez que se ejecute un programa infectado en ese día, DepecheMode mostrará un mensaje en honor al grupo musical que le da nombre, y realiza un simpático efecto visual: Cambia los atributos de todos los caracteres en la pantalla. En resumen, un virus no demasiado complicado, pero que, dentro de todo, me dio muchas satisfacciones y le tengo bastante cariño. ;). El fuente original está bastante ordenado y comentado, por lo que creo que no van a tener problemas en entender su funcionamiento. ¡Qué lo disfruten! Walt DiZnEy