Hace como diez años que quiero escribir sobre la cultura de los virii o virus informáticos en los 90s
siendo que hasta el día de hoy encuentro una fascinación con esa parte de la historia
de la computación.
Este artículo es una especie de resumen que me gustaría leer cada tanto para recordar
algunas cuestiones.
La mayor parte de los libros que documentaban todo lo relacionado con virii son bases
de datos analógicas explicando que hace cada cepa (strain) y que particularidades tiene, pero no encontré
nada en la Internet-toda que explique como fue evolucionando este campo desde el punto de
vista de lo que significaba pertenecer a la HPAV scene (Hacking/Phreaking/Anarchy or Art/Virus). Luego también hubo bases de datos digitales
como VSUM o viejas versiones del antivirus F-Prot. Más adelante explicaré un poco sobre esto también.
Para saber mas sobre que es el HPAV ver el artículo la historia de la escena pirata.
Es un artículo largo: andá, buscate una birrita que voy a tratar de llevarte de la mano
en la historia de los virus hasta el año 199x desde el punto de vista de los coders de virus.
Los textos citados se podían conseguir en BBSs de la época. Están todos rescatados y
archivados en El Vault. El rango de los eventos históricos datan desde 1991 hasta 1998.
No se olviden de hacerle click a todos los links que hay en este artículo para no perderse de lo que estoy hablando :) !
40Hex
"El primer virus que me gustaría poner bajo escrutinio es el virus Tiny,
vamos a ver qué escribió sobre él nuestra querida amiga Patti Hoffman (zorra)"
es como arranca el primer artículo de una zine de Virii de principios
de los 90s llamada 40Hex.
The first virus I would like to spotlight is the Tiny virus,
lets see what our good friend Patti Hoffman (bitch) has written about it.
40H Vmag Issue 1 Volume 1 - File: [40HEX-1.002]
https://vault.0x705h.com/en/ezine/40hex/40hex-number-1/40HEX-1.001/530
Patricia Hoffman es un nombre que ha dado vueltas en el mundo de los virii en toda
la década de los 90s. Sobre todo por un software que ella desarrollaba llamado VSUM que hoy se puede
browsear en internet con ese link.
Era una base de datos explicando el comportamiento de cada uno de los virus que ella analizaba.
La gente de 40Hex la puteaba banda, aunque por otro lado, números más tarde parecieran no tan disgustados con ella,
y estas menciones se mantienen inconsistentes a lo largo de la historia de esta publicación:
In case you haven't yet heard Patti Hoffmans VSUM, virus information
summary is now a giant hyper-text database. It's really a good
program, check it out. Can't wait to see a bogus version of that
going around.
40Hex Issue 3 - File: [40HEX-3.007]
https://vault.0x705h.com/en/ezine/40hex/40hex-number-3/40HEX-3.006/540
Varias veces escribieron que Patti Hoffman es una idiota, pero siguen mencionando
que su base de datos [VSUM] está muy bien. Probablemente 'putear' a Hoffman era
una especie de moda que daba cierto status en esa época.
[...]
- Virus Scan by McAffe Asst. (It really is a great tool)
- VSUM (Patti Hoffman is a stupid bitch, but I must admit, this
program is the virus underground bible)
- VSAFE from Central Point Anti-Virus (Not as annoying as Flu-Shot)
[...]
40Hex Issue 4 - File: [40HEX-4.012]
https://vault.0x705h.com/en/ezine/40hex/40hex-number-4/40HEX-4.011/555
Pero si nos ponemos a pensar un toque en el contexto en el que estaba esta gente, no es tan loco.
En esa época Internet no existía - al menos no para el público general - y de pronto hacer un programa
que tuviera potencialmente impacto mundial, un poco de chapa te daba. Además se le adjudicaba cierto misticismo a estos
programas que infectaban computadoras - su denominación virus ayudaba mucho - forzando la analogía entre
una computadora y una suerte de organismo viviente que se "enfermaba". Recuerdo haber leido
publicaciones de computación argentinas refiriéndose a los antivirus (al menos al principio) como vacunas,
y en el desconocimiento general, recomendaciones de no dejar disquettes infectados muy cerca entre sí porque
los disquettes sanos podrían infectarse "por proximidad".
Esto era algo que se decía bastante seguido en esa época. Existía una desinformación general, fogoneada también por los medios masivos de comunicación que decantó en un terror generalizado y basado en el desconocimiento.
Igualito a la actualidad, masomeno'.
Hoy leyendo este material que tiene 30 años y mirándolo desde una distancia donde
"estuve en algunas o en la movida" en los 90s y los 2000s podría resumir este contexto de lo social/adolescente
de la siguiente manera en el mundo HPAV y en los virus en particular, imaginate: como virii coder, con un rango de edad de 12 a 20 años, se conectan a un BBSs del futuro, hacen cosas que nadie entiende. Estos virus tienen impacto mundial. Sus obras se ven reflejadas en "viruspedias" de empresas o investigadores importantes sin contar que es el tema en boga en diarios y TV. Además, siendo adolescente, la validación de un
grupo es importante, y este conocimiento, y los virus que desarrollaban, les otorgaban un posicionamiento superior socialmente dentro del under.
En cierta manera, estaban jugando un juego muy poco claro donde estarían haciendo algo ilegal que todavía hasta el día de hoy se discute. Desarrollar virus era dejar su firma, grafitteando los discos rígidos de miles de computadoras del mundo:
"Sus compatriotas dijeron que escribían virus mayormente por la emoción de hacerlo pero también por el reto y el status que otorga en el under de la computación. El grupo dijo que no está interesado en hacer daño, y es poco frecuente que crearan virus que hagan daño deliberadamente. 'Es una especie de Grafitti - poniendo nuestros nombres en todos lados - y en el proceso se hace daño' - dijo Hellraiser."
His compatriots said they write viruses mainly for the thrill but
also for the challenge and the status it brings within the computer
underground. The group said it is not interested in doing harm, and
seldom creates viruses that are deliberately designed to cause damage.
"It's sort of like graffiti - getting our name across - and damage
happens in the process," he claimed.(* Hellraiser *)
40Hex Number 5 Volume 2 Issue 1 - File: [40HEX-5.005]
https://vault.0x705h.com/en/ezine/40hex/40hex-number-5/40HEX-5.004/572
Todos en mayor o menor medida se sentían de la misma manera.
Y convengamos que estos muchachines alrededor de todo el mundo con suerte superaban los 17 años.
Por ejemplo, este chico Hellraiser, uno de los autores de la revista 40Hex dice que tiene que volver al colegio.
Obtener cierto status era un componente vital dentro de esta cultura, tanto asi que lo ganaban en gran medida teniendo problemas con la ley; algunos de ellos ya estaban haciendo phreaking para poder llamar a BBSs internacionales e intercambiar información sobre virii, en particular un BBS búlgaro que se especializaba en intercambio de virus.
Cada vez más osados, terminan uniéndose varios grupos de desarolladores de virus para llamar por telefono a Patti Hoffman y a John McAfee subiendo así la apuesta. Inclusive habiendo manifestado a lo largo de todas sus publicaciones, que el trabajo de Patti Hoffman y John McAfee apestaba!
Tanto avanzó de esta manera a lo largo de los años la cultura virii, que hasta diseñaron un código de conducta y un manual de estilo de como un desarrollador de virus debía comportarse.
Evolución
A lo largo de los años, esta publicación pasó de ser una revista digital de pibes l33tz a algo mucho más serio y con invaluable valor histórico y técnico. Desde la evaluación de tiempos de acceso de la máquina conforme al tamaño de los virus que desarrollaban hasta artículos sobre técnicas antidebug o de antidebugging. Años mas tarde, en el número 11 discuten sobre polimorfismo avanzado. A principios de los 90s. En la pre-internet. Me vuela la mente.
La actitud desde el principio fue evolucionando hasta cierto grado, donde no solo estaban desarrollando
el estado-del-arte del malware en esa época, sino también que para hacerlo, bajaban línea explicando
en varios artículos esta nueva ola de "falsos desarrolladore de virus" o scriptkiddies que usaban
herramientas para crear virus sin ningún conocimiento o esfuerzo.
Para pertenecer a la escena virii, años más tarde circa 1993, los muchachos ya tenían
la potestad de marcar la cancha. No sin antes tambien discutir largamente sobre la
libertad de distribución de la información y la censura como contrapartida.
Tan importantes se volvieron los chicos de la 40Hex que hasta Sarah Gordon escribió para
su revista digital. ¿Quién es Sarah Gordon? Una investigadora que escribió varios papers sobre malware
en los 90s. Inclusive dió una charla en DEFCON 8. Y además logró entrevistar al desarrollador de virus "más jodido de todos los jodidos": Dark Avenger.
El Minotauro argentino
Minotauro. De todas las publicaciones de esa época, también crecí leyéndolos. Era una publicación argentina que discutía temas HPAV y especialmente virii. Estuve fascinado por años con esta gente.
Los Minotauro eran muchísimo más avanzados técnicamente que los
textos de la 40Hex. Un ejemplo clarísimo de esto es esta
descripción sobre la infección de EXEs donde el autor, Trurl,
da una explicación detallada sobre el porqué de la dificultad de
infectar ejecutables mayores a 640kb.
En la sección anterior mencioné sobre las técnicas anti-debugging
que se estaban utilizando en esta época. Pero Minotauro va mucho más allá. Analizan el
comportamiento de un antivirus (en este caso el Thunderbyte) y van
cambiando el comportamiento de sus virus acorde a lo que ven. Me la juego
que estuvieron debuggeando este antivirus por horas para saber cuales eran
los criterios heurísticos que tenían que sortear.
Digo esto porque no hay manera de analizar los métodos de detección heurísticos de un antivirus sin attachearte al proceso y debuggear. No - hay - manera.
Una cosa interesante sobre esta publicación a diferencia de todas las otras que también trataban estos temas, es que se notaba que estos pibes sabían de lo que hablaban y que no estaban publicando cada cosa nueva que descubrian de algun comando de Linux. Cabe aclarar que en los 90s, Linux era absolutamente desconocido para todo el mundo, y usarlo no era precisamente fácil. Lo que los acercaba más a ser profesionales o desarrolladores de verdad antes que "pibitos del IRC". Aquí muestro un ejemplo:
NOTAS SOBRE EL SOURCE:
El source dado mas arriba es una correspondencia byte-a-byte del
avispa en su "estado natural". Se ve que el autor uso para ensamblarlo el
A86 o algun otro engendro similar, ya que algunos jumps que podrian haber
sido SHORT (EB, 2 bytes) son NEAR (E9, 3 bytes). El TASM me los hacia SHORT,
asi que para mantener una correspondencia byte-a-byte, tuve que "forzarlos".
Ademas, en el ensamblado de este file, hay algunos bytes distintos debido a
que hay algunas instrucciones que realmente tienen dos codigos maquina
posibles:
TASM 3.1 AVISPA ORIGINAL
ADD AX, BX 03C3 01D8
ADD DX, AX 03D0 01C2
ADD SI, AX 03F0 01C6
ADD DL, CL 02D1 00CA
ADD AL, BL 02C3 00D8
SUB CL, DL 2ACA 28D1
MOV SP, AX 8BE0 89C4
MOV AX, CX 8BC1 89C8
MOV BX, DX 8BDA 89D3
MOV DI, BX 8BFB 89DF
MOV AH, AH 8AE4 88E4
MOV ??, ?? 8A?? 88??
MOV DL, DL 8AD2 88D2
https://vault.0x705h.com/en/ezine/minotauro/mino-number-2/TEXT_001.002/67
También nos regalan un hermoso glosario que definía de alguna manera las palabras que se usaban en esa época. Notablemente, algunas sobrevivieron. Finalmente una de las cosas que se hablaba mucho era como "caían" BBSs porque algún usuario subía una de las llamadas bombas ANSI. En este árticulo se explica como funcionaban. Recuerdo que más de chico, estas "bombas ANSI" tenían cierto tinte místico, pero leyendo hoy como se construían, en el fondo era scriptear comandos con secuencias de escape.
Mención especial
Fernando Bonsembiante era un escritor y poeta que trabajó en la publicación Virus Report de MPEdiciones.
Los números se pueden conseguir en el FTP de PVM. Que en paz descanses capo.
Cosas que quedaron afuera en este artículo
- DAN (Digital Anarchy) y otros grupos en Argentina tambien escribían Virus. En 1996 alguien que no sabemos quien es, mandó un monton de muestras de virus a Patricia Hoffman y la mayor parte de los virus argentinos fueron publicados en este año en el VSUM
- Aparece el virus michelangelo que tiene un impacto impresionante en los medios, y muchas empresas antivirus aprovecharon la ola mediática para llenarse los bolsillos con el terror general que ellos mismos diseminaban. Las empresas antivirus ganaron tracción y mucho pero mucho dinero.
- Se crea una naming convention para poder organizar las "cepas" de los virus porque cada empresa y grupo de investigación de virus los nombraba como les parecia.
- Aparece el primer virus stealth interesante.
- Se descubre que se puede modificar la información del filesystem con la century technique
- Sarah Gordon aunque analizaba virus y no estaba de acuerdo con sus desarrolladores, escribió para la 40Hex!
- El Dark Avenger de Sofía, Bulgaria - El desarrollador de virus "Más peligroso del planeta", entrevistado inclusive por Sarah Gordon.
Conclusión
Hay muchísima más tela para cortar sobre este tema. Grafiteros digitales, empresas y grupos de investigación escribieron durante poco más de una década sobre este tema, y algunas técnicas de los 90s todavía estan en boga en el submundo del desarrollo de código malicioso. Con los años, todas estas fuentes van desapareciendo. Es imposible documentar absolutamente toda la historia de la internet y las computadoras, pero hay algunas cosas que deberían seguir registrándose. ¿La razón? Por poner un ejemplo:
El Centro de Coordinación del Equipo de Respuesta de Emergencia Informática de Japón, JPCERT/CC hace un tiempo publicó una herramienta llamada EmoCheck para detectar si el malware Emotet infectó máquinas con el sistema operativo Windows.
El método de detección fue insuficiente, y este es el commit d0708600a88060a311580a4458b103e6acb5b9f1 al cual
se refieren. Métodos de detección de los 90s, en la actualidad, muestran la importancia de recordar el legado de los pibes
de los 90s, y salvar los documentos o los text-files para que no se reinvente una y otra vez algo que no funciona muy bien,
porque ya se demostró en esta década que la escalada de medidas y anti-medidas no funciona.