29A
 
La Bounty | Don Miguel de Mañara | Ishtar | Twinsen | Otto Bus | Gatopardo | Paul Shark | Bokassa | Arsenio Lupín | Liposan | ETIMOLOGÍA DE LOS APODOS | Dede | Güestia | Nuberu | Verbatim | Birdy | Dama del Punt | Ignatius J. Reilly | Scarlett | Sin | Lutz Long | Cenerentola | Eleazar | Rohan | Apodos gatunos | Star-Stress | Tábata | Oka | Clara de noche | Campanilla | Galadriel | Pixi Dixi | Doroty | April | Homer | Panenka | 29A | Cantinflas | Keitel | Valium 10 | Tinuviel | Olivia | GranEnano | Aristogato | ULTimaTE | Belfegor | Morals | Anónimo | Elufe | Don Gato | Garfield | Security | Nick errante | Coque | Matrix | Sapo cansionero | Machu Pichu | Sepik | ___\~~~ | Junebell | Fendetestas | O | Rahel | Escaflowne | Panspermia | Kalukas | lapu lapu | Wasa | Luna | Ardid | Hello | Krazy Kat
 
29A
 
   

Virus 29A
 
Según Morals:


29A (666 en hexadecimal)

Los creadores de virus y la "Virus Scene"
Javier Guerrero Díaz

Este mes, Virusmanía da, para muchos, un sorprendente giro a la dinámica normal de la sección, para acercarse al corazón mismo del underground vírico; conoceremos de cerca el fenómeno de las "e-zines" de virus, centrándonos en una de origen español, 29A; y para complementar el reportaje, incluimos, por primera vez en nuestro país, una entrevista a dos creadores de virus, pertenecientes al grupo 29A. Por fin podréis saber cómo piensan los programadores de los virus. Antes de empezar, aclararemos que nuestra intención al publicar este artículo es simplemente dejar constancia de la existencia de un movimiento, en el campo de los virus informáticos, poco conocido o incluso ajeno al gran público. Por tanto, os ofrecemos el texto sin tomar partido, expresar preferencias o estar de acuerdo con lo expuesto.
Así empezó todo. Se puede considerar a 1987 como punto de partida de la popularización del fenómeno vírico, el año en que se inició la aparición de virus en progresión geométrica; sin embargo, cuando surge un virus se tiende a pensar en su creador como una única persona que sin mayores motivaciones que el afán de notoriedad, o en ocasiones ánimo de hacer daño, crea un ingenio en el más estricto anonimato, guardando celosamente para sí los secretos del mismo y los conocimientos empleados en su desarrollo.
Esto era cierto, y aún hoy se da en ocasiones; pero en Junio de 1991 dos escritores de virus estadounidenses, llamados Hellraiser y Bionic Slasher (seudónimos, por supuesto) decidieron unir sus fuerzas para sacar a la luz algo insólito hasta el momento: una revista de virus en formato electrónico (e-zine) con la que enseñarían nuevas técnicas víricas para evadir a los antivirus más usados, códigos fuentes de virus para mostrar su funcionamiento, etc.

Esta forma de revista fue bautizada como 40Hex, y alcanzó inesperadas cotas de popularidad, tanto que un mes después, con la llegada de cuatro escritores más, se creó Phalcon/Skism, considerado hoy día como el primer grupo de escritores de virus organizados. La e-zine 40Hex siguió revolucionando la "virus scene", hasta agosto de 1995, cuando lanzaron su 14 edición y dejaron de dedicarse al mundo de los virus.

A partir de entonces, tuvo lugar una auténtica vorágine de apariciones y desapariciones de grupos de creadores víricos, como NuKE, Immortal Riot, YAM, los argentinos DAN o los australianos VLAD. Estos últimos han sido los más importantes, ya que fueron los que inventaron la infección de ficheros NewEXE y PE (formatos de ejecutables nativos de Windows 3.1 y Windows 95, respectivamente) y otras plataformas, como Linux, y gran cantidad de técnicas totalmente desconocidas y novedosas (el virus Bizatch o Boza, el primero específico para Win95).

La escena se mueve: El año pasado dos nuevos grupos aparecieron: IR/G, surgido tras la fusión de Immortal Riot y Genesis, y los españoles 29A. Al mismo tiempo, los míticos VLAD fueron decayendo tras la retirada de sus dos estrellas (Qark y Quantum), dejando casi solos a IR/G y a 29A, hasta que varios miembros del primer grupo abandonaron. Esto deja a los españoles prácticamente al frente de la "scene".

Siendo 29A, probablemente, el grupo de escritores más importante a nivel internacional en la actualidad, además del primero y único de procedencia española, hemos creído interesante acercarnos a su manera de pensar y actuar. Para ello, realizamos una entrevista a dos de sus componentes, Mister Sandman y Wintermute.
Nos hablaron de sus orígenes (finales de 1995), cuando un grupo de amigos "con intereses y conocimientos en el campo vírico llevábamos meses intercambiando información, inventando nuevas técnicas, etc.", hasta que un día su líder, Mister Sandman, decidió recopilar el material que habían estado realizando en una e-zine y formar un grupo de escritores de virus. Según cuentan,.."tras largas horas de trabajo y arduas conversaciones, 29A amplió sus fronteras a lo largo de la geografía española, y un año después, en diciembre de 1996, distribuimos nuestro primer número, que sirvió como un tanteo de mercado".

Entrevista
La opinión del "otro lado"Pregunta: En la actualidad, ¿de cuántos miembros se compone el grupo 29A?

Mr. Sandman: Actualmente, el grupo está formado por trece miembros, que lo componemos, por orden alfabético: Aníbal Lecter, AVV, Gordon Shumway, GriYo, j4cKy Qw3r7y, Leugim San, Mr. White, Super, Tcp, The Slug, VirusBuster, Wintermute y Mister Sandman (yo), que soy quien ejerce las labores de "boss". Esta es la composición actual del grupo, pero en unos meses casi con toda probabilidad se unirán al grupo los "supervivientes" de VLAD, que se disolverá tras publicar su última edición, VLAD#8.

Pregunta: ¿En qué estáis trabajando ?

Mr. S.: Llevamos trabajando desde primeros de enero en el próximo número de nuestra revista, 29A#2, de cuyos contenidos por el momento podemos adelantar que ofrecerá, entre otras muchas cosas, un tutorial sobre infección bajo Windows 95, otro sobre VxD's, el primer infector del mundo totalmente portable y TSR para Windows 95 y Windows NT -que además incorpora técnicas inéditas hasta el momento en dichas plataformas (stealth, polimorfismo...)-, el primer virus multiplataforma del mundo (DOS/Windows/W95/Windows NT/Mac OS), y multitud de virus tanto o más curiosos que los que publicamos en 29A#1; entre ellos podemos citar el SuckSexee o el Gollum, que ya han sido distribuidos. Y, claro está, puede que se incluya alguna sorpresita extra.

De momento, desconocemos por completo cuál será la fecha de publicación de la revista, aunque esperamos tenerla lista para finales del verano.
De todas formas, los propios lectores pueden visitar periódicamente el Website oficial del grupo, en http://29A.islatortuga.com, donde está disponible 29A#1 y lo estará, en cuanto la tengamos lista, 29A#2, con la que esperamos superar el récord de los aproximadamente 10.000 ejemplares de 29A#1 que fueron distribuidos a lo largo del mundo desde que empezó a ser ofrecida al publico, hace ahora unos 170 días.

Pregunta: Algo que todos se preguntarán: ¿por qué lo hacéis?

Wintermute: Por dos razones. Primero, como hobby, porque disfruto con ello, realmente, y me reporta grandes satisfacciones, conseguir que funcione tal rutina con la que llevas días, crear cosas originales... el placer de la programación, en definitiva. En segundo lugar, por lo de especial que tiene el hecho de crear vida artificial, ver cómo tiene capacidad de reproducirse, de evadir a sus "depredadores" naturales.

Mr. S.: Yo, personalmente, me tomo la programación de virus como un hobby más. Escribir virus como lo hacemos en 29A es programar por arte y diversión, no por efectividad y destrucción. Al menos en mi caso particular, puedo decir que programo virus igual que un pintor pinta un cuadro o que un escritor escribe un poema, con la diferencia de que yo no cobro por hacerlo. El fin no es otro sino la propia diversión y la realización del ego del programador, que ve cómo su obra que lleva tiempo creando, va tomando forma... y cobrando vida.

Pregunta: Habladnos un poco de vosotros. Cómo empezasteis en el tema, vuestro curriculum vírico, etcétera.

Mr. S.: Mi primer contacto con un virus fue ya hace unos cuantos años, con el WDEF, un infector para ordenadores Macintosh. No obstante, no empecé a trabajar en serio al respecto hasta hace unos dos años, fecha en la que conocí a varias personas con las que comencé a compartir nuestra afición y conocimientos, por medio de BBS (así se originó 29A).

Como curriculum puedo aportar desde un virus para agendas electrónicas Casio hasta unos 10 virus para Mac OS, aunque la parte más importante es la del PC: he escrito unos 20 virus, aunque tan sólo he distribuido -de momento- dos, el Torero y el AntiCARO. Actualmente, trabajo en tres virus más, dos de ellos casi terminados, Esperanto (primer virus multiplataforma del mundo), el Vlad Tepes (un infector de DOS con ciertas particularidades) y el Girigat, un infector del sistema operativo Windows 95.

W.: Siempre me encantaron estos temas; unos años atrás me encantaba mirarme las descripciones del CPAV, y conservaba algún virus en disquetes con un respeto reverencial. Tuve la oportunidad de aprender gracias a cierta gente que me ayudó en mis primeros momentos, gente que conocí a través de mi BBS, y poco a poco y con mucho esfuerzo conseguí salir adelante y hacer algunas cosas "decentes". Me uní a 29A y aquí estoy, preparando algún virus para el segundo ejemplar de nuestra revista.

Respecto a mi curriculum vírico, que haya sacado en revistas tengo dos virus, Delphine y Apocalyptic, y un tercero recién acabado, el Zohra. También tengo alguna otra cosa empezada, pero por falta de tiempo aún están en proyecto.

Pregunta: ¿No consideráis que un virus, aunque no sea destructivo, de por sí es nocivo, al modificar la estructura de ficheros ejecutables?

Mr. S.: Bajo mi punto de vista, un virus nocivo es un virus que causa daños irreparables. Un virus en su estado puro (un programa que se autorreproduce) simplemente "explota" las facilidades que le permite la estructura de un determinado ejecutable para asegurarse su supervivencia, pero en ningún momento daña a sus "huéspedes". El caso más representativo es el de los "cavity infectors", que se limitan a copiarse en zonas no usadas de ejecutables.

W.: Bueno, en ese caso el virus como bien dices "modifica" y no "destruye", con lo que tiene cura. Sin embargo, sí es cierto que muchos virus provocan efectos indeseados, como cuelgues en algunas aplicaciones, por no prever el autor siquiera que esto pudiese suceder. Un buen virus debe evitar todos estos problemas; de nada sirve utilizar las mejores técnicas para ocultarse, si luego el ordenador se va a colgar a la primera de cambio.

Pregunta: En vuestra opinión profesional, ¿cuál es el mejor virus que se ha escrito?

Ambos: El Zhengxi, sin lugar a dudas. Es el virus más complejo que conocemos (y con MUCHA diferencia), como una caja china. En nuestra opinión, su engine polimórfica es la mejor del mundo (junto con la del Uruguay), y el virus en sí es una auténtica enciclopedia de código vírico. Infecta EXEs de 3 tipos (estándar, autoexpandibles y generados por C o Pascal), OBJ, LIB e inserta droppers en formato COM dentro de ficheros comprimidos de tipo ZIP, ARJ, RAR o LHA. Además, utiliza CRC32 para las comparaciones de datos, lo que convierte su análisis en algo prácticamente imposible.

Pregunta: ¿Y cuál es vuestra mejor creación? Habladnos un poco de ella.

Mr. S.: De momento, el Esperanto (casi acabado), es mi proyecto más ambicioso, ya que es único en su género -es el primer virus multiplataforma del mundo-. Funciona bajo cinco plataformas diferentes (DOS, Windows, Windows 95, Windows NT y Mac OS), y a su vez, bajo tres procesadores distintos: Intel (PC), Motorola (Macintosh antiguos y Performa) y PowerPC (Power Macintosh). Esto lo he conseguido gracias a una programación extremadamente cuidadosa y a meses de prueba, y hoy en día creo que estoy en condiciones de decir que he conseguido que sea completamente portable.

W.: Precisamente el que acabo de terminar hace poco, el Zohra. Básicamente se trata de un infector COM y EXE polimórfico con doble rutina de encriptación (la polimórfica y otra bastante original). Además, posee bastantes rutinas "retro", es decir, "anti-antivirus". Por ejemplo, hace que los antivirus AVp 3.0b, F-Prot e Invircible sean incapaces de detectar ningún virus de los que detectan normalmente, ni de utilizar su heurística cuando Zohra está en memoria, pero de manera que el usuario no se de cuenta. Tiene stealth respecto a los archivos y la memoria, y un sistema de tunneling muy complejo (un analizador de código), además de algunas otras características e innovaciones de menor importancia.

Pregunta: ¿Cómo veis a la industria antivirus? ¿Qué pensáis de ellos?

Mr. .S.: Sinceramente, he de decir que me alegra saber que hay gente que se gana la vida gracias a mi hobby (y al de muchos otros escritores de virus). En lo que sí que no voy a entrar es en su forma de promocionar sus productos, cada uno se lo monta como puede y como quiere. Lo que no me interesa es verlos como enemigos... Yo estoy en la "scene" para pasármelo bien, y esa gente no me causa ningún problema desde el momento en que ellos se limitan a cumplir con su trabajo, y yo no programo los virus con fines destructivos, sino lúdicos y (auto) didácticos.

W.: Básicamente, como gente cuyo único objetivo es la venta de su producto, independientemente de su calidad (aunque con excepciones). Me explico: mi rechazo va a la pretensión de muchas compañías de virus, la desinformación del usuario, que en ningún momento tiene claro qué son los virus, y a los que teme de forma irracional. Pongamos por ejemplo los espectáculos que se han ido montando en los medios de comunicación en días como viernes 13 ó 5 de enero, llegando a exponer la situación de tal manera que parecía que todos los ordenadores iban a ser afectados aquel día, y ofreciendo como única solución la compra de software antivirus, en muchos casos de baja calidad (no en todos). La propia actitud de escribir antivirus no me parece en absoluto mala; es más, yo mismo más de una vez he ido a casa de amigos a solucionar problemas que tenían con virus. El problema surge cuando se convierten en un negocio y el usuario es engañado y desconoce la realidad.

Pregunta: ¿Cuál es el futuro de los virus? ¿Hacia dónde se dirigen?

Mr. S.: Creo que se está avanzando hacia una profesionalización del sector. En unos años se habrá acabado la masiva llegada de advenedizos que aprendieron a contaminar un COM con un infector runtime, y esto traerá como consecuencia una desmasificación de las listas de virus "in the wild", pero una mayor calidad de los infectores existentes. Aunque lo que todavía no tengo muy claro es a quién beneficiará ésto.

W.: Hacia una mayor sofisticación, sin duda. Desde luego no van a desaparecer y la creación de nuevos sistemas operativos y ordenadores lo que va a suponer es el maravilloso reto de intentar infectar sus archivos; también se podrá ir aumentando su tamaño debido a la gran capacidad de los equipos. Habrá seguramente menos virus, pero serán más complejos. Y quizás alguien algún día se dé cuenta de lo que significan respecto a la inteligencia/vida artificial, y se les tome en cuenta como eso y no como "entes malignos".

Pregunta: Para finalizar, ¿algún comentario que queráis hacer?

Mr. S.: Simplemente me gustaría agradecerte en público la oportunidad que nos has brindado, de poder ofrecer la cara humana de los que estamos en el "lado oscuro", ya que precisamente por el desconocimiento, muchas veces tenemos que oír cómo somos tildados de asesinos de datos, terroristas, etc. Asimismo, también me gustaría felicitarte por tu sección, que está acercando mes tras mes un tema tan interesante -y tan complejo- de una forma amena a todos los lectores de PCmanía. Un gran saludo desde aquí también a todos los demás miembros y colaboradores de 29A, que han hecho posible todo esto. ¡Suerte!.

W.: Tan sólo una aclaración que no he hecho antes: a pesar de que escriba virus, jamás he infectado a nadie con ellos, ya que creo que estas muestras de vida artificial deben disfrutarlas quienes sepan entenderlas, además de que no me parece "moralmente correcto" infectar a nadie. Otra de mis máximas consiste en no producir código destructivo, que no aporta nada desde el punto de vista de la programación y da mal nombre a los virus y a los que los hacemos; los virus no son más que una forma de vida artificial, por lástima aprovechadas por más de un desaprensivo para hacer daño a otros.

Y ahí quedó la entrevista. El mes que viene analizaremos un virus desarrollado por el grupo 29A.
Pulsa aquí
para más información.