Stoned (virus informático)
Stoned | ||
---|---|---|
Volcado hexadecimal que muestra el texto «Your PC is now Stoned!» (¡Tu PC ahora está drogada!) en el último sector de 512 bytes del registro de arranque principal | ||
Información general | ||
Tipo de programa | Virus informático de sector de arranque. | |
Autor | Desconocido | |
Fecha de descubrimiento | 1987 | |
Información técnica | ||
Plataformas admitidas | PC | |
Stoned es un virus informático del sector de arranque creado en 1987. Es uno de los primeros virus y se cree que fue escrito por un estudiante en Wellington, Nueva Zelanda..[1][2] Para 1989 se había extendido ampliamente en Nueva Zelanda y Australia,[3] y las variantes se volvieron muy comunes en todo el mundo a principios de la década de 1990.[4]
Una computadora infectada con la versión original tenía una probabilidad de uno en ocho[5][6] que la pantalla declarara: «Your PC is now Stoned!» (¡Tu PC ahora está drogada!), una frase que se encuentra en el sector de arranque infectado de disquetes infectados, y en el MBR de los discos duros infectados, junto con la frase «Legalicen la marihuana». Las variantes posteriores mostraban una variedad de otros mensajes.
Versión original
[editar]Se pensaba que el original «Tu PC ahora está drogada. Legalicen la marihuana» fue escrito por un estudiante en Wellington, Nueva Zelanda.[1][7]
Esta versión inicial parece haber sido escrita por alguien con experiencia solo con unidades de disquete de 360 KB del IBM PC, ya que se comporta mal en el disquete de 1,2 MB de las IBM AT, o en sistemas con más de 96 archivos en el directorio raíz. En discos de mayor capacidad, como discos de 1,2 MB, el sector de arranque original puede sobrescribir una parte del directorio.
El mensaje se muestra si la hora de inicio era exactamente divisible por ocho. En muchos clones de IBM PC de ese momento, la hora de inicio podía variar, por lo que el mensaje se mostraría aleatoriamente (1 vez de cada 8). En algunas máquinas compatibles IBM PC o en computadoras IBM PC originales, el tiempo de arranque era constante, por lo que una computadora infectada podía no mostrar nunca el mensaje, o mostrarlo siempre. Una computadora infectada con un disco de 360K y un disco duro de 20 MB o menos, que nunca mostraba el mensaje, era uno de los primeros ejemplos de un portador de virus asintomático, que funcionaba sin ningún problema, pero que infectaría cualquier disquete que se insertara.
En los discos duros, el registro de arranque principal se mueve al cilindro 0, cabeza 0, sector 7. En los disquetes, el sector de arranque original se mueve al cilindro 0, cabeza 1, sector 3, que es el último sector del directorio en discos de 360 kB. El virus sobrescribirá «de forma segura» el sector de arranque si el directorio raíz no tiene más de 96 archivos.
La PC normalmente se infectaba al arrancar desde un disquete infectado. Las computadoras, en ese momento, arrancaban de forma predeterminada desde la unidad de disquete A: si había un disquete. El virus se propagaba cuando se accedía a un disquete en una computadora infectada. Ese disquete era ahora, en sí mismo, una fuente para una mayor propagación del virus. Esto era muy parecido a un gen recesivo, difícil de eliminar, porque un usuario podía tener cualquier cantidad de disquetes infectados y, sin embargo, no tener sus sistemas infectados con el virus a menos que inadvertidamente arrancaran desde un disquete infectado. Limpiar la computadora sin limpiar todos los disquetes dejaba al usuario susceptible a una infección repetida. El método también fomentó la propagación del virus en el sentido de que disquetes prestados, si se colocaban en el sistema, ahora podían llevar el virus a un nuevo huésped.
Variantes
[editar]La imagen del virus es muy fácil de modificar (parchear); en particular, una persona sin conocimientos de programación puede alterar el mensaje mostrado. Circulaban muchas variantes de Stoned, algunas solo con mensajes diferentes.
Beijing, Bloody!
[editar]¡Pekín, maldita sea!. El virus tiene la cadena «Bloody! Jun. 4, 1989» (¡Sangriento! 4 de junio de 1989). En esta fecha, las protestas de la Plaza de Tiananmén fueron reprimidas por la República Popular China.
Swedish Disaster
[editar]El virus tiene la cadena «Swedish Disaster» (El desastre sueco).
Manitoba
[editar]Manitoba no tiene una rutina de activación y no almacena el sector de arranque original en disquetes; Manitoba simplemente sobrescribe el sector de arranque original. Los disquetes EHD de 2,88 MB están dañados por el virus. Manitoba usaba 2 KB de memoria mientras estaba residente.
NoInt, Bloomington, Stoned III
[editar]NoInt intentaba evitar que los programas lo detectaran. Esto provocaba errores de lectura si la computadora intentaba acceder a la tabla de particiones. Los sistemas infectados con NoInt tenían una disminución de 2 kB en la memoria base.
Flame, Stamford
[editar]Una variante de Stoned se llamó Flame (más tarde un malware sofisticado no relacionado recibió el mismo nombre). El primer Flame usaba 1 kB de memoria DOS. Almacenaba el sector de arranque original o el registro de arranque maestro en el cilindro 25, cabezal 1, sector 1, independientemente del tipo de disco, lo que podía ocasionar corrupción de datos.[8]
Flame guarda el mes actual del sistema cuando está infectado. Cuando cambia el mes, Flame muestra llamas de colores en la pantalla y sobrescribe el registro de arranque maestro.
Angelina
[editar]Angelina tiene mecanismos de sigilo. En los discos duros, el registro de arranque maestro original se mueve al cilindro 0, cabezal 0, sector 9.
Angelina contiene el siguiente texto incrustado, no mostrado por el virus: «Greetings from ANGELINA!!!/by Garfield/Zielona Gora» (Saludos desde ANGELINA!!!/por Garfield/Zielona Gora); Zielona Góra es una ciudad en Polonia.
- En octubre de 1995, Angelina fue descubierto en unidades nuevas IDE Seagate Technology 5850 (850 MB) selladas de fábrica.[9]
- En 2007, un lote de computadoras portátiles Medion vendidas a través de la cadena de supermercados Aldi parecía estar infectada con Angelina.[10] Un comunicado de prensa de Medion explicaba que el virus no estaba realmente presente; más bien, fue una advertencia espuria provocada por un error en el software antivirus preinstalado, Bullguard. Se lanzó un parche para corregir el error.[11] El mal funcionamiento de Bullguard destaca uno de los problemas (junto con la pérdida de rendimiento y las ventanas emergentes frustrantes que piden dinero al usuario) de los OEM preinstalados, lo que Microsoft denominaba internamente «craplets» en PC con Windows para compensar los costos de licencia de dicho Windows. Una práctica ampliamente condenada en los medios tecnológicos, incluso por parte de reporteros que suelen ser amistosos con Microsoft.[12]
Incidente de la cadena de bloques de Bitcoin
[editar]El 15 de mayo de 2014, la firma del virus Stoned se insertó en el bitcoin blockchain. Esto hizo que Microsoft Security Essentials reconociera las copias de la cadena de bloques como el virus, lo que provocó que eliminara el archivo en cuestión y, posteriormente, obligó al nodo a recargar la cadena de bloques desde ese punto, continuando el ciclo.[13][14]
Solo se había insertado la firma del virus en la cadena de bloques; el virus en sí no estaba allí, y si lo estuviera, no podría funcionar.[15]
La situación se evitó poco después, cuando Microsoft impidió que la cadena de bloques sea reconocida como Stoned.[15] Microsoft Security Essentials no perdió la capacidad de detectar una instancia real de Stoned.
Véase también
[editar]- (c)Brain, un virus anterior de sector de arranque.
- Michelangelo (virus informático), un virus del sector de arranque basado en Stoned.
Referencias
[editar]- ↑ a b "...a brief history of PC viruses.", IBM Research
- ↑ "The early days", History of Malware
- ↑ «Marijuana Virus wreaks havoc in Australian Defence Department». The Risks Digest 9 (9). 14 de agosto de 1989. Consultado el 7 de agosto de 2007.
- ↑ «F-Secure Virus Descriptions : Stoned». F-secure.com. Consultado el 7 de agosto de 2007.
- ↑ "Analysis of Stoned", Peter Kleissner
- ↑ "The “Stoned” PC Virus" Archivado el 24 de octubre de 2014 en Wayback Machine., Commented disassembly of virus code at computerarcheology.com
- ↑ "The early days" Archivado el 14 de febrero de 2013 en Wayback Machine., History of Malware
- ↑ f-secure.com (ed.). «Stoned.Flame Description / F-Secure Labs» (en inglés). Consultado el 15 de spetiembre de 2022.
- ↑ «Virus:Boot/Stoned». Consultado el 27 de agosto de 2010.
- ↑ «Boot virus shipped on German laptops». Virus Bulletin. Consultado el 8 de enero de 2008.
- ↑ «Wichtige Produktinformation zum Notebook MD 96290» (en alemán). Medion AG. 10 de noviembre de 2007. Archivado desde el original el 10 de noviembre de 2007. Consultado el 11 de enero de 2017.
- ↑ «Beat it, bloatware: How to clean Superfish and other crap off your PC». PCWorld (en inglés). 19 de febrero de 2015. Consultado el 19 de julio de 2020.
- ↑ «Microsoft Security Essentials reporting false positives in the Bitcoin blockchain, constantly notifying users.». answers.microsoft.com.
- ↑ Chirgwin, Richard. «Bitcoin blockchain allegedly infected by ancient 'Stoned' virus». The Register.
- ↑ a b «A Virus Scare in the Blockchain: Traces of DOS "Stoned" Found • r/Bitcoin». www.reddit.com. 19 de mayo de 2014.
Enlaces externos
[editar]- Esta obra contiene una traducción derivada de «Stoned (computer virus)» de Wikipedia en inglés, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.