Eran otros tiempos: Win32.Tirthas

Virus

Desde luego eran otros tiempos y tenía otras aficiones pero siempre programando… Corría el final del 2001 y por aquel entonces todavía trabajaba con un Intel 486. Ahora parece impensable, pero por aquel tiempo aquella vieja máquina bastaba para satisfacer mis necesidades en lo que a programación se refería. Unos años antes me inquietó el lenguaje ensamblador porque el mundo de los virus me encantaba. Pensar el la cara que pondría la gente al ver el payload era un gran motivo pero sobre todo quería aprender. En algunas revistas empecé a leer información sobre un grupo llamado 29A. Eran y son los mejores en este ámbito. Por aquel entonces no tenía Internet en casa de forma que me busqué la manera de acceder a ella y poder leer los artículos que exponía esta gente. Aunque a las empresas y a la mayoría de las personas les horroriza el tema, hay que reconocer que es una de las formas de adquirir más conocimiento. Desde luego a mí me aportó bastante. Manos a la obra, descargué algunos tutoriales de lenguaje ensamblador del x86 y entré a saco en el tema. Comencé a leer artículos, algunos muy buenos como los de Wintermute y por supuesto, los publicados en el 29A zine. Tras esto me paré a pensar en mi primer trabajo. Unas semanas después lo tenía, era mi primer virus!!!! lo llamé Milestone. Fue un virus para MS-DOS residente en memoria. Tras esto, quise pasar a explotar el sistema comun por aquel entonces: Windows 98. Me puse las pilas y comencé a recopilar información: ver como funcionaban las DLL y a conocer un poco más a fondo el Sistema Operativo. Tras esto nació mi segundo y último trabajo: Win32.Tirthas. La verdad es que en el nombre no me calenté mucho la cabeza. Lo saqué de la revista Muy Interesante, de un artículo que hablaba de distintos templos religiosos, no es que yo sea religioso, pero me gusta saber un poco de todo.

El virus modificaba el kernel32.dll y el original lo renombraba a kernel32.dl_. Como es de esperar, aunque Windows 98 fuese una patata, el kernel no se podía sustituir en caliente. Para realizar dicho cambio aproveché una utilidad llamada Wininit.exe que se encargaba de eliminar las DLL que se hubiesen sido desinstaladas en la sesión anterior y que estaban cargadas en memoria. Tirthas lo que hacía es modificar esta aplicación, que se cargaba antes que el kernel, para realizar el cambio. El nuevo kernel poseía 3 payload y la función SetCurrentDirecoryA() modificada para que cada vez que se accediera a un directorio se chequease y se infectaran los ejecutables.

Tras realizar mis pruebas pertinentes me puse en contacto con los chicos de 29A y les envié el código. Más tarde, Virus Buster, creo que fue él, me mandó un mail pidiendome un archivo infectado y le envié el notepad.exe de windows, que mejor que ese no?. Tras esto y unos meses depués ví mi creación publicada en la revista electrónica más prestigiosa sobre el tema: 29A Labs, en el número 7. Bueno… esto es todo. 🙂

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: