El mundo de antivirus

miércoles, 2 de diciembre de 2020

En el año 1988 uno de los equipos de Gosplán de la URSS donde a partir del año 1965 trabajo el actual Director General Adjunto de Doctor Web Dmitry Nikolaevich Lozinsky, fue infectado por el virus Vienna.

Dmitry Nikolaevich nació en la familia de matemáticos, egresados de la Facultad de matemáticas de la Universidad Estatal de Moscú. «Tuve formación matemática», – lo recordaba más tarde. A partir del año 7 de mis estudios secundarios, participé en un taller de matemáticas de la Universidad de Moscú. También termine mis estudios de matemáticas en la misma universidad, dice Dmitry Nikolaevich, que luego se vio en un departamento de la KGB dedicado a los problemas de cifrado. Era la matemática que tanto le gustaba, pero durante 4 años se aburrió en ese trabajo. Luego empezó a trabajar en el Centro de Comutación Principal de Gosplán (CCP) donde durante los dos primeros años se dedicó a los métodos de economía y matemáticas.

Y luego en CCP apareció un equipo Elliott 503, cuyo lenguaje de programación básica fue Algol-60. Y entonces Dmitry Nikolaevich a los 28 de edad por primera vez se dedicó a la ingeniería informática (a propósito, solía decirles a los alumnos de Moscú: «Si habeís aprendido la programación, podéis dejarlo unos 5 años para adquirir conocimientos básicos. Siempre podréis recuperarlo. Empecé a los 28 años y hasta he podido lograr algo »).

Pero vamos a volver al virus. ¿Por qué fue infectado el equipo y no el virus penetró en el mismo?

El virus no residente del que se trata apareció en Austria (y fue llamado en honor a Vienna – el sitio de su primera detección), infectaba solo los archivos con extensión .com. Fue creado en Assembler y todo su código cabía en 648 bytes (hoy día se considera un volumen muy pequeño). Durante la infección de un programa, añadía su propio cuerpo al final del archivo com, y al principio del mismo añadía un programa de cambiar al mismo, y de esta forma no infectaba a más de un archivo ejecutable cada vez. Una vez realizadas las funciones maliciosas, el programa mismo se encargaba de la administración.

En aquella época los programas se copiaban en disquetes de un equipo a otro y no existía Play Market. Y junto con los programas se copiaban los virus … Ahora el medio principal de difusión de virus es Internet, aunque a veces todavía se detectan virus que se difunden a través de los dispositivos extraíbles.

Los primeros en detectar el virus eran Franz Svoboda y Ralf Berger, así mismo, cada uno insistía en haber recibido el virus del otro. Todavía es desconocido el autor del virus.

Este virus no solamente infectaba programas, sino también con probabilidad de 1/8 dañaba un programa de tal forma que el equipo se reiniciaba al lanzar el mismo. Es lo que permitió detectar su aparición bastante rápido.

A pesar de su estructura bastante sencilla, el virus se difundía bastante bien, por lo cual, no era fácil encontrar los archivos infectados manualmente. Por lo tanto, al haber pasado una tarde con el ordenador, Dmitry Nikolaevich creó el primer programa antivirus nacional – AIDStest, que automatizaba el proceso de búsqueda y desinfección de los archivos infectados por este virus, y con el mismo desinfectó los equipos víctimas de Gosplán.

Es lo que recuerda Dmitry Nikolaevich.

«Había oído hablar de los virus informáticos antes, pero el primer virus que afronté personalmente en el año 1988 se llamaba Vienna-648. El virus penetró en un equipo de Gosplán. Por supuesto, todo el mundo estaba asombrado, se me acercaron diciendo: «Algo raro está pasando con el equipo». Lo observé y entendí que era un virus. Por la tardé, lo entendí todo y creé el primer programa antivirus. Lo llamé en honor del primer sistema soviético de pruebas de la SIDA creado más o menos en la misma época, lo traduje al inglés y tuve el nombre – AIDStest» (de la entrevista a la revista «Kommersant-Dinero» en el año 1996).

El proceso resultó ser bastante fácil: como el código del virus no se cambiaba en cada archivo, el antivirus comprobaba el contenido de los archivos com en busca de una firma conocida, y luego eliminaba el cuerpo del virus del archivo.

Así apareció la primera versión del antivirus nacional Aidstest. Fue usado casi en todos los PCs de la URSS y luego en los países de la CEI, sin competencia durante muchos años.

Los creadores de virus destacaron la popularidad del antivirus. Una de las modificaciones posteriores de Vienna (Vienna.776) visualizaba un texto así: «Parece que estoy infectado… Llame enseguida a Dmitry Nikolaevich Lozinsky, teléfono 292-40-76 (Moscú) y compre EL PROGRAMA AIDSTEST !!!»

Un día Dmitry Nikolaevich, como si tal cosa, le preguntó a Yury Pavlovich Lyaschenko que trabajó en una de las primeras empresas conjuntas de la Unión Soviética – Dialog (ahora es el Director General Adjunto de la empresa Doctor Web): «¿No habrá una vacante para una telefonista en Su empresa?» Hablaron con Serguey Antimonov, el Director General de Dialog-Nauka en aquella época, y le presentaron su idea: vender el producto útil para todos por precio muy económico. Esto no aportará mucho dinero, pero atraerá muchos clientes que además comprarán equipos y otros artículos. Y la telefonista también tendrá trabajo. Antimonov estaba de acuerdo, y el 1 de octubre del año 1990 Dmitry Nikolaevich le otorgó a Dialog los derechos de venta de Aidstest. El contrato fue firmado en las instalaciones de Gosplán.

El lanzamiento oficial de Aidstest en el mercado fue a finales del año 1990 en la feria Softool de Moscú. La gente hacía cola durante horas que atravesaba toda la sala de la feria. Y eso para comprar un programa cuyo autor nunca implementaba ninguna protección contra copias. Era su opinión. Según Dmitry Nikolaevich, no vale la pena proteger los programas contra copias porque en este caso habrá más copias ilegales. Y la gente honesta lo comprará, en cualquier caso.

El precio oficial de la versión 44 era de 3 rublos, pero en realidad la utilidad se difundía en Rusia y en el extranjero, así mismo, gratis. En los mercados extranjeros Aidstest se difundía como V-Hunter (Virus Hunter) y tenía versiones en inglés y alemán.

Inspirados por Aidstest, Oleg Kotik, Igor Sysoev y otros desarrolladores nacionales crearon sus variantes de antivirus polífagos. Pero Aidstest fue el primero. Cabe destacar que la publicidad de uno de los desarrollos de este tipo –el revisor de discos ADInf de Dmitry Yurievich Mostovoy también fue implementada en Aidstest.

En la Primera Conferencia Nacional «Métodos y medios de protección contra los virus informáticos en MS-DOS» (finales del año 1990) el programa Aidstest fue considerado el programa antivirus más popular en la URSS.

Es interesante comparar la velocidad de la aparición de los nuevos virus en aquella época, y la velocidad de la implementación de la información sobre los mismos en el antivirus. Sí, en el mismo antivirus. En aquella época no existían bases de virus, archivos autónomos con la información sobre virus. Tres días después del lanzamiento de la primera versión de Aidstest fue conseguido un récord de velocidad de lanzamiento de actualizaciones, dos veces a la semana. Otro año más tarde apareció el servicio “Pedido urgente”. Un algoritmo para eliminar un nuevo virus por solicitud del cliente se implementaba durante 24 horas. Como hemos mencionado más arriba, manualmente en el cuerpo del programa.

Cabe destacar que si hoy día el código del malware se publica en GitHub, en aquella época también solían publicarse los texts de virus. El código fuente de Vienna fue publicado en su libro Computer Viruses: A High Tech Desease por uno de los primeros analistas de virus Ralf Berger, y luego Bernd Robert Fix, el autor del libro Biblia del hacker 2. Y de esta forma aportaron a la creación de las nuevas variantes de Vienna…

Es verdad, aparecieron nuevas variantes de Vienna que a su vez se convirtieron en la fuente de las nuevas modificaciones. Como el árbol de la evolución. Como resultado, muchos virus se creaban usando plantillas conocidas (y a veces con errores bastante graves). «La tarea de afrontar virus me aporto mucho trabajo más aburrido , – recordaba Dmitry Nikolaevich. – Llevo ya ocho años haciendo el mismo trabajo. Hoy día me veo obligado en cualquier caso a dedicarme al software antivirus. Nunca en la vida había hecho la misma tarea durante tanto tiempo. Es aburrido…»

Durante muchos años el conjunto de Aidstest lo formaba también un archivo con descripciones de los virus desinfectados con comentarios de Dmitry Nikolaevich.

La base de virus externa apareció en la versión 4 del “polífago de la nueva generación”, fue desarrollada junto con Igor Anatolyevich Danilov al que Dmitry Nikolaevich conoció en una conferencia. En colaboración conjunta fue creado un método parcialmente automatizado para añadir las nuevas firmas, lo cual permitió reducir el volumen del trabajo aburrido y aceleró la respuesta оa la aparición de los nuevos virus.

Otra peculiaridad del primer antivirus es la ausencia de compresión de las firmas de virus en el mismo antivirus (Aidstest buscaba virus con las mismas). Por lo tanto, hasta hoy día Aidstest se detecta como antivirus por firmas, por algunos antivirus.

Recordamos que en las soluciones antivirus de Dr.Web toda la información del malware está en las bases de virus especiales comprimidas de forma especial y por eso no se detectan como malware. Y por supuesto Dr.Web no detecta signaturas como malware y no detecta Aidstest como virus.

El programa Aidstest funcionó en los equipos de la Administración del Presidente de la FR, ministerios clave, otras instituciones públicas. Los clientes extranjeros de Aidstest fueron las siguientes organizaciones: AIEA (Austria), BASF (EE.UU.) etc. La útlima versión del programa Aidstest fue lanzada el 27 de septiembre de 1997. Pesa unos 300 KB. Su número 1723 refleja el número de los virus detectados. Muy pequeño para nuestra época. Pero era solo el principio…

#antivirus #seguridad #virus #historia