Stoned es un virus informático del sector de arranque creado en 1987. Es uno de los primeros virus y se cree que fue escrito por un estudiante en Wellington, Nueva Zelanda. [1] [2] En 1989 se había extendido ampliamente en Nueva Zelanda y Australia, [3] y las variantes se volvieron muy comunes en todo el mundo a principios de la década de 1990. [4]
Un ordenador infectado con la versión original tenía una probabilidad de uno en ocho [5] [6] de que la pantalla dijera: "Your PC is now Stoned!" (¡Tu PC está ahora drogado!) , una frase que se encuentra en los sectores de arranque infectados de los disquetes infectados y en los registros de arranque maestros de los discos duros infectados , junto con la frase "Legalize Marijuana " (Legalizar la marihuana) . Las variantes posteriores produjeron una serie de otros mensajes.
Se cree que el original "Tu PC ahora está drogado. Legaliza la marihuana" fue escrito por un estudiante en Wellington , Nueva Zelanda. [1] [7]
Esta versión inicial parece haber sido escrita por alguien con experiencia únicamente con unidades de disquete IBM PC de 360 KB, ya que funciona mal con el disquete IBM AT de 1,2 MB o en sistemas con más de 96 archivos en el directorio raíz. En discos de mayor capacidad, como los de 1,2 MB, el sector de arranque original puede sobrescribir una parte del directorio.
El mensaje se muestra si el tiempo de arranque es exactamente divisible por 8. En muchos clones de IBM PC de la época, los tiempos de arranque podían variar, por lo que el mensaje se mostraba aleatoriamente (1 vez en 8). En algunas máquinas compatibles con IBM PC o en las computadoras IBM PC originales , el tiempo de arranque era constante, por lo que una computadora infectada nunca mostraba el mensaje o siempre lo mostraba. Una computadora infectada con un disco de 360K y un disco duro de 20MB o menos, que nunca mostraba el mensaje, era uno de los primeros ejemplos de un portador de virus asintomático, que funcionaba sin impedimentos para su función, pero que infectaba cualquier disco que se insertara en ella.
En los discos duros, el registro de arranque maestro original se mueve al cilindro 0, cabezal 0, sector 7. En los disquetes , el sector de arranque original se mueve al cilindro 0, cabezal 1, sector 3, que es el último sector de directorio en los discos de 360 kB. El virus sobrescribirá "de forma segura" el sector de arranque si el directorio raíz no tiene más de 96 archivos.
El PC se infectaba normalmente al arrancar desde un disquete infectado. En aquella época, los ordenadores arrancaban por defecto desde la unidad de disquete A: si tenían un disquete. El virus se propagaba cuando se accedía a un disquete con un ordenador infectado. Ese disquete era, en sí mismo, una fuente de propagación posterior del virus. Esto era muy parecido a un gen recesivo (difícil de eliminar), porque un usuario podía tener cualquier cantidad de disquetes infectados y, sin embargo, no tener sus sistemas infectados con el virus a menos que arrancara inadvertidamente desde un disquete infectado. Limpiar el ordenador sin limpiar todos los disquetes dejaba al usuario susceptible a una nueva infección. El método también fomentaba la propagación del virus, ya que los disquetes prestados , si se colocaban en el sistema, podían llevar el virus a un nuevo host. Por otro lado, configurar un ordenador limpio para que arrancara preferentemente desde el disco duro evitaría la infección en el curso normal de los acontecimientos.
La imagen del virus es muy fácil de modificar (parchar); en particular, una persona sin conocimientos de programación puede alterar el mensaje que se muestra. Circulaban muchas variantes de Stoned, algunas de ellas con mensajes diferentes.
El virus tiene la cadena "¡Sangriento! 4 de junio de 1989". En esta fecha, las protestas de la Plaza de Tiananmen fueron reprimidas por la República Popular China .
El virus tiene la cadena "El desastre sueco".
Manitoba no tiene una rutina de activación y no almacena el sector de arranque original en disquetes; Manitoba simplemente sobrescribe el sector de arranque original. Los disquetes EHD de 2,88 MB están dañados por el virus.
Manitoba utiliza 2 KB de memoria mientras reside.
NoInt intenta evitar que los programas lo detecten. Esto provoca errores de lectura si el equipo intenta acceder a la tabla de particiones. Los sistemas infectados con NoInt sufren una disminución de 2 kB en la memoria base.
Una variante de Stoned se llamó Flame (más tarde, un malware sofisticado no relacionado recibió el mismo nombre). El primer Flame utiliza 1 kB de memoria DOS. Almacena el sector de arranque original o el registro de arranque maestro en el cilindro 25, cabezal 1, sector 1, independientemente del medio.
Flame guarda el mes actual del sistema cuando este se infecta. Cuando el mes cambia, Flame muestra llamas de colores en la pantalla y sobrescribe el registro de arranque maestro.
Angelina tiene mecanismos de ocultación. En los discos duros, el registro de arranque maestro original se traslada al cilindro 0, cabezal 0, sector 9.
Angelina contiene el siguiente texto incrustado, que el virus no muestra: "Saludos de ANGELINA!!!/por Garfield/Zielona Gora" ( Zielona Góra es una ciudad en Polonia).
El 15 de mayo de 2014, la firma del virus Stoned se insertó en la cadena de bloques de Bitcoin . Esto provocó que Microsoft Security Essentials reconociera las copias de la cadena de bloques como el virus, lo que le llevó a eliminar el archivo en cuestión y, posteriormente, obligó al nodo a volver a cargar la cadena de bloques desde ese punto, continuando el ciclo. [12] [13]
En la cadena de bloques sólo se había insertado la firma del virus; el virus en sí no estaba allí, y si estuviera, no podría funcionar. [14]
La situación se evitó poco después, cuando Microsoft impidió que la cadena de bloques fuera reconocida como Stoned. [15] Microsoft Security Essentials no perdió la capacidad de detectar una instancia real de Stoned.