stringtranslate.com

Stoned (virus informático)

Stoned es un virus informático del sector de arranque creado en 1987. Es uno de los primeros virus y se cree que fue escrito por un estudiante en Wellington, Nueva Zelanda. [1] [2] En 1989 se había extendido ampliamente en Nueva Zelanda y Australia, [3] y las variantes se volvieron muy comunes en todo el mundo a principios de la década de 1990. [4]

Un ordenador infectado con la versión original tenía una probabilidad de uno en ocho [5] [6] de que la pantalla dijera: "Your PC is now Stoned!" (¡Tu PC está ahora drogado!) , una frase que se encuentra en los sectores de arranque infectados de los disquetes infectados y en los registros de arranque maestros de los discos duros infectados , junto con la frase "Legalize Marijuana " (Legalizar la marihuana) . Las variantes posteriores produjeron una serie de otros mensajes.

Versión original

Se cree que el original "Tu PC ahora está drogado. Legaliza la marihuana" fue escrito por un estudiante en Wellington , Nueva Zelanda. [1] [7]

Esta versión inicial parece haber sido escrita por alguien con experiencia únicamente con unidades de disquete IBM PC de 360 ​​KB, ya que funciona mal con el disquete IBM AT de 1,2 MB o en sistemas con más de 96 archivos en el directorio raíz. En discos de mayor capacidad, como los de 1,2 MB, el sector de arranque original puede sobrescribir una parte del directorio.

El mensaje se muestra si el tiempo de arranque es exactamente divisible por 8. En muchos clones de IBM PC de la época, los tiempos de arranque podían variar, por lo que el mensaje se mostraba aleatoriamente (1 vez en 8). En algunas máquinas compatibles con IBM PC o en las computadoras IBM PC originales , el tiempo de arranque era constante, por lo que una computadora infectada nunca mostraba el mensaje o siempre lo mostraba. Una computadora infectada con un disco de 360K y un disco duro de 20MB o menos, que nunca mostraba el mensaje, era uno de los primeros ejemplos de un portador de virus asintomático, que funcionaba sin impedimentos para su función, pero que infectaba cualquier disco que se insertara en ella.

En los discos duros, el registro de arranque maestro original se mueve al cilindro 0, cabezal 0, sector 7. En los disquetes , el sector de arranque original se mueve al cilindro 0, cabezal 1, sector 3, que es el último sector de directorio en los discos de 360 ​​kB. El virus sobrescribirá "de forma segura" el sector de arranque si el directorio raíz no tiene más de 96 archivos.

El PC se infectaba normalmente al arrancar desde un disquete infectado. En aquella época, los ordenadores arrancaban por defecto desde la unidad de disquete A: si tenían un disquete. El virus se propagaba cuando se accedía a un disquete con un ordenador infectado. Ese disquete era, en sí mismo, una fuente de propagación posterior del virus. Esto era muy parecido a un gen recesivo (difícil de eliminar), porque un usuario podía tener cualquier cantidad de disquetes infectados y, sin embargo, no tener sus sistemas infectados con el virus a menos que arrancara inadvertidamente desde un disquete infectado. Limpiar el ordenador sin limpiar todos los disquetes dejaba al usuario susceptible a una nueva infección. El método también fomentaba la propagación del virus, ya que los disquetes prestados , si se colocaban en el sistema, podían llevar el virus a un nuevo host. Por otro lado, configurar un ordenador limpio para que arrancara preferentemente desde el disco duro evitaría la infección en el curso normal de los acontecimientos.

Variantes

La imagen del virus es muy fácil de modificar (parchar); en particular, una persona sin conocimientos de programación puede alterar el mensaje que se muestra. Circulaban muchas variantes de Stoned, algunas de ellas con mensajes diferentes.

¡Beijing, sangriento!

El virus tiene la cadena "¡Sangriento! 4 de junio de 1989". En esta fecha, las protestas de la Plaza de Tiananmen fueron reprimidas por la República Popular China .

Desastre sueco

El virus tiene la cadena "El desastre sueco".

Manitoba

Manitoba no tiene una rutina de activación y no almacena el sector de arranque original en disquetes; Manitoba simplemente sobrescribe el sector de arranque original. Los disquetes EHD de 2,88 MB están dañados por el virus.

Manitoba utiliza 2 KB de memoria mientras reside.

NoInt, Bloomington, Apedreado III

NoInt intenta evitar que los programas lo detecten. Esto provoca errores de lectura si el equipo intenta acceder a la tabla de particiones. Los sistemas infectados con NoInt sufren una disminución de 2 kB en la memoria base.

Llama, Stamford

Una variante de Stoned se llamó Flame (más tarde, un malware sofisticado no relacionado recibió el mismo nombre). El primer Flame utiliza 1 kB de memoria DOS. Almacena el sector de arranque original o el registro de arranque maestro en el cilindro 25, cabezal 1, sector 1, independientemente del medio.

Flame guarda el mes actual del sistema cuando este se infecta. Cuando el mes cambia, Flame muestra llamas de colores en la pantalla y sobrescribe el registro de arranque maestro.

Angelina

Angelina tiene mecanismos de ocultación. En los discos duros, el registro de arranque maestro original se traslada al cilindro 0, cabezal 0, sector 9.

Angelina contiene el siguiente texto incrustado, que el virus no muestra: "Saludos de ANGELINA!!!/por Garfield/Zielona Gora" ( Zielona Góra es una ciudad en Polonia).

Incidente de la cadena de bloques de Bitcoin

El 15 de mayo de 2014, la firma del virus Stoned se insertó en la cadena de bloques de Bitcoin . Esto provocó que Microsoft Security Essentials reconociera las copias de la cadena de bloques como el virus, lo que le llevó a eliminar el archivo en cuestión y, posteriormente, obligó al nodo a volver a cargar la cadena de bloques desde ese punto, continuando el ciclo. [12] [13]

En la cadena de bloques sólo se había insertado la firma del virus; el virus en sí no estaba allí, y si estuviera, no podría funcionar. [14]

La situación se evitó poco después, cuando Microsoft impidió que la cadena de bloques fuera reconocida como Stoned. [15] Microsoft Security Essentials no perdió la capacidad de detectar una instancia real de Stoned.

Véase también

Referencias

  1. ^ ab "...una breve historia de los virus informáticos". IBM Research . Archivado desde el original el 27 de octubre de 2012.
  2. ^ "Los primeros días", Historia del malware
  3. ^ "El virus de la marihuana causa estragos en el Departamento de Defensa de Australia". The Risks Digest . 9 (9). 14 de agosto de 1989 . Consultado el 7 de agosto de 2007 .
  4. ^ "Descripciones de virus de F-Secure: Stoned". F-secure.com . Consultado el 7 de agosto de 2007 .
  5. ^ "Análisis de Stoned", Peter Kleissner
  6. ^ "El virus de PC “Stoned”" Archivado el 24 de octubre de 2014 en Wayback Machine , Desmontaje comentado del código del virus en computerarcheology.com
  7. ^ "Los primeros días" Archivado el 14 de febrero de 2013 en Wayback Machine , Historia del malware
  8. ^ "Virus:Boot/Stoned" . Consultado el 27 de agosto de 2010 .
  9. ^ "Virus de arranque distribuido en computadoras portátiles alemanas". Virus Bulletin . Consultado el 8 de enero de 2008 .
  10. ^ "Wichtige Produktinformation zum Notebook MD 96290" (en alemán). Medion AG. 10 de noviembre de 2007. Archivado desde el original el 10 de noviembre de 2007 . Consultado el 11 de enero de 2017 .
  11. ^ "Acaba con el bloatware: cómo limpiar Superfish y otras porquerías de tu PC". PCWorld . 19 de febrero de 2015 . Consultado el 19 de julio de 2020 .
  12. ^ "Microsoft Security Essentials informa falsos positivos en la cadena de bloques de Bitcoin y notifica constantemente a los usuarios". answers.microsoft.com .
  13. ^ Chirgwin, Richard. "La cadena de bloques de Bitcoin supuestamente está infectada por el antiguo virus 'Stoned'". The Register .
  14. ^ "Un susto de virus en la cadena de bloques: se encontraron rastros de DOS "Stoned" • r/Bitcoin". www.reddit.com . 19 de mayo de 2014.[ fuente generada por el usuario ]
  15. ^ Wei, Wang. "Antiguas firmas del virus 'STONED' encontradas en la cadena de bloques de Bitcoin".