Menú principal

viernes, 19 de octubre de 2012

Virus AutoStart 9805 a.k.a. Virus Hong Kong para MacOS

Como ya hemos nombrado en varios artículos, los entornos Macintosh no están libres de virus o malware, a pesar de la creencia - cada vez menos extendida - popular. Ya hemos visto varios casos históricos como el ELK Cloner o el Peace Virus. Hoy vamos a echar también la vista atrás y en este artículo vamos a hablar del AutoStart 9805, un gusano para Macintosh surgido hace más de una década, cuya principal “función” era la de insertar basura en archivos, dejándolos inservibles.

Historia

El Virus AutoStart 9805, también conocido como el Virus Hong Kong - lugar donde por primera vez fue reportado en 1998 - es un gusano informático que no cambia ningún programa o archivo existente para extenderse, sino que se duplicaba él mismo en otros sistemas de almacenamiento, como particiones, discos duros locales o montados en red, discos magnéticos, etcétera. En general, casi cualquier disco HFS o HFS+ - formatos de archivos desarrollos por Apple - podía ser infectado.

Además, este gusano necesitaba para funcionar de un equipo con procesador PowerPC - familia de procesadores producidos por IBM y usados por Apple en equipos Macintosh hasta el 2006 - con el sistema operativo MacOS y que tuviese instalado QuickTime 2.0 o posterior con la opción “Reproducción automática de CD” activada. Esta opción no se pudo deshabilitar hasta la versión 2.5 del programa.

Método de infección y síntomas

Los discos infectados contenían una aplicación denominada DB - aunque se han encontrado otros nombres como BD o DELBD - con el atributo de invisibilidad activo. De esta forma el archivo pasaba desapercibido para el usuario que no mostrara archivos ocultos y por su nombre, que se confunde con los nombres usados por el propio sistema operativo MacOS. El archivo infeccioso se encontraba en el directorio raíz del disco, designado como archivo de arranque.

Una vez que el disco infectado se conectaba al Macintosh con QuickTime operativo, la aplicación DB se ejecutaba si la opción de reproducción automática estaba funcionando. El gusano comprobaba en ese momento si el equipo ya había sido previamente infectado. En caso de que no, se copiaba a si mismo en la carpeta de extensiones cambiando su nombre por Desktop Print Spooler - nombre que se confunde con Desktop Printer Spooler, archivo legítimo del sistema operativo - manteniendo el atributo de invisibilidad. Tras eso, el gusano reiniciaba el equipo para poder cargarse como una extensión más.

Figura 1: Enable Audio CD AutoPlay en QuickTime

AutoStart 9805 comprobaba cada 30 minutos la existencia de sistemas de almacenamiento montados y verificaba si estaban ya infectados. Si la respuesta era negativa, se copiaba a si mismo en el disco como archivo de arranque y se renombraba el mismo a DB de nuevo, con el atributo de invisibilidad activo.

Por lo tanto, el reinicio del equipo al insertar una unidad de almacenamiento, la presencia de la aplicación DB dentro de la propia unidad, la existencia de la extensión Desktop Print Spooler  -observables a pesar de ser invisibles mediante utilidades destinadas a tratar con ficheros como ResEdit o Find File - y una actividad inexplicada de los discos de almacenamientos, eran síntomas de infección. A parte, existían otros como la aparición del nombre de la aplicación BD en la barra de estado y la existencia de un proceso activo llamado Desktop Print Spooler (observable con utilidades como Process Watcher o Macsbug).

Daños

Una vez infectado el sistema, el gusano alteraba ciertos archivos específicos, siguiendo los siguientes patrones:
• Buscaba los archivos cuya extensión fuesen data, cod y csa, cuyo data fork (contenido del fichero propio, por ejemplo, el texto de un documento) fuese mayor de 100 bytes.
• Archivos con extensión dat que su data fork y su resource fork (información acerca del archivo) juntos fuesen superior a 2 megabytes.
Una vez encontrados los archivos con dichas extensiones - la búsqueda era insensible a mayúsculas - el gusano dañaba el archivo sobrescribiendo con datos inútiles el data fork del archivo - aproximadamente el primer megabyte -. El primer byte era siempre es puesto a 0 a modo de flag, de forma que el gusano omitía estos archivos ya infectados en posteriores comprobaciones del disco.

Mutaciones y variaciones de AutoStart 9805

Concluimos este artículo nombrando las variaciones del gusano encontradas hasta la fecha. La filosofía de la mayoría es la misma que la del original, es decir, destruir archivos, aunque hay excepciones:

AutoStart 9805-B: Esta mutación era más difícil de detectar que el original, haciéndolo potencialmente más peligroso. Las diferencias con el original son las siguientes:
o No reiniciaba el equipo de forma inmediata tras la infección.
o No infectaba discos montados en red.
o Actuaba cada 3 minutos.
o Eliminaba al original si este se hallaba en el equipo infectado por la variación.
o Dañaba archivos del tipo JPEG, TIFF y EPSF.
o Solo se dañaban archivos si el directorio Extensions: Printer Descriptions no contenía archivos que comenzaran por ACR, GEN, COL, LAS, o DIS.
o Insertaba basura en el archivo a partir del segundo megabyte del archivo. Normalmente introducía un megabyte de basura.
o Infectaba un máximo de 20 archivos en cada acción.
o A partir del 24 de Diciembre de 1998 dejaba de dañar archivos y de duplicarse.
AutoStart 9805-C: A diferencia de los demás no daña archivos de forma intencionada, sino que estaba diseñado para eliminar otras versiones del gusano. Sus principales características son:
o Actuaba cada 10 minutos.
o Se eliminaba el mismo a partir del 8 de junio de 1998.
o Sustituía otras versiones el virus.
AutoStart-D: Es idéntico al C, salvo la fecha en que se eliminaba, que en este caso era el 24 de Diciembre de 1998.

AutoStart 9805-E: Es un híbrido entre el original y el B. El modo de infección era idéntico al B, mientras que dañaba los mismos archivos que el original, salvo que además actuaba sobre los ficheros que tenían al menos 100 bytes entre el fork y el resource data. Paraba de extenderse y de dañar ficheros el 6 de Junio de 1999.

AutoStart 9805-F: Es prácticamente igual al original y al E, salvo que actuaba en ficheros de extensiones data, cod y csa, cuyo resource fork fuese aproximadamente de 100 bytes.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares