Hoy vamos a continuar con la serie que dedicamos a echar un vistazo a la historia de las tecnologías de la empresa de la manzana mordida y el malware, en la que recordamos virus y troyanos históricos en entornos Apple, como fueron Elk Cloner, los Virus de Hypercard, AutoStart 9805 - a.k.a. virus Hong Kong - , MacSweeper & Imunizator, LoseLose, o el Peace Virus.
Hoy le cedemos el turno a INIT 1984, un virus de cuyo descubrimiento data del ya pasado más de 20 años mes de Marzo de 1992 y que actuaba sobre cualquier modelo de Macintosh que tuviese una versión de Mac OS 6 o Mac OS 7.
Características y estadísticas
INIT 1984 - nombre basado en el número que insertaba en los archivos que atacaba - sólo se extendía a través de infectar un determinado tipo de archivos, las extensiones del sistema de tipo INIT, quedando a salvo ficheros de datos, paneles de controles, aplicaciones, etcétera, es decir, cualquier otro tipo de recurso del sistema. Esto causó que el virus tuviese una difusión reducida ya que dada la naturaleza de los archivos INIT - archivos de extensión -, era poco frecuente que se compartiesen entre usuarios. Las estadísticas sobre la expansión y alcance del virus, según Symantec, son:
Daños causadosNumber of Infections: 0 – 49.
Number of Sites: 0 – 2
(Europa y Estados unidos).
Geographical Distribution: Low.
Threat Containment: Easy.
El modus operandis del INIT 1984 era diferente a del de los virus existentes de la época, mostrando las siguientes características:
- Solo se ejecutaba los viernes que fuesen día 13.- Cambiaba el nombre de ficheros y directorios.- Remplazaba los campos type y creator de ficheros y directorios por cuatro caracteres aleatorios.- Modificaba la fecha de creación y de última modificación de los archivos, fijándola al 1 de enero de 1904.- Borraba aproximadamente un 2% de los archivos del equipo en cada ejecución. En equipos muy antiguos –Macintosh de 64Kb de ROM- ocasionaba fallos en el sistema operativo.
Juntando el tipo de archivo objeto de infección - archivos de extensión - y la frecuencia de ejecución -solo cada Viernes 13 - tenemos un virus con una actividad total muy reducida, aunque su acción podía resultar muy perjudicial puesto que los archivos que atacaba eran imposibles de recuperar.
Virus posteriores semejantes: INIT-M
Con un comportamiento similar al INIT 1984 surgió el virus INIT-M, detectado en Abril de 1993. De igual forma, actuaba los viernes 13 cambiando nombre y propiedades de archivos y directorios, eliminando aquellos que no podía renombrar.
A diferencia del INIT 1984, solo operaba en Mac OS 7 e infectaba más diversidad de recursos, extendiéndose a los archivos encontrados en el directorio de preferencias y creando allí un fichero llamado FSV Prefs.
No hay comentarios:
Publicar un comentario