Desde ElkCloner hasta Coldroot

Se ha publicado un informe sobre el estado del malware en Mac. El informe ha sido publicado por la empresa Malwarebytes, en particular, el investigador Thomas Reed, lidera dicho informe. El título de este informe recuerda al primer boletín de Virus Bolletin: Mac y Macros: El estado de la Nación Macintosh. Eso fue en el año 1997, y muchas cosas han cambiado en el panorama del malware desde aquello. Aquella época no tiene que ver, prácticamente nada, con el malware de hoy en día en los entornos Mac. 

El investigador David Harley explica cómo los usuarios de Mac siguen teniendo una percepción errónea sobre el tema del malware y, en general, una percepción errónea sobre la seguridad en los sistemas macOS. El investigador habla de cómo la mayoría de los usuarios afectados de macOS e iOS cae en las categorías de adware o, simplemente, no tienen el glamour de un gusano o una epidemia de ransomware. 

Figura 1: Elk Cloner

El investigador David Harley también comenta como Thomas Reed despertó su interés cuando mencionó a Elk Cloner y afirmo que era el primer virus en el mundo, cuando el Apple II. En la época había un par de virus más circulando. Hoy en día se habla de que todo arrancó con Elk Cloner hasta llegar a Coldroot. Sin duda, el malware está en macOS y sigue aumentando debido, en parte, al incremento a la cuota de mercado de los equipos de Apple.

El primer virus en un ordenador personal apareció en un Apple II

En 1981, el ordenador más extendido no era el IBM PC (el cual salió al mercado justo ese mismo año) y tampoco lo era por lo tanto el sistema operativo MSDOS. El más utilizado en aquella época era el Apple II (sobre todo en EEUU) por lo tanto era de esperar que el primer virus fuera creado para ser ejecutado en su plataforma, en concreto para DOS 3.3. En 1982 apareció el primer virus de ordenador con capacidad para infectar otros ordenadores y expandirse. Su nombre era Elk Cloner y fue creado por un chico de 15 años.

Si tenías la suerte de tener una de las magníficas unidades de disco para el Apple II diseñadas por Wozniak, era muy probable que fueras infectado por Elk Cloner. El virus interceptaba algunos comandos muy utilizados por el DOS, como RUN, LOAD, BLOAD y CATALOG. Dependiendo de un contador que iba guardando en el sector de arranque del disco, este ejecutaba una acción diferente. Por ejemplo podía infectar otro disco, reiniciar el Apple II, imprimir la versión del virus, invertir la pantalla, ejecutar sonidos en el altavoz, imprimir texto en pantalla con un flash, cambiar las letras  de la pantalla o provocar un error de sistema. Además si el contador tenía el valor 50 y se pulsaba el botón RESET, el virus mostraba en pantalla el siguiente poema:

Figura 1. Poema escrito en pantalla por el virus Elk Cloner. Fuente.

Más allá de estos "inocentes" payloads, el virus no tenía una incidencia grave sobre el sistema. En cambio lo que le hacía realmente especial, era su capacidad de expandirse infectando cualquier disco de 5 1/4 pulgadas que se insertaba en un sistema con el virus residente en memoria. Este almacenaba el virus en el sector de arranque y de esa forma se aseguraba que sería ejecutado en otro ordenador cuando este arrancara desde el disco. Para no reescribirse una y otra vez, el programa dejaba una firma para identificar que el disco había sido infectado. Este virus apareció cuatro años antes del primer virus creado para un sistema Microsoft, el famoso "Brain" el cual apareció en 1986.

Elk Cloner fue creado por Rich Skrenta en Apple II como parte de una broma sin imaginarse las implicaciones que su creación llegaría a tener. Al principio, no tuvo mucho impacto, ya que los discos infectados se quedaron dentro de su círculo de amigos pero luego comenzó a expandirse cuando Rick empezó a compartir copias piratas de programas en discos infectados con su virus. Además Rick era habitual de un club de ordenadores en Pittsburg e intercambiaba regularmente programas con otros miembros de dicho club. Al menos parece confirmado que le entregó uno de esos discos con el virus a uno ellos e incluso llego a darle uno de esos discos infectados a un primo suyo que trabajaba en la US Navy. En aquella época no había ningún antivirus que pudiera detectar la infección lo que facilitó su expansión entre la comunidad de usuarios de Apple.

Figura 2. Parte del código fuente de Elk Cloner donde almacena el texto del poema

Rich recibió su ordenador Apple II en 1980 como regalo de Navidad. Empezó programando en BASIC pero pronto se interesó por el lenguaje Ensamblador debido a su potencia. Investigando el hardware y el software del Apple II, encontró algunos agujeros de seguridad en una de las aplicaciones del núcleo del sistema (System Monitor) que más tarde utilizó en el código de Elk Cloner. Tardó dos semanas en escribir el programa en lenguaje Ensamblador para el microprocesador 6502 y tenía bastante nivel técnico a pesar de su sencilla operativa. Al cabo del tiempo, viendo la gran repercusión que tuvo su programa, él mismo creo una herramienta para detectarlo y desinstalarlo. Finalmente Rich terminó trabajando en seguridad informática, en concreto en un proyecto de Sun Microsystems relacionado con criptografía. Actualmente es el CEO en Blekko, un nuevo buscador de Internet, que ha sido adquirido por IBM. 

Es curioso que durante al menos diez años, nadie se tomó muy en serio el programa creado por Rich que más tarde llegaría a convertirse indirectamente en una industria que mueve hoy día miles de millones. Sólo cuando comenzaron a aparecer otro tipos de virus, sobre todo en la plataforma Windows (como por ejemplo Brain), fue cuando comenzó a tomarse en serio este tipo de amenaza.