Lo primero: feliz año nuevo, porque ya estamos a 2017 y la última vez que nos vimos por aquí fue hace poco más de dos meses.
Y hoy, aprovechando que estamos cerca del 5 de enero y tengo tiempo de escribir un artículo, he decidido inaugurar una nueva sección en este mismo blog llamado Arqueología del malware, una sección dedicada a los primeros virus informáticos que circulaban de disquete en disquete o incluso por la red, por medio del sistema operativo que entonces dominaba el mercado del software en ordenadores personales: DOS.
Y es que muchos de los primeros virus que se dejaban ver entonces en los ordenadores, hoy se pueden hasta considerar benignos, ya que estos estaban más destinados a propagarse para difundir mensajes a diversos o manifiestos principalmente para destacar o para que el creador del virus ganase popularidad, o simplemente estaban hechos para incordiar. Uno de los daños más graves que podía producir un virus en aquella época era la de destruir información del disco o parte de él (por ejemplo el MBR), ya sea sobrescribiendo datos ya existentes o eliminándolos permanentemente del mismo haciendo más complicada la recuperación de los mismos.
Sin embargo, hoy en día estamos más acostumbrados a ver spywares, ransomwares, rootkits y troyanos capaces de, desde comprometer la seguridad de uno o varios sistemas para distintos fines, hasta para robar o secuestrar datos personales de las víctimas, entre otras muchas funciones posibles que tienen hoy en día los programas maliciosos que van apareciendo.
Y volviendo al tema de la arqueología, ¿qué tiene que ver todo esto con el 5 de enero que mencionaba al principio? Porque este primer volumen quería dedicarlo a uno de los virus pioneros más conocidos en España y que se activaba cada 5 de enero como si de un regalo para la noche de reyes se tratase: el virus Barrotes.
Barrotes (con el nombre clave Virus.DOS.Barrotes) era un virus de DOS creado por un programador español que residía oculto en memoria y que iba infectando los programas del sistema o cualquier otro programa que se fuera ejecutando durante la sesión mientras permaneciera alguna instancia del virus abierta sigilosamente.
Este era el comportamiento más común que tenían la mayoría de los virus de la época, un programa que se ejecutara sin que la víctima se diese cuenta, y que pueda desde ir mostrando mensajes hasta producir otros efectos dañinos para el sistema o para el disco duro a la vez que infectando otros archivos ejecutables, facilitando así su propagación por otros medios.
En el caso concreto de Barrotes, si se ejecutaba durante la noche de reyes (cualquier hora durante el 5 de enero), lo que hacía además este virus era mostrar por pantalla el texto “Virus BARROTES por OSoft” y ocho barras verticales “en 3D” que iban cambiando cíclicamente entre 16 colores aleatorios.
Este virus tuvo distintas variantes y en cada una de ellas, distintos comportamientos y distintos días de activación. El comportamiento más común de todas sus variantes era infectar el COMMAND.COM, que era el programa nuclear del intérprete de DOS, equivalente al actual CMD.EXE que se mantiene en Windows, de forma que todos los programas EXE o COM que se ejecutasen durante la sesión acabaran también infectados.
Otras variantes más peligrosas eran capaces de destruir el sector 0 del disco, es decir, los primeros 512 bytes reservados para el MBR, imposibilitando así el poder rearrancar el sistema directamente desde el disco. Algunas también mostraban otros mensajes más ofensivos o humillantes, o hasta podía sonar una melodía por el altavoz de la placa base el día de su activación.
