Una breve crnica del malware

Tras la primera aparicin del virus Brain en 1986, los gusanos y troyanos
continuaron atacando equipos. Desde entonces, cada ao se distingue
por la presencia de una amenaza caracterstica.

1986
PAKISTANI
BRAIN
Fue el primer virus para plataformas
IBM PC y el primero en utilizar
mecanismos de ocultamiento.
Infectaba el sector de arranque de
los discos floppy, lo que le permiti
propagarse en cuestin de semanas. 1987 STONED
Fue el primero en afectar al sector de
arranque, e inicialmente se propag en
Nueva Zelanda y Australia. Los equipos
infectados mostraban mensajes en
favor de las drogas durante el inicio
del sistema, como Tu PC ahora est
drogada y Legalicen la marihuana.
Stoned tuvo muchas variantes y sigui

GUSANO MORRIS 1988 siendo muy comn a principios de la

dcada de 1990.

Fue desarrollado por Robert Tappan

Morris Jr., hijo de un ex cientfico del
Centro Nacional de Seguridad Informtica
estadounidense. El virus, conocido como
el primer gusano, se propag en miles o
quiz decenas de miles de minicomputadoras
y estaciones de trabajo con VMS, BSD y SunOS.
1989 DISK KILLER
Uno de los primeros virus destructivos;
infecta el sector de arranque y va
daando los discos lentamente. A
veces se lo llama Computer Ogre
(Ogro informtico), ya que es el
mensaje que muestra en la pantalla
de los equipos infectados.
WHALE 1990
Fue pionero en tecnologa
anti-debugging, aunque si lo
comparamos con los virus, era
grotesco e ineficiente. Un investigador
de la poca describi a su mtodo principal
de replicacin como tarea de investigadores
antivirus que se envan muestras unos a otros.
Lamentablemente, los creadores de malware
aprendieron mucho desde ese entonces.
1991 MICHELANGELO
Ms notable por el pnico meditico
desencadenado a medida que se
acercaba su fecha de activacin, el 6
de marzo, esta variante de Stoned
infectaba al sector de arranque de
los disquetes floppy y al sector MBR
de los discos rgidos. Como
TRIDENTS 1992
permaneca la mayor parte de tiempo
latente, poda pasar aos sin ser
POLYMORPHIC detectado si no se reiniciaba el equipo
el 6 de marzo.
Un motor polimrfico puede
transformar un programa en una
nueva versin usando un cdigo
distinto, pero manteniendo la
funcionalidad original. Esto puede
ser utilizado por los virus en su
intento de evadir la deteccin.
1993 DARK ANGEL'S
MULTIPLE
ENCRYPTOR

Fue otro motor polimrfico, publicado

por el grupo canadiense diseador de
virus Phalcon/SKISM. Se distribuy
como cdigo fuente comentado.
1994
ONEHALF
Puede llamarse el primer virus
de tipo ransomware, con la
excepcin de que no se peda rescate
ni haba un cdigo de desactivacin.
Cifraba la primera serie de sectores del
disco rgido; si se usaba FDISK/MBR,
el sector MBR infectado se reemplazaba
por uno vaco y el sistema ya no era 1995 WM/CONCEPT
capaz de arrancar.
Fue el primer macro virus que se
propag por Microsoft Word. Al
principio, Microsoft no public el
formato de los archivos de Office
(OLE2) ni las secuencias
(WordDocument). En una conferencia
del instituto EICAR en Linz, los
miembros de CARO aplicaron
1996 ingeniera inversa a los formatos para
LAROUX detectar y remediar esta amenaza.
Aunque no fue el primer virus de
hoja de clculo, WM/Laroux fue el
primer macro virus para Excel
hallado in-the-wild. Su cdigo real
est compuesto por dos macros:
Auto_Open y Check_Files, ocultas
en una hoja de clculo llamada laroux.
1997
AOL TROJANS
Se podra decir que 1997 fue el real
comienzo de la tendencia hacia
abandonar el malware que se auto
propaga por los troyanos. La mana
por el robo de credenciales de AOL
1998 adopt diferentes formas que
AUTOSTART presagiaron el fenmeno de phishing
que ha dominado el Siglo XXI.
Se lleg a la conclusin de que
AutoStart 9805 no era un virus
sino un gusano, ya que, aunque se
replicaba copindose a s mismo, no
se adjuntaba como un parsito a un
programa host. La variante original se
arraig rpidamente en Hong Kong y
Taiwn en abril de 1998, y pronto se 1999
descubri en al menos cuatro continentes.
MELISSA
Fue un gusano para el envo masivo
de correos electrnicos, que infectaba
las redes Microsoft e Intel a travs del
cliente de correo electrnico MS
Outlook. El virus se entregaba mediante
un archivo adjunto de MS Word, y se
2000 reenviaba a los primeros 50 contactos
LOVELETTER de Outlook cuando el usuario haca clic
sobre l.
Se dice que este gusano de correo
electrnico atac a decenas de
millones de PC Windows. Tambin
conocido como ILOVEYOU, el virus
llegaba como un adjunto que se haca
pasar por una carta de amor, y era capaz
de acceder al sistema operativo, al
almacenamiento secundario, al sistema y 2001
a los datos de usuario de la vctima.
NIMDA
Este gusano fue particularmente
efectivo por usar varios mtodos
de ataque, incluyendo correo
electrnico, recursos compartidos de
red abiertos y sitios comprometidos.
2002 Los medios inicialmente vincularon a
Nimda con AlQaeda debido a su
KLEZ proximidad con el ataque del 11 de
septiembre, pero nunca se comprob
Era un gusano para el envo masivo esta teora.
de correos electrnicos que se propagaba
como un virus polimrfico. Una vez que se
ejecutaba en un equipo infectado, se enviaba
a s mismo a las direcciones encontradas en el
sistema. Fue notable por su tcnica de
falsificacin del remitente, para lo cual
reemplazaba la direccin original por una 2003
alternativa pero real. Esto llev a muchos SQL SLAMMER
malentendidos y falsas acusaciones.
Este gusano fue bsicamente un
paquete de red autoreplicable, que
aprovech una vulnerabilidad en
Microsoft SQL Server y se propag
rpidamente, infectando a la mayora
de las vctimas en tan solo diez
2004 minutos. Ese da, toda la Internet se
puso muy lenta.
MYDOOM
Uno de los muchos gusanos para el
envo masivo de correos electrnicos
que se extendieron durante la primera
dcada del Siglo XXI. La versin original fue
notable por su rpida propagacin, aunque
es ms recordada por llevar a cabo
ataques DDoS en el grupo SCO y Microsoft,
lo que ocasion que ambos ofrecieran 2005
la suma de USD 250.000 a quien diera
informacin que condujera al arresto del autor.
COMMWARRIOR
Fue el primer virus para telfonos
mviles capaz de propagarse va
mensajes MMS y Bluetooth. Atac la
lnea de telfonos inteligentes
Symbian Series 60 y aunque tuvo poco
2006 impacto, sus implicaciones para los
expertos en antivirus fueron enormes.
VB.NEI
Tambin conocido como Nyxem,
Blackmal o Mywife, recibi mucha atencin
porque utilizaba un contador que les permita
a los investigadores rastrear la cantidad de
hosts infectados. VB.NEI tambin se destac
porque borraba archivos: un retroceso a los
das en que los virus destruan datos, ahora 2007 STORM
ya muy poco comunes.
Detectado por ESET como Nuwar, el
infame gusano comenz a infectar
equipos en Europa y Estados Unidos,
propagndose a travs de un correo
electrnico sobre un desastre
climtico reciente. Luego se detect
en correos falsos con temas que
2008 variaban desde Saddam Hussein a
Fidel Castro. Los equipos infectados
se convertan en parte de una botnet.
CONFICKER
Alguna vez una botnet se propag
tanto, por tanto tiempo y atrajo tanto la
atencin de los medios sin haber hecho
demasiado realmente? An as, su uso de
algoritmos variables para impedir su rastreo
fue un indicador para desarrollos futuros.
2009
TDL3
Este rootkit innovador y adaptable,
como sus sucesores (TDL3+ y TDL4),
demostr tener un xito irritante en
su persistencia. Tambin dio nuevos
giros a antiguas ideas, como las redes
2010 P2P y el malware de ocultamiento: as
como otros cdigos maliciosos haban
STUXNET aprovechado sectores marcados como
defectuosos, espacios desperdiciados
Fue el primer gusano de uso militar o secuencias, TDL utiliz efectivamente
que lleg a las noticias aunque los archivos ocultos del sistema.
afectaba a un reducido nmero de
sistemas. Atacaba los sistemas de
control industrial y se utiliz
contra instalaciones nucleares iranes.
2011

2012
MEDRE
Es un virus para robar informacin
que extrae documentos de AutoCAD.
El equipo de ESET lo descubri y lo
analiz; luego, lleg a la conclusin de
que se haba desarrollado para robar
planos de empresas privadas, especialmente
de Per.
2014
KELIHOS
Un probable sucesor del gusano Storm.
Esta botnet se utiliz principalmente
para llevar a cabo campaas de spam
y robar informacin.
2013
HESPERBOT
Este troyano avanzado atac a usuarios
bancarios con campaas muy verosmiles
de phishing, imitando a organizaciones
confiables. Una vez que los atacantes
lograban que sus vctimas ejecutaran el
malware, obtenan las credenciales de i
nicio de sesin.

WINDIGO
Esta campaa maliciosa tom el
control de ms de 25.000 servidores
Unix en todo el mundo y envi millones
de mensajes de spam diarios. Los
componentes sofisticados del malware se
disearon para secuestrar servidores,
infectar los equipos que luego los visitaban
2015
y robar informacin.

BLACKENERGY
Es un troyano modular que usa varios
componentes descargables para
2016 ejecutar tareas especficas, incluyendo
ciberespionaje con DDoS, ataques de
destruccin de informacin y dao a
mercados de energa. Muestra seales
de habilidades nicas, por encima de
los administradores de botnets DDoS
LOCKY tradicionales.
El ransomware fue un mtodo muy
popular en 2016 para atacantes que
buscan dinero. Locky recibe su nombre
del dios nrdico embaucador Loki, y es
capaz de cifrar archivos en unidades de
red, fijas y removibles. Para descifrar los
archivos, el usuario debe aceptar
ciertas condiciones a cambio de
instrucciones o una contrasea.