EL
AMIGA
ESTA
ENFERMO |
 |
Por Fernando Marcos
Hace algo así como dos años, un grupo de chavales de Suiza diseñaron y pusieron a punto un programa para gastar una broma a todos sus conocidos que poseyeran un Amiga. Este pequeño código era capaz de un disco a otro, multiplicándose de forma vertiginosa, y soltando de vez en cuando un mensaje que indicaba su presencia. pero sus amigos y conocidos intercambiaban programas con otros conocidos, y estos con otros, y con otros... y perdieron el control de la broma. Y ahora la "broma" ha infectado algo así como el 70 por ciento de los discos que autocargan en el Amiga por todo el mundo.
En realidad, no hay nada que temer... en circunstancias normales. De hecho, el virus está hecho para ser perfectamente eliminable, y no puede causar daño alguno ni al soft ni al hardware. Mucha gente mal informada está propagando rumores del tipo de que el virus destruye el software, el hardware, y no me sorprendería que también dijeran que estropea la cafetera de casa y que se infiltra en la radio del coche cambiándole las presintonías.
El virus reside en la pista cero, sector cero de los discos del Amiga (zona llamada "boot sector"), pero sólo en los que se autoejecutan (los que se pueden introducir directamente después de encender). El Amiga busca allí las rutinas de inicialización, y por tanto "se traga" el virus, colocándose confortablemente en memoria, donde parchea el sistema. Cuando se reinicializa el ordenador por medio de la secuencia de teclas habitual (Control-Commodore-Amiga), el virus lo detecta y se pone en marcha: cuando se introduce el nuevo disco comprueba si está infectado. Si es así, continúa la secuencia normal de inicialización. Si no, se copia al boot sector e incrementa un contador de copias. Cuando este contador llega a 16, aparece la pantalal de todos conocida y que dice: "Something wonderful has hapened... your Amiga is alive... and even better... some of your disks have been infected... by a VIRUS". Después de esto, el programa carga como si nada hubiese pasado.
Bien, entonces, ¿dónde está el peligro del virus? Consiste en que muchos programas comerciales utilizan el boot sector para efectuar cargas diferentes a la estándar. Por tanto, si el virus se coloca en ese mismo lugar, "machacará" el código original, impidiendo la normal carga del programa.
Vacunas y anticuerpos
Impedir que el virus se transfiera es sumamente sencillo: Basta con proteger contra escritura todos los discos autoejecutables. Con esto se impide su propagación. Pero los virus también se transmiten en las copias que se pasan los amigos, dominio público (aunque éstos suelen pasar "cuarentenas" para evitarlo), etc. Esta forma de transmisión sólo puede ser controlada por uno mismo, comprobando los discos uno a uno y comprobando que no están "infectados".
También existe un método indirecto para destruir el virus. Con el comando del sistema operativo INSTALL se reescribe el boot sector, de forma que el virus queda destruido. Hay que decir que con programas comerciales se corre el mismo riesgo de destruir los programas, ya que también se "pisan" las rutinas de carga originales del mismo. De todas formas, para programas "normales" es muy efectivo:
Para una unidad de disco:
Carga Workbench y salir al CLI.
Teclear: INSTALL ?
Poner el disco infectado.
Teclear: DRIVE DF0:
Para dos unidades:
Cargar Workbench y salir al CLI.
Poner el disco infectado en la unidad externa.
Teclear: INSTALL DF1:
De todas formas, los chicos de SCA (los creadores del virus), incluyeron dentro del mismo un método para desconectarlo: si durante el arranque del ordenador (Control-Commodore-Amiga) se deja pulsado el botón izquierdo del ratón, el virus lo detecta, hace parpadear la pantalla en verde, se desconecta y continúa el proceso de carga habitual, hasta que aparece la mano pidiendo el disco del Workbench. Este método des efectivo en el 90 por ciento de los casos, representando una protección bastante eficaz contra el contagio.
Sin embargo, existe, como siempre, el clásico (con perdón) bromista que muta el virus, que lo convierte en un voraz destructor de discos, que no se dejará eliminar tan fácilmente como su lejano primo el SCA Virus, y que si és netamente peligroso. Contra éstos no existe protección conocida, siendo la mejor la de proteger el disco contra escritura.
Espero haber aclarado algunos puntos "oscuros" sobre el SCA Virus. La mejor forma de combatirlo es conocerlo, y saber cómo trabaja en profundidad. Y lo más importante: que no cunda el pánico.
¿Continuará?...
Todo ordenador está expuesto al virus. De hecho,
aproximadamente el setenta por ciento de los
discos de Amiga están contaminados. Y el virus
no reconoce fronteras... |
|
COMO FUNCIONA EL VIRUS
El SCA Virus vive en los dos primeros sectores de los discos, dentro del boot sector. Cada sector es de 512 bytes, así que el boot sector mide 1024 bytes.
Cuando se inserta un disco para cargar, el sistema operativo comprueba que existe este boot sector. Si es así, lo carga a una zona de memoria, y después lo ejecuta con un JMP directo.
Aqui es donde entra en funcionamiento el virus: copia la zona de trabajo entera a una parte segura de la memoria, dentro de la pila (en hexa $7EC00), y luego hace que ciertos vectores de inicialización apunten a partes de sí mismo. Después, devuelve el control a la zona donde se había copiado el boot sector, con lo que la ejecución continúa de forma "normal".
Cuando se ejecuta una inicialización, el ordenador envia un DoIO (petición de lectura) a la ROM, la cual coloca en ciertos registros los parámetros del boot sector. El virus comprueba que es, en efecto, una petición de lectura del boot secotr. por lo que el virus lo carga y comprueba sí es una copia de si mismo por medio de una suma de contro. Si no lo es, se "copia" encima, incrementando un contador de copias, y se escribe en el boot sector. Al contador se le hace un AND $0F, y si es cero (o sea, múltiplo de 16) genera el Rastport correspondiente a la pantalla del mensaje, lo ejecuta y devuelve el control al virus original, que prosigue la ejecución con la carga del sistema.
A titulo de curiosidad, hay que decir que este es uno de los programas mejor escritos que se han visto en un ordenador personal. |
|
|
