Los Nombres Miguel Angel, Stoned, Tabulero, Natas, todos son nombres de virus, verdaderos ingenios del terror que atacan de cuando en cuando a desprevenidas máquinas. Pero ¿de dónde vienen estos nombres ?. Aquí la explicación.
Existe un grupo denominado Organización para la Investigación de Anti-Virus de Computadoras (CARO, por sus siglas en inglés) , que asigna nombres a los virus que salen a la calle. Estos nombres son usados como un standard por la industria de los antivirus. Este nombre generalmente es derivado de alguna frase inserta en el código del agente maligno o de la manera en que se ejecuta el virus.
Ejemplo: el virus venezolano HNDV se denomina de esa manera porque ejecuta en determinadas fechas el Himno Nacional de Venezuela.Alias
Después de que el nuevo virus es "bautizado" oficialmente en el CARO, los desarrolladores de programas antivirus, les colocan "sobrenombres", los cuales son usados siempre luego del nombre oficial del sujeto en cuestión. Estos sobrenombres se derivan igualmente de características particulares de los virus.
Ejemplo: El HNDV tiene sobrenombres como By Way porque en el código se puede leer "By Way Chang". Otro alias que tiene es virus "Chávez" porque en determinado momento se aseguró que al ejecutarse el código viral aparecía en la pantalla infectada el rostro del comandante golpista, ahora trocado en candidato presidencial. Este rumor, por cierto, carece de toda base cierta, pero el sobrenombre quedó.Variantes
Los virus son agrupados en familias, de acuerdo a un esquema de comportamiento, como la familia Stoned, por ejemplo. Estas familias se dividen en variantes y, si es necesario, estas variantes se dividen a su vez en grupos de sub-variantes
Sin frenos
Se dice que un virus está liberado (in the wild) cuando ya ha infectado a usuarios finales fuera del ambiente de investigación. Para que un código viral se considere oficialmente liberado deben ocurrir infecciones en por lo menos dos localidades geográficas diferentes. Un virus está en el zoológico (in the zoo) cuando sólo existe en el ambiente de investigación.
La lista
Desde 1993, Joe Wells se ha dedicado a recopilar una lista de virus liberados, en la llamada "Wildlist". Se trata de una recopilación para la cual colaboran 46 de los más importantes autoridades en virus a nivel mundial. La base de este reporte son incidentes virales en los cuales una muestra fue recibida e identificada positivamente por el experto. Rumores y reportes sin verificación no son tomados en cuenta
El autor señala que no se trata de una lista de "virus más comunes".
Estos datos sólo indican cuáles virus han sido reportados como liberados, pero evidentemente se puede concluir que los virus mencionados por la mayor parte de los participantes están más extendidos, explica Wells desde su página Web ubicada en www.wildlist.org
Adicionalmente, la lista es usada como un esfuerzo para estandarizar los nombres de los virus, porque en ocasiones los alias tienden a confundir a los usuariosLos expertos
Entre el grupo que participan en "Wildlist" se encuentran los latinoamericanos Eduardo Velásquez, de Softeam Ltda (desarrolladores de VirusCOP), José Martínez (HackSoft S.R.Ltda) y Rubén Arias (RALP). Los miembros de la lista cubren zonas geográficas tan lejanas entre sí como Albania y Australia.
Un virus
Se llama Win32/Semisoft y se le conoce también como Win.Net666 y Net.666. Está escrito en un lenguaje de alto nivel (Microsoft C) e infecta archivos con los formatos .EXE y .PE. Estos últimos, son archivos ejecutables usados por Windows 96 y Windows NT, por lo cual podría considerarse a este virus como uno de los primeros específicos para Windows NT.
Todas las variantes de este código viral infectan el Block de Notas de Windows (que se ejecuta desde el archivo NOTEPAD.EXE) y crea varios archivos que contienen el cuerpo del virus. Estos archivos son WINIPX.EXE, WINIPXA.EXE, WINSRVC.EXE and EXPLORE.EXE.
El virus contiene tres direcciones IP (202.37.225.170, 202.50.80.221 y 210.55.239.5) a las cuales envía información relacionada con la máquina infectada cuando ésta se conecta a Internet
Hay varias variantes del virus. La primera (.60416) contiene las siguientes instrucciones:
mylen=, c:\testexe.exe, NOTEPADX.EXE, NOTEPAD.EXE, SETUP.EXE, EXPLORE.EXE, EXPLORER.EXE, WINIPX.EXE, WINIPXA.EXE, WINSRVC.EXE, E5.2, DEBUG, IMPL=, ETHP v5.2, \IDENT.TXT Otras dos variantes manejan códigos parecidos.