Stoned es un virus informático del sector de arranque creado en 1987. Es uno de los primeros virus y se cree que fue escrito por un estudiante de Wellington, Nueva Zelanda. [1] [2] Para 1989 se había extendido ampliamente en Nueva Zelanda y Australia, [3] y las variantes se volvieron muy comunes en todo el mundo a principios de la década de 1990. [4]
![]() Volcado hexadecimal que muestra "¡Tu PC ahora está drogada!" declaración en el último sector de 512 bytes de Master Boot Record | |
Tipo | Virus de computadora |
---|---|
Subtipo | Virus de arranque |
Punto de origen | Nueva Zelanda |
Autor (es) | Desconocido |
Sistema (s) operativo (s) afectado (s) | DOS |
Una computadora infectada con la versión original tenía una probabilidad entre ocho [5] [6] de que la pantalla declarara: "¡Tu PC ahora está drogada!" , una frase que se encuentra en sectores de arranque infectados de disquetes infectados y registros de arranque maestros de discos duros infectados , junto con la frase "Legalizar la marihuana " . Las variantes posteriores produjeron una variedad de otros mensajes.
Versión original
Se pensaba que el original "Tu computadora ahora está drogada. Legalizar la marihuana" fue escrito por un estudiante en Wellington , Nueva Zelanda. [1] [7]
Esta versión inicial parece haber sido escrita por alguien con experiencia solo con unidades de disquete IBM PC 360KB, ya que se comporta mal en el disquete IBM AT 1.2MB, o en sistemas con más de 96 archivos en el directorio raíz. En discos de mayor capacidad, como discos de 1,2 MB, el sector de inicio original puede sobrescribir una parte del directorio.
El mensaje se muestra si el tiempo de inicio era exactamente divisible por 8. En muchos clones de IBM PC en ese momento, los tiempos de inicio podían variar, por lo que el mensaje se mostraría aleatoriamente (1 vez en 8). En algunas máquinas compatibles con IBM PC o en computadoras IBM PC originales , el tiempo de inicio era constante, por lo que una computadora infectada nunca mostraría el mensaje o siempre mostraría el mensaje. Una computadora infectada con un disco de 360K y un disco duro de 20 MB o menos, que nunca mostró el mensaje fue uno de los primeros ejemplos de un portador de virus asintomático, que funcionaría sin impedimentos para su función, pero que infectaría cualquier disco insertado en eso.
En los discos duros, el registro de inicio maestro original se mueve al cilindro 0, cabezal 0, sector 7. En los disquetes , el sector de inicio original se mueve al cilindro 0, cabezal 1, sector 3, que es el último sector de directorio en 360 kB discos. El virus sobrescribirá "de forma segura" el sector de arranque si el directorio raíz no tiene más de 96 archivos.
Por lo general, la PC se infectaba al arrancar desde un disquete infectado. Las computadoras, en ese momento, arrancarían por defecto desde la unidad de disquete A: si tuviera un disquete. El virus se propagó cuando se accedió a un disquete con una computadora infectada. Ese disquete era ahora, en sí mismo, una fuente para una mayor propagación del virus. Esto era muy parecido a un gen recesivo , difícil de eliminar, porque un usuario podía tener cualquier número de disquetes infectados y, sin embargo, no tener sus sistemas infectados con el virus a menos que arrancaran inadvertidamente desde un disquete infectado. Limpiar la computadora sin limpiar todos los disquetes dejó al usuario susceptible a una infección repetida. El método también fomentó la propagación del virus en los disquetes prestados que , si se colocaban en el sistema, ahora podían llevar el virus a un nuevo host.
Variantes
La imagen del virus se modifica (parchea) muy fácilmente; en particular, una persona sin conocimientos de programación puede alterar el mensaje mostrado. Circulaban muchas variantes de Stoned, algunas solo con mensajes diferentes.
Beijing, ¡maldita sea!
El virus tiene la cadena "Bloody! Jun. 4, 1989". En esta fecha, las protestas de la Plaza de Tiananmen fueron reprimidas por la República Popular China .
Desastre sueco
El virus tiene la cadena "El desastre sueco".
Manitoba
Manitoba no tiene una rutina de activación y no almacena el sector de arranque original en disquetes; Manitoba simplemente sobrescribe el sector de arranque original. Los disquetes EHD de 2,88 MB están dañados por el virus.
Manitoba usa 2 KB de memoria mientras está residente.
NoInt, Bloomington, Stoned III
NoInt intenta evitar que los programas lo detecten. Esto provoca errores de lectura si la computadora intenta acceder a la tabla de particiones. Los sistemas infectados con NoInt tienen una disminución de 2 kB en la memoria base.
Llama, Stamford
Una variante de Stoned se llamó Flame (más tarde se le dio el mismo nombre al malware sofisticado no relacionado ). El Flame temprano usa 1 kB de memoria DOS. Almacena el sector de inicio original o el registro de inicio maestro en el cilindro 25, cabezal 1, sector 1 independientemente del medio.
Flame guarda el mes actual del sistema cuando está infectado. Cuando cambia el mes, Flame muestra llamas de colores en la pantalla y sobrescribe el registro de inicio maestro.
Angelina
Angelina tiene mecanismos de sigilo. En los discos duros, el registro de inicio maestro original se mueve al cilindro 0, cabezal 0, sector 9.
Angelina contiene el siguiente texto incrustado, no mostrado por el virus: "¡¡¡Saludos de ANGELINA !!! / por Garfield / Zielona Gora" ( Zielona Góra es una ciudad en Polonia).
- En octubre de 1995, se descubrió a Angelina en las nuevas unidades IDE Seagate Technology 5850 (850 MB) selladas de fábrica . [8]
- En 2007, un lote de computadoras portátiles Medion vendidas a través de la cadena de supermercados Aldi parecía estar infectado con Angelina. [9] Un comunicado de prensa de Medion explicó que el virus no estaba realmente presente; más bien, fue una advertencia falsa causada por un error en el software antivirus preinstalado , Bullguard. Se lanzó un parche para corregir el error. [10] El mal funcionamiento de Bullguard destaca uno de los problemas (junto con la pérdida de rendimiento y las ventanas emergentes frustrantes que piden dinero al usuario) de los OEM que preinstalan lo que Microsoft denomina internamente "craplets" en las PC con Windows para compensar el costos de licenciamiento de Windows. Una práctica ampliamente condenada en los medios tecnológicos, incluso por parte de reporteros que suelen ser amigos de Microsoft. [11]
Incidente de blockchain de Bitcoin
El 15 de mayo de 2014, la firma del virus Stoned se insertó en la cadena de bloques de bitcoin . Esto hizo que Microsoft Security Essentials reconociera las copias de la cadena de bloques como el virus, lo que le pedía que eliminara el archivo en cuestión y, posteriormente, obligaba al nodo a volver a cargar la cadena de bloques desde ese punto, continuando el ciclo. [12] [13]
Solo se había insertado la firma del virus en la cadena de bloques; el virus en sí no estaba allí, y si lo estuviera, no podría funcionar. [14]
La situación se evitó poco después, cuando Microsoft impidió que la cadena de bloques fuera reconocida como Stoned. [15] Microsoft Security Essentials no perdió la capacidad de detectar una instancia real de Stoned.
Ver también
- Cerebro (virus informático) , un virus del sector de arranque anterior
- Michelangelo (virus informático) , un virus del sector de arranque basado en Stoned
- Comparación de virus informáticos
Referencias
- ^ a b "... una breve historia de los virus de PC". , IBM Research
- ^ "Los primeros días" , Historia del malware
- ^ "El virus de la marihuana causa estragos en el Departamento de Defensa de Australia" . The Risks Digest . 9 (9). 14 de agosto de 1989 . Consultado el 7 de agosto de 2007 .
- ^ "Descripciones de virus F-Secure: Stoned" . F-secure.com . Consultado el 7 de agosto de 2007 .
- ^ "Análisis de Stoned" , Peter Kleissner
- ^ "El virus de PC" Stoned "" , comentó el desmontaje del código del virus en computerarcheology.com
- ^ "Los primeros días" , Historia del malware
- ^ "Virus: Boot / Stoned" . Consultado el 27 de agosto de 2010 .
- ^ "Virus de arranque enviado en portátiles alemanes" . Boletín de virus . Consultado el 8 de enero de 2008 .
- ^ "Wichtige Produktinformation zum Notebook MD 96290" . Medion AG. 10 de noviembre de 2007. Archivado desde el original el 10 de noviembre de 2007 . Consultado el 11 de enero de 2017 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "Beat it, bloatware: Cómo limpiar Superfish y otras porquerías de tu PC" . PCWorld . 19 de febrero de 2015 . Consultado el 19 de julio de 2020 .
- ^ "Microsoft Security Essentials reporta falsos positivos en la cadena de bloques de Bitcoin, notificando constantemente a los usuarios" . answers.microsoft.com .
- ^ tweet_btn (), Richard Chirgwin 18 de mayo de 2014 a las 21:58. "Bitcoin blockchain supuestamente infectado por el antiguo virus 'Stoned'" .
- ^ "Un susto de virus en la cadena de bloques: rastros de DOS" Stoned "Encontrado • r / Bitcoin" . www.reddit.com . 19 de mayo de 2014.
- ^ Wei, Wang. "Antiguas firmas de virus 'STONED' encontradas en Bitcoin Blockchain" .