Stoned | ||
---|---|---|
Volcado hexadecimal que muestra el texto «Your PC is now Stoned!» (¡Tu PC ahora está drogada!) en el último sector de 512 bytes del registro de arranque principal | ||
Información general | ||
Tipo de programa | Virus informático de sector de arranque. | |
Autor | Desconocido | |
Fecha de descubrimiento | 1987 | |
Información técnica | ||
Plataformas admitidas | PC | |
Stoned es un virus informático del sector de arranque creado en 1987. Es uno de los primeros virus y se cree que fue escrito por un estudiante en Wellington, Nueva Zelanda..[1][2] Para 1989 se había extendido ampliamente en Nueva Zelanda y Australia,[3] y las variantes se volvieron muy comunes en todo el mundo a principios de la década de 1990.[4]
Una computadora infectada con la versión original tenía una probabilidad de uno en ocho[5][6] que la pantalla declarara: «Your PC is now Stoned!» (¡Tu PC ahora está drogada!), una frase que se encuentra en el sector de arranque infectado de disquetes infectados, y en el MBR de los discos duros infectados, junto con la frase «Legalicen la marihuana». Las variantes posteriores mostraban una variedad de otros mensajes.
Se pensaba que el original «Tu PC ahora está drogada. Legalicen la marihuana» fue escrito por un estudiante en Wellington, Nueva Zelanda.[1][7]
Esta versión inicial parece haber sido escrita por alguien con experiencia solo con unidades de disquete de 360 KB del IBM PC, ya que se comporta mal en el disquete de 1,2 MB de las IBM AT, o en sistemas con más de 96 archivos en el directorio raíz. En discos de mayor capacidad, como discos de 1,2 MB, el sector de arranque original puede sobrescribir una parte del directorio.
El mensaje se muestra si la hora de inicio era exactamente divisible por ocho. En muchos clones de IBM PC de ese momento, la hora de inicio podía variar, por lo que el mensaje se mostraría aleatoriamente (1 vez de cada 8). En algunas máquinas compatibles IBM PC o en computadoras IBM PC originales, el tiempo de arranque era constante, por lo que una computadora infectada podía no mostrar nunca el mensaje, o mostrarlo siempre. Una computadora infectada con un disco de 360K y un disco duro de 20 MB o menos, que nunca mostraba el mensaje, era uno de los primeros ejemplos de un portador de virus asintomático, que funcionaba sin ningún problema, pero que infectaría cualquier disquete que se insertara.
En los discos duros, el registro de arranque principal se mueve al cilindro 0, cabeza 0, sector 7. En los disquetes, el sector de arranque original se mueve al cilindro 0, cabeza 1, sector 3, que es el último sector del directorio en discos de 360 kB. El virus sobrescribirá «de forma segura» el sector de arranque si el directorio raíz no tiene más de 96 archivos.
La PC normalmente se infectaba al arrancar desde un disquete infectado. Las computadoras, en ese momento, arrancaban de forma predeterminada desde la unidad de disquete A: si había un disquete. El virus se propagaba cuando se accedía a un disquete en una computadora infectada. Ese disquete era ahora, en sí mismo, una fuente para una mayor propagación del virus. Esto era muy parecido a un gen recesivo, difícil de eliminar, porque un usuario podía tener cualquier cantidad de disquetes infectados y, sin embargo, no tener sus sistemas infectados con el virus a menos que inadvertidamente arrancaran desde un disquete infectado. Limpiar la computadora sin limpiar todos los disquetes dejaba al usuario susceptible a una infección repetida. El método también fomentó la propagación del virus en el sentido de que disquetes prestados, si se colocaban en el sistema, ahora podían llevar el virus a un nuevo huésped.
La imagen del virus es muy fácil de modificar (parchear); en particular, una persona sin conocimientos de programación puede alterar el mensaje mostrado. Circulaban muchas variantes de Stoned, algunas solo con mensajes diferentes.
¡Pekín, maldita sea!. El virus tiene la cadena «Bloody! Jun. 4, 1989» (¡Sangriento! 4 de junio de 1989). En esta fecha, las protestas de la Plaza de Tiananmén fueron reprimidas por la República Popular China.
El virus tiene la cadena «Swedish Disaster» (El desastre sueco).
Manitoba no tiene una rutina de activación y no almacena el sector de arranque original en disquetes; Manitoba simplemente sobrescribe el sector de arranque original. Los disquetes EHD de 2,88 MB están dañados por el virus. Manitoba usaba 2 KB de memoria mientras estaba residente.
NoInt intentaba evitar que los programas lo detectaran. Esto provocaba errores de lectura si la computadora intentaba acceder a la tabla de particiones. Los sistemas infectados con NoInt tenían una disminución de 2 kB en la memoria base.
Una variante de Stoned se llamó Flame (más tarde un malware sofisticado no relacionado recibió el mismo nombre). El primer Flame usaba 1 kB de memoria DOS. Almacenaba el sector de arranque original o el registro de arranque maestro en el cilindro 25, cabezal 1, sector 1, independientemente del tipo de disco, lo que podía ocasionar corrupción de datos.[8]
Flame guarda el mes actual del sistema cuando está infectado. Cuando cambia el mes, Flame muestra llamas de colores en la pantalla y sobrescribe el registro de arranque maestro.
Angelina tiene mecanismos de sigilo. En los discos duros, el registro de arranque maestro original se mueve al cilindro 0, cabezal 0, sector 9.
Angelina contiene el siguiente texto incrustado, no mostrado por el virus: «Greetings from ANGELINA!!!/by Garfield/Zielona Gora» (Saludos desde ANGELINA!!!/por Garfield/Zielona Gora); Zielona Góra es una ciudad en Polonia.
El 15 de mayo de 2014, la firma del virus Stoned se insertó en el bitcoin blockchain. Esto hizo que Microsoft Security Essentials reconociera las copias de la cadena de bloques como el virus, lo que provocó que eliminara el archivo en cuestión y, posteriormente, obligó al nodo a recargar la cadena de bloques desde ese punto, continuando el ciclo.[13][14]
Solo se había insertado la firma del virus en la cadena de bloques; el virus en sí no estaba allí, y si lo estuviera, no podría funcionar.[15]
La situación se evitó poco después, cuando Microsoft impidió que la cadena de bloques sea reconocida como Stoned.[15] Microsoft Security Essentials no perdió la capacidad de detectar una instancia real de Stoned.