Nota de VSAntivirus:

Una pregunta recurrente que recibimos quienes investigamos el tema de los virus, es la de quienes son sus creadores, y porqué los hacen.

La excelente página colega, Virus Attack!, acaba de crear una nueva sección que incluirá entrevistas de especial interés sobre el tema de los virus. Y para inaugurarla, "nos decidimos a entrevistar a uno de los programadores de gusanos más importantes del momento, el argentino Zulú", afirma su webmaster Ignacio Sbampato.

Cuando le comentamos la excelente entrevista realizada, el mismo Sbampato puso a nuestra completa disposición la misma. Cómo pensamos que este reportaje, sirve de algún modo para conocer y entender un poco más a quienes programan virus, y cuáles son sus motivaciones, hemos decidido por lo tanto, compartirla con nuestros lectores.

Por supuesto, ésta de ningún modo es la visión de todos los programadores de virus, pero nos da una idea de quienes son, y de algún modo nos ayuda a responder algunas de las interrogantes que siempre nos han hecho sobre el tema.

Y tal vez, hasta nos ayude a poner en su lugar algunos pre conceptos, sin que ello signifique justificar su acción.

Jose Luis Lopez
Video Soft BBS

Zulú, virus made in Argentina
por Ignacio M. Sbampato(*)
28/10/2001

Para todos aquellos que utilizamos Internet día a día, los virus informáticos ya son parte usual de nuestras vidas. Muchos de nosotros nos preguntamos de dónde vienen estos programas que intentan afectar nuestra apacible vida informática, y la respuesta es que son creados por programadores, ya que los virus son exactamente eso, programas, cuyas intenciones no son siempre las mismas. 

Existen programadores de virus cuyo único interés es traer problemas a todo aquel cuya computadora se vea afectada por sus creaciones, mientras que también existen otros que al desarrollar un virus informático lo hacen sin malicia alguna, porque es lo que les gusta hacer y les parece interesante. Incluso, algunos creen que los virus pueden ser considerados como una "forma de vida" informática, y se divierten creando especímenes cada vez más complejos y con más inteligencia, sin intentar causar real daño a nadie.

Entre aquellos que crean un virus por mero hobbie, porque les parece algo muy interesante de hacer, se encuentra Zulú, un argentino que ha creado algunos de los gusanos más interesantes de los últimos tiempos, y que vale aclarar, nunca ha incluido en ellos nada que pueda dañar un equipo infectado por una de sus creaciones.

Autor de gusanos muy conocidos como el VBS/BubbleBoy (el primero capaz de autoejecutarse con sólo abrir un correo electrónico infectado), el VBS/Freelink, el VBS/Monopoly, el VBS/Stages (un gusano muy complejo, primero en utilizar el formato SHS) y el VBS/PDFworm (primero en utilizar el formato de archivos PDF de Adobe Acrobat), entre otros, Zulú mantuvo una entrevista con nosotros en la que le preguntamos lo siguiente:

Virus Attack!: Algunos datos personales tuyos: ¿dónde vivís, edad, ocupación?

Zulú: Vivo en Argentina y soy mayor de 20 años. Aun sigo cursando los estudios universitarios y trabajo en el sector de sistemas de una empresa no muy grande. De hecho soy la única persona del sector de sistemas, así que soy administrador del server, de las 20 workstations, e incluso debo hacer cualquier cosa relacionada al tema, como hacer de soporte ante cualquier problema de los usuarios. Y aunque suene ilógico para algunos, una de mis tareas es prevenir las infecciones con virus informáticos.

VA: La gente cree que los programadores de virus son "nerds" que están tras la PC las 24 horas del día, ¿qué haces en tu tiempo libre?

Zulú: Prefiero el termino "geek", es mas fashion. ;)

Ahora hablando en serio, soy como cualquier persona cuyos hobbies, estudios y trabajos pasan por tener la computadora frente a uno. En cuanto al tiempo libre, depende con quien este, una cosa es estando solo (termino frente a la compu) y otra cosa es con amigos y/o novia. Baa, aunque a veces con amigos jugamos al Delta Force y con mi novia vamos al IRC, pero son solo excepciones. :)

Y mirándolo por otro lado, mi pagina de inicio es slashdot.org, cuyo slogan
es "News for nerds, stuff that matters". :)

VA: Esta es una pregunta que mucha gente me está haciendo desde que les pregunté que les interesaría saber de un programador de virus, ¿qué te motiva a crear virus? ¿lo haces por divertimento, para probar algo o para tener publicidad? ¿cómo comenzaste con todo esto?

Zulú: Por la misma razón por la cual alguien suele jugar al tenis, entretenimiento. Cuando alguien juega al tenis, sabe que eso que esta haciendo no le sirve como experiencia laboral, incluso a veces, ni siquiera le importa si juega mal por el simple hecho de estar realizándolo por diversión.

De igual manera esto yo lo aplico a la creación de virus, ni siquiera importa si el virus es un desastre hecho por un script kiddie, el creador en la mayoría de los casos lo hizo para divertirse. La gente tiene hobbies porque se entretiene con ellos, la creación de virus, en realidad de cualquier programa que haga por gusto, la considero análoga a cualquier otro hobbie que yo tenga.

Todo esto no quita que mucha gente no entienda cual es la diversión en la creación de virus. Pero esto sucede con cualquier entretenimiento, por ejemplo, en España existe gente que se divierte mirando una corrida de toros. Yo sinceramente no entiendo que puede haber de divertido en eso, pero eso no quita que esa gente se este realmente entreteniendo de esa forma.

En cuanto a como comencé, todo empezó infectándome con el virus argentino Pindonga luego de bajar un programa de una BBS. Al darme cuenta que mi F-Prot no lo detectaba tuve que buscar un string de detección para detectar mis archivos infectados. Esto me hizo interesarme en el tema y a comenzar a pedir una copia de cada virus que veía, hasta llegue a pedir que me dejen infectar un disquete en uno de esos viejos locales de grabación de programas y juegos cuando un cliente llego con su maquina infectada con el virus Xuxa.

Tiempo mas tarde vino Internet, lo que me dio acceso a mas información y luego de ver ciertos virus hechos por un autor australiano denominado 1nternal, me di cuenta que no era necesario saber assembler para escribir un virus original y efectivo. Realice uno como una prueba, luego vinieron mas ideas y quise implementarlas. Y así hasta hoy...

VA: ¿Hay gente que sepa quien sos realmente? ¿o sea, que conozco al Zulú virtual y al real? ¿cómo manejas esto?

Zulú: Si, novia, amigos y familia saben del tema. Salvo miedo al leer algunas noticias del LifeStages sin conocer el tema a fondo, como paso con mi ex y con parte de la familia, jamás hubo diferencia con cualquier otra cosa que yo haga.

VA: ¿Nunca te hacen algún tipo de comentario cuando leen en las noticias los líos que hacen algunos virus o que cada vez más, en algunos países, se los trata como criminales?

Zulú: No, solo a veces me hacen la tonta pregunta de si ese virus del cual están leyendo es mío...

VA: ¿Qué pensas de toda esta movida judicial en torno a los virus informáticos que se viene dando principalmente en los países anglosajones?

Zulú: Solo es legislación hecha por gente que no entiende nada del tema. No es necesario legislar sobre los virus informáticos, solo basta hacerlo sobre el daño a bienes inmateriales. Lo cual seria mas abarcativo y a su vez mas justo (seria injusto penar a alguien que escribe un virus y solo lo da a sus amigos para compartir ideas y/o conocimientos).

Esto es similar al caso del proyecto de ley LSSI de España, no es necesario legislar sobre Internet, la estafa es estafa en la realidad como en Internet. Solo es necesario retocar las leyes existentes para que incluyan a Internet como un medio mas para la realización de una estaba. (Mas información sobre este caso en http://www.kriptopolis.com).

Además, el caso de penar virus informáticos tiene el problema del medio en que se encuentran, ¿seria ilegal un virus escrito en una hoja de papel? Legislar sobre la destrucción de bienes inmateriales ajenos tiene la ventaja de no tener este problema, y lo mas importante, de ser mas justa acorde a las pautas de nuestra sociedad en otros aspectos.

El tema da para mucho mas, pero bueno...

VA: ¿Cuál fue el primer virus que programaste? ¿Alguno de estos gusanos VBS que estás haciendo últimamente o antes probaste con otros lenguajes?

Zulú: El primero fue HTML/VBS.Zulu, no era un gusano como los que hago actualmente sino un virus real en VBScript que infectaba archivos HTML y VBS.

En cuanto a otros lenguajes, si bien los utilizo en el trabajo o para otros proyectos personales, no los utilizo para virus informáticos. Bien no sé por qué, de hecho LifeStages (que en un principio era solo la idea de un virus utilizando la extensión SHS) estaba pensado para ser hecho en Delphi, pero el EXE (dentro del SHS) hubiese quedado demasiado grande para esa época.

VA: Siempre se ve que tus creaciones no tienen rutinas "maliciosas", ¿a qué se debe esto? ¿qué pensás de aquellos que sí incluyen este tipo de acciones dañinas?

Zulú: Mi objetivo es divertirme y no veo la diversión en agregar una línea de código que elimina todos los archivos de una maquina. La diversión, al menos en mi caso, esta en hacer rutinas antidesinfeccion, de tratar de pelear con un usuario medianamente capaz, de utilizar un método no conocido y de esta manera inesperado, de diseminarse utilizando la mayor cantidad de medios posibles, etc.

Además, si el virus por alguna razón se disemina, no me gustaría ver que miles de computadoras son dañadas por mi culpa, no es mi objetivo y creo no me sentiría nada bien si pasara.

En cuanto a que pienso de aquellos que hacen rutinas maliciosas, no hay problema mientras no diseminen sus virus intencionalmente. Pero si ese no fuera el caso, deben ser penados así como lo debería ser yo mismo si distribuyera mis virus, obvio, penas distintas, una cosa es eliminar la información de un usuario y otra distinta es hacer que su maquina sea media segundo mas lenta en el arranque y que su disco tenga medio megabyte menos por culpa de mi virus ocupando lugar sin el consentimiento del usuario.

VA: Si vos no distribuís tus virus, ¿quién lo hace? Porque hay ejemplos de tus creaciones que han sido reportados por usuarios, incluso el LifeStages todavía anda dando vueltas por muchos IRCs hispanos.

Zulú: Los únicos dos virus míos que realmente están o estuvieron "in the wild" son Freelinks y LifeStages. En la mayoría de los casos las infecciones creo se dan por gente que los baja de ciertos sitios y los usa contra algún conocido o cosas similares.

El caso de Freelinks fue raro, el virus comenzó a aparecer en algunos servidores de chat 4 meses después de que yo lo haya creado, fue una sorpresa porque yo ya lo tenia olvidado y de pronto empezaron a aparecer noticias sobre el virus. Incluso, Freelinks es anterior a Monopoly, pero si buscas las fechas de las noticias sobre estos dos virus vas a ver que las noticias de Freelinks son posteriores a Monopoly.

En cuanto a otros virus tipo BubbleBoy o PDFWorm, si bien crearon noticias jamás estuvieron "in the wild".

VA: Varias de tus creaciones fueron muy innovadoras (BubbleBoy, LifeStages, PDFWorm), se nota que te gusta hacer cosas nuevas, e investigar, ¿te basas en trabajos de otros o son ideas que salen de vos? ¿qué te lleva a intentar siempre hacer algo distinto?

Zulú: Yendo a esos casos específicos, lo de BubbleBoy y LifeStages fueron ideas de mi parte (aunque obvio gente en el tema siempre supo de esas vulnerabilidades). Lo de PDFWorm en cambio era una idea mucho mas conocida y bien documentada, solo restaba alguien que la llevara a cabo.

El porque de hacer algo distinto no lo se exactamente, pero me divierte mas tratar de buscar cosas no hechas u originales.

VA: ¿Has tenido algún incidente importante con virus en tu trabajo actual?

Zulú: No importante, apenas algunas infecciones de Magistr.b hace un tiempo porque el update del antivirus llego tarde con dicho virus (limitar ciertas extensiones no es una solución factible en donde trabajo).

VA: Ya que antes nombraste el IRC, y estamos hablando de tus creaciones, ¿nunca te pasó que estuvieras chateando en algún canal y alguien quisiera mandarte, sin saberlo, un archivito life_stages.txt.shs (no sé si lo tenés, es un gusano bastante piola que hizo un argentino ;-P)? ¿tuviste algún otro tipo de contacto con otra de tus creaciones?

Zulú: Si, me pasa casi siempre cuando voy al IRC y entro a canales de mucha gente. Me pasaba con el Freelinks ("LINKS.VBS") y me sigue pasando con el LifeStages (LIFE_STAGES.TXT.SHS).

VA: ¿Tenes amigos/conocidos que se dediquen a la programación de virus? ¿compartís tus creaciones y conocimientos con ellos? ¿tenés o tuviste contacto con programadores como los del grupo 29A que tienen una filosofía similar a la tuya? ¿o sos más bien un alma solitaria en esto?

Zulú: Estoy en contacto con muchos escritores y coleccionistas. No tanto como en otros tiempos, pero cuando puedo trato de ir a Undernet a hablar un poco y me sigo escribiendo con muchos. Justamente es una de las diversiones de escribir virus, compartir ideas, proyectos y demás con otros escritores/amigos.

En cuanto al grupo 29A, dado las distancias, solo llegue a conocer personalmente a un solo miembro, pero estoy en contacto con algunos de ellos por email o IRC. Aunque hay que tener en cuenta que dicho grupo se basa mas en la programación en bajo nivel, todo lo contrario a lo que hago yo.

VA: Y ahora, ¿tenés amigos/conocidos o personas con las que intercambies información en forma frecuente que se encuentre en el otro bando? ¿en qué compañías/publicaciones?

Zulú: No frecuentemente, pero suelo tener mensajes de compañías antivirus de segunda línea, a veces incluso pidiendo muestras. Y con publicaciones si tengo contactos, pero no puedo calificar a las publicaciones como "de otro bando", mas que nada buscan hacer su trabajo supongo.

VA: ¿Nunca te tentaron de algún lado para crear un virus a cambio de dinero o algún otro tipo de intercambio similar?

Zulú: Si, recibí mails con propuestas laborales y muchísimos pedidos que ni suelo responder de gente solicitando la creación de algún virus especifico que haga lo que en el mail me indican y cosas así (¡hasta para usar de venganza contra un ex novio!, jajaja).

Pero los pedidos de creación de virus no fueron por dinero, lo que si hubo es ofrecimientos de dinero a cambio de enviar mi colección de virus.

VA: ¿Cuál opinás que es el factor que más ayuda a la propagación de virus? ¿por qué?

Zulú: Usuarios tontos.

Cualquier persona si vive en una zona peligrosa presta atención en cerrar con llave la puerta de su casa, pero esa misma persona no toma precauciones en una red peligrosa. Esto puede tener muchas razones y realmente no se cuales son las correctas, pero podría ser falta de costumbre o la no comprensión del valor de la información o de ciertos bienes inmateriales.

Pensémoslo un poco, todo email mandado por en virus hasta la actualidad es predecible de no haber sido enviado por una persona, se nota que son mensajes automatizados o preseleccionados, el problema es que muchos usuarios ni prestan atención a la extensión del archivo adosado o a que el mensaje suene "robotizado". Y esto no habla bien de nosotros los escritores, la complejidad de la simulación de una persona del otro lado sigue dejando mucho que desear.

VA: Hay un debate que se viene dando desde antes de la aparición de gusanos como el Cheese (para Linux) o este último Code Blue, acerca de los virus "benignos". ¿Vos crees que pueden ser útiles? ¿o te parece que la solución a los problemas de seguridad pasan por otro lado?

Zulú: Realmente no lo analice en detalle y no tengo posición tomada en el tema.

VA: ¿Usas antivirus? ¿Cuál o cuales? ¿Por qué?

Zulú: En mi casa no uso antivirus continuamente (ni loco desperdicio recursos en un monitor/scanner en tiempo real), pero si tengo el Kaspersky antivirus (ex Antiviral Toolkit Pro) y el F-Prot. Mas que nada los suelo usar para escanear mi colección de virus y así saber que tengo y que no, pero también los utilice alguna que otra vez ante la duda en algún archivo binario.

Y laboralmente las estaciones de trabajo utilizan otro que prefiero no nombrar, pero no es del todo malo, hay cosas peores como el Norton Antivirus (¿necesito una Athlon 1400 para ejecutarlo no?, jeje). Además allí utilizo otro y no el Kaspersky antivirus porque la licencia ya existía antes que yo entrara en la empresa y si no hay fondos para tener un server como la gente menos va a ser para adquirir una nueva licencia.

VA: Justamente en estos días apareció un gusano que se dio en llamar BlueMail escrito por un tal H0axley en el que agrega un comentario que dice (Thanks to Zulú). Cuando recibís este tipo de agradecimientos, ¿qué sentís? ¿qué pensás cuando gente se basa en tus creaciones para crear las propias?

Zulú: No me molesta, al contrario, los aliento. Justamente quien nombras (H0axley) me pidió opinión sobre su virus cuando aun lo estaba realizando.

VA: ¿Ya tenés alguna otra interesante creación en mente o estás en un período sabático? ¿Algún detalle que se pueda comentar?

Zulú: Tengo empezado un código ya desde antes de crear PDFWorm, pero es demasiado ambicioso y entonces siempre queda relegado. Además tengo un directorio donde almaceno ideas y ese directorio actualmente tiene subdirectorios desde "Project 1" hasta "Project 9", y el primero es justamente el virus que recién mencione. 

Además dicho proyecto esta pensado para realizarse en equipo con otro programador de bajo nivel, y por razones de tiempo hace meses que no hablo con esa persona. Sintetizando un poco, es un gusano utilizando una extensión aun no usada y soportando al menos cuatros clientes de correo distintos (esta parte ya esta programada, solo tengo que agregarle soporte de Outlook XP). 

VA: ¿Qué opinás de esta entrevista? (sinceramente) ¿Te gusta que reconozcan tu trabajo de esta manera? ¿Te pareció interesante o superficial? Si tenés algo más que agregar que a la gente pueda interesarle (como la fecha de tu próximo virus ;-P), por favor, agregálo.

Zulú: La verdad me pareció buena, con preguntas fuera de lo común (como la de que antivirus uso), pero que pueden llegar a interesar.

(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de LasNoticias.Org

Virus Attack! © 1999-2000. Ignacio M. Sbampato. Todos los derechos reservados - http://www.virusattack.com.ar


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com