RSS
Mostrando entradas con la etiqueta Willistrover. Mostrar todas las entradas
Mostrando entradas con la etiqueta Willistrover. Mostrar todas las entradas

Virus "PHX" segunda parte.

Posted by LU6FPJ | Labels: , , , , , , , , , , , ,

Hoy vamos a desempolvar una crónica fascinante, Es una historia que lo tiene todo: ingenio, traición, un plan de venganza y una lección aprendida de la peor manera.

Imaginen la escena: son los años 90. Los juegos de computadora se mueven en diskettes y la piratería es la norma.

El Ingenio: La "Intro" Imborrable

En Rosario, un programador muy talentoso, que se movía bajo el alias de "Armagedón", tenía un negocio de venta de shareware y juegos. Para publicitarse, desarrolló un programita brillante: una "Intro" (una pantalla de presentación) que se "pegaba" al inicio de cada juego que vendía. (overlay)

Esta intro no era un simple cartelito. Estaba diseñada para que, si alguien copiaba ese juego o programa (es decir, pirateaba al pirata), no pudiera sacarle la publicidad. El próximo comprador vería inevitablemente el anuncio del local. Era un sello de agua digital imposible de borrar.

El programa era un secreto bien guardado, compartido solo con uno o dos colegas de confianza en Rosario.

Ingreso a la Galería Vía Florida en los 90 (San Martín 1051)

La Traición: El Pirata de la Moto

Como en toda buena historia, aparece el conflicto. El colega de “Armagedón” tenía un socio en Buenos Aires. Este "pirata porteño" consiguió una copia de la famosa "Intro" con la promesa de no compartirla con nadie.

Pero, como dice el artículo, "pirata al fin", vio el potencial de negocio. Rompió su promesa, empezó a vender el programa de Armagedón por su cuenta y le fue tan bien que, con las ganancias del esfuerzo ajeno, se compró una moto.

Cuando Armagedón se enteró, la furia fue total. Él apenas tenía dinero, y el otro se estaba enriqueciendo gracias a su código.

"La Cueva" o "La Tinto" Entre Ríos 1071 - 1075

La Venganza: Nace el "Tracker"

Armagedón buscó primero la vía legal. Fue al registro de propiedad intelectual, pero el trámite era un laberinto. Un abogado amigo le bajó las esperanzas: "Ni te molestes. Aunque lo registres, se va a salir con la suya. Tiene amigos en lugares importantes".

Desesperanzado de la justicia, Armagedón optó por la venganza. Digital, por supuesto.

Decidió crear un virus.

Aunque nunca había hecho uno, sus "intros" eran técnicamente similares, ya que se "pegaban" a otros programas. Su plan era crear un "tracker" (buscador), un virus que se esparciría de máquina en máquina, silencioso e inofensivo, hasta que diera con la computadora del pirata traidor. Solo ahí, en esa máquina, el virus despertaría y empezaría a destruir lentamente el disco rígido.

Para proteger su identidad, adoptó el apodo "Armagedón", sugerido por un amigo, un nombre que sonaba potente y no tenía nada que ver con su alias habitual en el mundo informático.

El Error: "Volvete en Virus, es más Rápido"

El Día del Padre de 1993, el virus estuvo listo.

Armagedón y su "pandilla" probaron el virus en todas las computadoras que pudieron para asegurarse de que era 100% inofensivo para los inocentes… O eso creyeron.

Comenzaron la distribución de forma "quirúrgica". Le pasaron una copia del software "Vista Pro" infectado a un conocido pirata de Buenos Aires. Casi al mismo tiempo, uno de sus amigos viajó a Uruguay por negocios (que también trabajaban con el enemigo porteño) y llevó una versión 2 del virus.

Aquí es donde todo se salió de control.

El virus demostró ser más infeccioso de lo que jamás imaginaron. Unos días después, el pirata de Buenos Aires volvió a Rosario. Cuando revisaron sus diskettes, Armagedón no podía creerlo: ¡tenía la versión 2, la que se había ido a Uruguay!

El virus había viajado de Uruguay a Buenos Aires y de Buenos Aires a Rosario en cuestión de días. La broma interna fue épica:

—¿En qué te volviste de Uruguay?

—En colectivo.

—No, eso pasó de moda. La próxima vez volvete en virus que es mucho más rápido.

Las Consecuencias: El Virus "PHX"

La broma dejó de ser graciosa muy rápido. Armagedón descubrió que su creación tenía errores. Esos "pequeños" bugs que se le habían pasado hacían que el virus no fuera inofensivo para las computadoras inocentes. Estaba corrompiendo datos en todas partes.

La culpa lo carcomía. La infección se multiplicaba exponencialmente. Habían elegido demasiado bien a sus distribuidores.

Mientras tanto, el virus llegó a organizaciones antivirus internacionales. En EE.UU. lo llamaron "Willistrover III" y (gracias a un dato falso) creyeron que venía de Bolivia. Pero fue el islandés Fridrik Skulason, autor del famoso antivirus F-Prot, quien le dio el nombre con el que pasaría a la historia: PHX. Lo llamó así por un texto que el virus buscaba en las máquinas para identificar a su víctima.

El virus "PHX" estaba en todos lados: Uruguay, Paraguay, Rosario y Buenos Aires. Había infectado incluso a organismos oficiales del gobierno, que (en teoría) no deberían usar software pirata.

La Redención: El Antivirus

Irónicamente, el virus cumplió parcialmente su objetivo. El pirata porteño recibió una avalancha de quejas de clientes a los que se les borraba la información. La venganza se había servido...

Pero el plato estaba demasiado frío. La alegría de Armagedón y compañía quedó completamente opacada por la culpa de la infección masiva que había causado.

En un intento por frenar a su propia creación, crearon varios programas antivirus y curas específicas para el PHX. Empezaron a repartirlos gratuitamente y hasta montaron una "campaña de vacunación" en Rosario.

La experiencia los marcó para siempre. Aprendiendo por las malas que un virus es algo que, por definición, se sale de control.

El limpiador es eficiente: no analiza byte por byte, sino que va directo a donde sabe que está el virus.

  • Objetivo: Archivos ejecutables (.COM y .EXE).

  • Posición Clave: El virus PHX mide exactamente 822 bytes y siempre se adhiere al final del archivo.

  • Método: El programa salta al final del archivo y retrocede 822 bytes. Luego, lee ese bloque y verifica cuatro "marcas" o "firmas" exactas en posiciones específicas. Si las cuatro firmas coinciden, confirma la infección y avanza a la curación.

2. La Cirugía: Revertir la Infección

La infección consistía en que el virus sobrescribía el inicio del archivo original para ejecutarse primero. La cura revierte esto en dos pasos:

A. Recuperación del "ADN" Original

El virus fue diseñado para guardar los datos de arranque originales (header) dentro de sus propios 822 bytes. El limpiador tiene que hacer una distinción:

  • Para archivos .COM: Recupera los pocos bytes originales que el virus necesitaba para saltar al programa real.

  • Para archivos .EXE: Recupera y reconstruye el encabezado del archivo, incluyendo los valores originales del puntero de instrucción (IP) y de la pila (SP) para que el archivo vuelva a ser ejecutable.

B. El Corte y el Reemplazo (Truncamiento)

Con el encabezado (header) original reconstruido en memoria, el programa finaliza la cura:

  1. Corte del Virus: Mueve el puntero del archivo justo antes de donde inician los 822 bytes del virus. Ejecuta un comando de "escritura de 0 bytes" (truncamiento), que efectivamente corta y elimina el bloque de 822 bytes del PHX.

  2. Restauración del Inicio: Vuelve al principio del archivo y sobrescribe el inicio dañado (que antes era un salto al virus) con el cabezal original y limpio que había reconstruido.

El resultado es un archivo limpio, con su tamaño original restaurado, como si nunca hubiera sido infectado.

Facu LU6FPJ

.286c assume cs:cseg,ds:cseg cseg segment para public 'WIII cleaner' org 100h remove proc near jmp startup_sequence tracker_lenght equ 822 alloc_mem dw 0 lenght_hi dw 0 lenght_lo dw 0 filehandle dw 0 id db 0dh,0ah,' File cleaner for WIII',0dh,0ah db ' (C) 1993 The Last Hackers Group - Internal Use Only',0dh,0ah db ' Date: 31/08/1993',0dh,0ah,0dh,0ah,'$' filespec1 db '*.com',0 filespec2 db '*.exe',0 disk_transfer_area db 080h dup (0) header db 01ch dup (0) buffer db tracker_lenght dup (0) scanning db 0dh,0ah,'Scanning: $' fileinfected db ', cleaning$' done db ', done.$' no_more_files: ret clean_dir: mov ah,01ah mov dx,offset disk_transfer_area int 21h mov dx,offset filespec1 call search_n_rescue mov dx,offset filespec2 search_n_rescue: mov ah,04eh xor cx,cx int 21h clean_curr_dir: cmp ax,012h je no_more_files mov ax,03d02h mov dx,offset disk_transfer_area+01eh int 21h mov bx,ax mov filehandle,bx call print_scanning mov ax,04202h mov cx,-1 mov dx,-tracker_lenght int 21h mov lenght_hi,dx mov lenght_lo,ax mov ah,03fh mov cx,tracker_lenght mov dx,offset buffer int 21h cmp word ptr buffer+tracker_lenght-3,00828h jne not_infected cmp byte ptr buffer+tracker_lenght-1,093h jne not_infected cmp word ptr buffer,0680eh jne not_infected cmp word ptr buffer+2,0100h jne not_infected call neutralize not_infected: mov dx,offset done mov ax,0900h int 21h mov ah,03eh int 21h mov ah,04fh int 21h jmp clean_curr_dir neutralize: mov dx,offset fileinfected mov ax,0900h int 21h mov ax,04200h xor cx,cx xor dx,dx int 21h mov ah,03fh mov dx,offset header mov cx,01ch int 21h mov si,offset buffer mov di,offset header cmp word ptr [di+000h],'ZM' je is_a_fucking_exe mov ax,[si+023h] mov bl,[si+02ah] mov [di+000h],ax mov [di+002h],bl jmp neutralized is_a_fucking_exe: mov dx,[di+016h] add dx,[di+008h] mov cx,dx shl dx,4 shr cx,12 mov ax,04200h mov bx,filehandle int 21h mov ah,03fh mov cx,080h mov dx,offset buffer int 21h mov ax,[si+061h] mov bx,[si+05fh] mov cx,[si+063h] mov dx,[si+05ch] mov [di+016h],ax mov [di+014h],bx mov [di+00eh],cx mov [di+010h],dx ;RHP: ******************* mov ax,04202h mov bx,filehandle mov cx,-1 mov dx,-(tracker_lenght) int 21h mov [di+002h],ax and [di+002h],01ffh shr ax,9 shl dx,7 or dx,ax mov [di+004h],dx inc word ptr [di+004h] jmp chop_file_end neutralized: mov ax,04202h mov bx,filehandle mov cx,-1 mov dx,-(tracker_lenght) int 21h chop_file_end: mov ah,040h xor cx,cx int 21h mov ax,04200h mov bx,filehandle xor cx,cx xor dx,dx int 21h mov ah,040h mov dx,offset header mov cx,01ch int 21h ret print_scanning: mov di,offset disk_transfer_area+01eh xor al,al mov cx,080h repne scasb mov byte ptr [di-1],'$' mov dx,offset scanning mov ax,0900h int 21h mov dx,offset disk_transfer_area+01eh mov ax,0900h int 21h ret startup_sequence: call clean_dir int 20h remove endp cseg ends end remove


  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Read User's Comments0
Posted by LU6FPJ

🧠 El Virus PHX: cuando la venganza se compilaba en assembler

Posted by LU6FPJ | Labels: , , , , , , , , , , , , , , , , ,

Hubo virus informáticos que buscaron conquistar el mundo, otros que quisieron destruirlo, y después estuvo PHX, un virus argentino que solo quería vengarse.
Sí, señor: una especie de tango binario con rencor incluido.
El creador, conocido como Armagedon (porque “Juan Pérez” no sonaba tan apocalíptico), programó ese bicho en los gloriosos años 90. Según confesó, lo hizo para vengarse de un sujeto que le había jugado una mala pasada con un programa. En vez de insultarlo por teléfono o escribirle una carta documento, decidió inventar un virus. Así éramos los argentinos: creativos hasta para odiar.

⚙️ ¿Qué hacía el virus?
El PHX (también conocido como Willistrover III por el Scan, que lo bautizó sin pedir permiso) infectaba archivos .EXE y .COM, pero no de manera salvaje. No. El tipo era paciente.
Primero se instalaba, se escondía, se acomodaba y anotaba cuántas veces se había instalado en un cuadernito que guardaba en la CMOS (esa partecita de la compu donde uno esperaría encontrar algo más útil, como la hora).
Cuando llegaba a 128 instalaciones, recién ahí decía:

“Bueno, me cansé de esperar. Hora de hacer macanas.”
Y empezaba su obra maestra: corrompía el último byte de cada archivo grabado, pero solo el bit más alto.
Nada de destruir todo de una —no, no— el PHX tenía clase. Era un virus sutil, un artista del daño paulatino. Un tipo que te arruinaba el disco como quien le echaba agua a la sopa: despacito, sin que se notara.

🔬 Detalles técnicos que nadie pidió pero igual contamos
Se instalaba en memoria usando la interrupción 21h, porque en los 90 todo lo bueno pasaba por ahí.

Engañaba al sistema haciéndose pasar por parte del DOS: le ponía de nombre IBMDOS.COM, como quien se disfraza de colectivero para no pagar boleto.

Usaba el puerto 3E4h para buscar algo misterioso, una especie de “tarjeta perdida del enemigo”. Si ese puerto respondía, empezaba a frotarse las manos digitales.

Tenía un contador de generaciones, porque hasta los virus querían dejar descendencia. Los ejemplares hallados tenían más de once generaciones, lo que demostraba que la genética del rencor era fuerte.
Solo funcionaba en procesadores 286 o superiores, porque el tipo tenía su dignidad: nada de rebajarse a correr en una XT.

🧩 El misterio del “PHX”
El virus se activaba si en el entorno de la computadora había un string que terminaba en “PHX”.
Qué significaba, nadie lo supo. Podía ser una sigla, un apodo o las iniciales del perro del enemigo.
El hecho es que el virus buscaba algo, como un sabueso digital que no encontraba la zapatilla pero igual mordía al que pasaba.

💣 Conclusión
El PHX no fue el más peligroso, pero sí uno de los más creativos.
No quería destruir el mundo: quería arruinarle el día a una persona en particular, lo cual era mucho más humano.

Como dijo una vez un filósofo de taller informático:

“El odio bien dirigido es más eficiente que cualquier inteligencia artificial.”

Así que ya se sabía: cuando una computadora se portaba rara, no había que pensar en hackers rusos ni en virus chinos.
Capaz que era un argentino de los 90 que todavía andaba buscando justicia… bit por bit.

Facu LU6FPJ 

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Read User's Comments3
Posted by LU6FPJ

🎮 La Rosario de los Jueguitos

Posted by LU6FPJ | Labels: , , , , , , , , , , , , , , , ,

Había una época —allá por los gloriosos ochenta y un cachito de los noventa— en que la palabra “download” todavía no existía, y los sábados en Rosario tenían un ritual más sagrado que el asado: ir a grabar jueguitos.

Uno salía con el datasette o los diskettes bajo el brazo como quien lleva un bebé a bautizar. Caminabas por el centro con el cassette virgen bien rebobinado, la lista de títulos anotada en birome azul (“Yie Ar Kung Fu, Abu Simbel Profanation, Green Beret...”) y la ilusión de volver a casa con algo que ande.

🏢 Las catedrales del vicio digital

Compumática y PacMan Games

En la Galería Santa Fe, una al lado de la otra, estaban las dos misas principales del sábado.

En Compumática te atendía una banda de tipos que sabían más de Commodore que el propio Jack Tramiel. Te recomendaban, te explicaban, te tipeaban la etiqueta en máquina de escribir (¡en máquina de escribir, papá!).

Al lado, PacMan Games, era más “popular”: ahí todo estaba bueno. Pedías un chamullo injugable y te decían “sí, ese está bárbaro, mejor que el Ghosts’n Goblins”.

Enfrente de los locales había una columna espejada, y era inevitable: te descubrías reflejado, con cara de satisfacción y un cassette TDK en la mano, pensando “soy feliz”.

On Line Software

Después estaba On Line, primero en la Galería Córdoba y más tarde en Vía Florida.
Era como la NASA de los jueguitos. Ahí estaban Willy y su equipo. Tipos que sabían tanto que podían revivir un disquete a fuerza de editor hexadecimal y fe.


De izq. a derecha: Kato, "La chica del Doom", Willy y LU6FPJ

Los sábados, On Line era un hormiguero humano: pibitos con mochilas llenas de cintas, madres y padres resignados sosteniendo cables, y un aire a locura colectiva por el último juego de Ocean.

Más tarde abrieron New Line Computación, en Zeballos y Callao, donde además de juegos vendían hardware y Commodores Amiga. Era la evolución natural: del cassette al rígido, de la galería al mostrador.

La Cueva, en Entre Ríos 1071… un nombre perfecto, porque aquello no era un local: era un ecosistema subterráneo de bits, soldaduras y café recalentado.
El comandante del refugio era Carlos Arakaki, más conocido en la fauna rosarina como Japo o Kato —según la confianza o la época—, un tipo capaz de resucitar una computadora con lo mismo que otro usaría para arreglar una radio Spika.

"La Cueva" o "La Tinto"
En La Cueva se hacía de todo: desarrollo de software, hardware artesanal, y sobre todo, reparaciones imposibles.

Era el lugar donde las computadoras iban a confesarse.
Entraban con pantallas en negro y pitidos lastimeros, y salían, milagrosamente, funcionando.
El Japo no te daba presupuestos: te daba esperanza.

Había cables colgando, plaquetas abiertas, olor a estaño y esa música eléctrica del transformador que nunca se apaga.
Si el On Line era el MIT rosarino, La Cueva era su laboratorio secreto, donde las máquinas sobrevivían gracias al pulso firme y al ingenio japonés-rosarino de Kato.
Un lugar donde no se hablaba de marketing ni de ventas:
ahí se hablaba de vida o muerte… de las computadoras, claro.

 

Compufer

En Catamarca 1110 vivía otro mito: Compufer.
Lo atendía un tipo de bigotes, nobleza bruta y facturas escritas a mano con letra de médico.
El lugar era un quilombo hermoso: cables por el piso, olor a soldadura y monitores Hércules blanco y negro que te dejaban la vista como si hubieras mirado un eclipse sin protección.
Ahí muchos compraron su primera 286, o cambiaron su MSX por un disco rígido de 40 MB (un lujo que pesaba más que un ladrillo).

TodoComputación, D.M.A. y Ramdisk

En la misma Galería Vía Florida, TodoComputación atendido en algun momento por un personaje mitico, Claudio Martignioni, que hoy sería considerado ingeniero de nostalgia aplicada.

Claudio Martignioni en D.M.A
Eso sí que era otra cosa. Nada de jueguitos ni aventuras intergalácticas: ahí se hablaba en serio, con tornillos, jumpers y olor a plástico nuevo.

Era el templo del hardware y los insumos para PC, donde las cajas de diskettes se apilaban como ladrillos y los cables IDE colgaban cual guirnaldas navideñas.

Su dueño, Daniel, tenía ese aire de tipo que ya había visto de todo: placas, fuentes quemadas y usuarios que juraban que “no toqué nada”.

Si necesitabas una disquetera, una fuente AT o una impresora que pesaba más que un lavarropas, ahí estaba la salvación.

Nada de magia, puro fierro y repuesto.

TodoComputación era el taller mecánico del mundo informático:


Vos entrabas con una computadora, y salías con media docena de componentes nuevos “por las dudas”.

Y aunque no entendieras del todo lo que te vendían, salías contento, porque te habían tratado como a un colega… o al menos como a alguien que sabía qué era un puerto paralelo.

A pocos metros, D.M.A., Ah, D.M.A. Shareware… no vendían jueguitos, no señor.
Era un local para los que ya habían colgado el joystick y se sentían medio ingenieros.
Allí no había Street Fighter ni Lotus Turbo Challenge: había compresores, antivirus, utilitarios, y esas cosas que uno instalaba sin entender del todo, solo porque hacían ruido a “profesional”.

Los hermanos K, eran los guardianes de ese pequeño templo de la productividad digital.

D.M.A. era como la versión rosarina de Silicon Valley, pero con mate y olor a estaño.
Un lugar donde los disquetes se apilaban como medialunas y cada programa parecía prometer que ibas a hacer algo importante… aunque al final lo único que hacías era comprimir archivos y sentirte un poquito Bill Gates del barrio.

DMA Informática 

Y en la Galería Rosario, ahí te esperaba el mismísimo Ramdisk, con Pachone al frente (sí, el hombre estaba en todos lados, probablemente el primer “franquiciado” de la historia gamer local).

Local 121, planta alta. La fila daba vuelta la galería. Uno esperaba mirando revistas Micromanía, mientras de fondo se oía el clic-clic de los datasettes y el “¡uy, se cortó la cinta, pasame otro TDK!”.

Computational-3, Pitágoras y otros templos

En la cortada Barón de Mauá, Computational-3 era casi una universidad. Vendían para ZX Spectrum, CZ y PC XT.
Ahí uno aprendía que el “LOAD” iba con comillas y coma, ocho, uno.


En la Galería Mercurio, Pitágoras, atendido por Oscar, mezclaba juegos con programas educativos, por si algún padre controlaba demasiado. (“Es para aprender matemática, ma”).
Foto: Diario La Capital

Y claro, también estaba Data 44 en Alberdi, donde algunos juraban que daban clases de BASIC, aunque la mayoría iba por los juegos igual.

📼 El rito del sábado

El sábado a la mañana era sagrado.
Uno se levantaba temprano, desayunaba apurado y se iba al centro.
Volvías con cuatro cassettes y la promesa de una tarde de felicidad digital.
A veces no cargaban (“?SYNTAX ERROR”), pero no importaba: ya el hecho de ver las rayas de colores en el televisor y escuchar ese chillido infernal era suficiente.

Había algo de comunidad, de club no oficial.
Te cruzabas siempre a los mismos: el pibe del barrio con su General Electric, el del Amiga con aire de superioridad, el del Spectrum que decía que “los gráficos no importan, lo que importa es la jugabilidad”.
Y después, todos terminaban en el mismo club o bar, comentando los juegos nuevos.

💾 Época de oro

De esa Rosario no quedan casi fotos.
No había celulares ni redes; los únicos backups eran los recuerdos, grabados en la cinta magnética de la memoria.
Pero si hoy, caminando por la peatonal, pasás frente a una galería vacía y escuchás en tu cabeza un piiii-piii-chiiiiiii, no te asustes:
No es un fantasma digital, es tu memoria haciendo LOAD "nostalgia",8,1.

Y por unos segundos, mientras el sonido se mezcla con el ruido del tránsito y el eco de tus pasos, se vuelve a escuchar el murmullo de los sábados, las risas, los datasettes rebobinando y esa ansiedad mágica de esperar que el juego cargue sin error.

Porque aquella Rosario, con sus galerías, sus nerds y sus pioneros de la informática artesanal, sigue ahí… en algún sector oculto del disco rígido del corazón.

Probablemente me esté olvidando de más personas, locales y anécdotas —la memoria también tiene bad sectors—, pero iré actualizando esta historia a medida que me acuerde… o me lo recuerden.

Facu LU6FPJ






  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Read User's Comments8
Posted by LU6FPJ
Suscribirse a: Comentarios (Atom)