Hace una semana más o menos desde SpamLoco, me enteré de un desafío que estaban organizando desde el blog de ESET Latinoamerica, se trataba de decifrar en base a un supuesto archivo malicioso (virus), quien habia creado dicho virus.

En realidad era un caso de Ingenieria Social, muy utilizada hoy en día para propagar virus u obtener información.

Te preguntaras ¿Que es la Ingenieria Social? Bien, pues según la Wikipedia es:

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (mejor conocidos como hackers, aunque el termino correcto es cracker) para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

En pocas palabras podríamos decir que la ingeniería social se basa en engañar al usuario para que haga lo que se quiere, un ejemplo seria cuando se nos dice que descarguemos un archivo que promete ser un programa útil, y sin embargo al ejecutarlo realmente es un virus.

En el caso del concurso en el cual participe, se trataba de responder quien había realizado dicho programa “malicioso”, entre comillas porque al ser un desafío no se trataba de algo dañino realmente. Dicho archivo venia acompañado de un documento de Word, en el cual el supuesto cliente le pedia a ESET que analizaran el archivo ejecutable porque sospechaba que era un virus.

Pues bien, lo que la mayoría hicimos, fue irnos al ejecutable, intentar decompilarlo, tratar de descifrar su funcionamiento o cualquier pista sobre los creadores o sobre el daño que supuestamente pudiera causar, sin embargo la realidad es que el documento de Word era el verdadero “virus”, ya que contenia una macro dentro de él, que daba la pista sobre los creadores.

El procedimiento que utilice fue primeramente verificar el archivo ejecutable, el cual no era más que una simple aplicación en Visual Basic que contenia un botón, y al oprimirlo mostraba una frase en una etiqueta de la misma ventana, al presionar de nuevo el botón la ventana se cerraba, y al volver a abrir el programa dicho mensaje era distinto, hasta llegar a un punto en el que ya solo mostraba el mismo mensaje, no importando si reiniciabamos la PC, entonces algo indicaba que guardaba un registro de las veces que se ejecutaba, al buscar me dí cuenta de que se creaba un archivo “numeros.txt” en el que guardaba una lista de números progresivos de las veces que se habia ejecutado.

Sin embargo el archivo ejecutable no tenia ningúna pista sobre los creadores, pero al abrir el documento de Word del cliente, pude ver que me avisaba que contenia macros, y que habian sido bloqueadas por seguridad, despues de eso busque la macro y en ella encontre una serie de código comentado de Visual Basic, el cual básicamente se encargaba de mediante una función con un número de parametro, mostrará el valor en ASCII de dicho número, el resultado era la impresión de los valores “2″,”9″,”A”, y al buscar en Internet dicho valor, me enteré de que era un grupo de Hackers españoles que optarón por ese nombre dado que “29A” es el valor hexadecimal de 666, y que se caracterizaban por hacer virus no dañinos.

Y fue así que al responder primero al cuestionamiento, me gané una Licencia del antivirus Nod32 hasta el 2011 y renovable, al parecer cuando expire puedo renovarla, o es lo que entendí. Me alegrá haber ganado este desafío, creo que alimenta un poco más mi ego xD jajaja. Como no uso Windows casí, la licencía servira para los ratos que llego a usar Windows para alguna cosa, como actualizar mi iPod.