VCL

Dependiendo del tiempo que lleves metido en la informática, te sonará o no VCL. Si llevas algunos años, o bien te has movido en entornos Borland y derivados, sin duda para ti VCL es Visual Component Library, la alternativa, en mi opinión mejorada a los controles VBX que luego serían OCX de Microsoft, iniciada por Borland/Inprise/CodeGear/Embarcadero con Delphi 1.

Si llevas más de una década, y te moviste por ambientes más o menos underground, para ti VCL será el Virus Creation Laboratory, una herramienta de creación de virus para DOS de 1992 escrita Nowhere Man, y liberada inicialmente en círculos de la escena.

Aunque VCL no fue la mejor herramienta para ese propósito, si que fue la más sencilla de utilizar, dónde podíamos desde un interface en modo texto (TUI), ajustar determinados parámetros, para generar nuestro virus no residente (ahora troyanos), capaz de infectar otros archivos.

Su uso generaba un esqueleto en ensamblador, con el que luego poder trastear a mano, y jugar con él.



Actualizado a martes 25 de agosto de 2009. 11:43:
El comentario de mced, también ha picado mi curiosidad. ¿Podría un antivirus actual detectar una creación de VCL?
Primero de todo, usando Avira Antivir Free 9, he escaneado la carpeta de VCL. En este caso, no me sorprende que VCL.exe sea detectado como un programa malicioso:


Luego, he generado el proyecto de ejemplo VMESSIAH.VCL, que se ha generado VMESSIAH.ASM, y tras en ensamblado y el enlazado, he obtenido VMESSIAH.COM. Analizando dicho archivo, sorprendentemente es detectado:


8 comentarios en “VCL”

  1. Sería gracioso comprobar si la heurística de los antivirus actuales es capaz de detectar un polvorón casero de éstos.

  2. ¡Bien por Avira!

    ¿Aún siguen existiendo esas webs a las que subes un potencial archivo sospechoso y lo redirigen a diversos motores antivirus online, devolviendo los resultados en cada uno? Otra idea 😀

  3. Hola Guti,

    Desde que leo tu blog era un enamorado del Avira como tu, pero la semana pasada tuve seríos problemas con el virus "Virut" que el antivirus no me detecto. Es un virus bastante molesto y tuve que reinstalar todo, incluido el S.O.. Desde entonces estoy probando el NOD32, que además de detectar ese virus funciona muy bien, muy perfecto, limpio y muy eficaz con respecto a recursos, tanto que no necesito apagar el residente. Estan las claves por internet pero incluso me podría plantear pagar por usar un antivirus tan bueno como ese. Te recomiendo que le eches un vistazo y me cuentas.

    Un abrazo
    Fermin

    P.D.: ¿tiene tu blog un sistema de aviso cuando se contestan los comentarios?

  4. Recordando los viejos tiempos, he estado echándole un vistazo al virus en cuestión. Qué comportamiento más tonto: cargarse los ejecutables. De esa forma, lo único que hace es inutilizar el sistema y abortar sus propias posibilidades de propagarse por otros equipos. Con razón Alerta-Antivirus define su difusión como "baja".

    Eso me recuerda un viejo truco de Windows para estos casos: hacer una copia de todos los ejecutables "imprescindibles" (como el Regedit) cambiándoles la extensión por .COM y .BAT. De esta forma, siguen siendo funcionales pero salen indemnes ante estas infecciones que filtran por extensión.

    Algo incluso más eficaz es inventarse una extensión ".EXEC" (por ejemplo) y otorgarle el mismo comportamiento que los ejecutables. Con un poco de cacharreo en el registro, no debería representar mayor dificultad.

  5. Esa es una buena idea….. pero hacerlo uno por uno de un disco completo puede ser un infierno. Existe algún software que haga esa copia de manera automatica.
    Saludos
    FS

  6. No uso Windows, pero cualquier renombrador medio decente tendría que ser capaz de hacerlo. Guti seguro que conoce algún par de ellos.

  7. Claro que siguen existiendo mced. Y aunque está muy desactualizado por el paso del tiempo, en su día hice un wrapper web para ellos: Escaneador de virus online.
    Respondiendo a tu cuestión, he hecho un rápido test, y la mayoría detectan las creaciones de VCL sin problemas. Imagino que tendrán los pocos bytes de la firma básica en sus bases de datos, aunque con ciertas modificaciones, dudo que fueran tan eficaces como lo eran los AV de la época cuando estos bichitos estaban más en voga.

    Fermín, fui un enamorado de NOD32 desde su versión DOS, hasta la versión 2 (2.7) creo que fue la última. A partir de ahí, empezó a decepcionarme en consumo de recursos, y grados de detección. He vuelto a testear la 4, y me alegro que te funcione bien, pero me sigue sin convencer. Si estás dispuesto a probar, échale un ojo a la beta de Avast! 5, que es el candidato que veo más firme como sustituto de Antivir.
    Mientras siga con Simple PHP Blog, lamentablemente esa funcionalidad no está contemplada, aunque tal vez saque un rato, y la implemente.

    mced, era un comportamiento muy obvio es cierto, aunque como esqueleto principal valía, luego se podían hacer ciertas cosillas autoreplicables. Creo que o el ejemplo está roto, o algo pasa, porque recuerdo haberlo hecho y funcionando. Sin embargo, como nunca llegaron a generar residentes TSR, su efectividad estaba relativamente bajo control, de ahí la difusión baja. sería algo similar a los troyanos actuales, o los virus de macro, si los usuarios tuvieran la prudencia que se tenía antaño.

    Fermín y mced, estáis en lo cierto, y lo hay. A nivel de directorio, puedes usar el comando REN de Windows para cambiarles la extensión, aunque ya te anticipo que cambiando de EXE a COM, perderás la vista del icono embedido en el explorador de Windows. Además, no todos los virus eran tan tontos, y no era muy difícil buscar la cabecera de EXE MZ antes de proceder a la infección.
    Es cierto que VCL se limitaba a COM, basicamente por ser un formato realmente sencillo. Basicamente un binario RAW reubicado a partir de 100h.
    Me alegra que os haya gustado el post retro-underground, yo también lo pasé bien con él… Tomo nota para otro parecido en el futuro.

Deja un comentario