En 1974, el malware todavía estaba en sus albores, y los pioneros inventaron diferentes tipos de malware para simplemente explorar lo que se podía hacer. Una de esas creaciones fue el Wabbit, el primer malware autorreplicante. Era simple y tosco, sin duda, y aunque el Wabbit original no era malicioso, las variantes del Wabbit pueden programarse para exhibir capacidades maliciosas. Este artículo detallará el tipo de malware Wabbit y explorará qué es, cómo funciona, la variante Wabbit de horquilla-bomba y posibles aplicaciones para este tipo temprano de malware.

¿Qué es un wabbit?

El nombre Wabbit se refiere a la forma en que se dice conejo de los viejos dibujos animados de Looney Tunes.

Este nombre es increíblemente preciso para lo que es este malware, ya que se refiere al hecho de que los conejos se reproducen muy rápido. Wabbit es el primer malware autorreplicante que ha existido y puede reproducirse tan rápido que el sistema en el que está instalado se ahoga literalmente ya que Wabbit consume todos sus recursos.

Si bien la primera instancia de Wabbit no fue maliciosa per se, matar un sistema informático ciertamente es malicioso para el propietario del sistema si no lo espera. Además, Wabbit puede programarse para realizar acciones maliciosas conscientes. Una de esas variantes de Wabbit se llama bomba de horquilla, que se discutirá más adelante en este artículo.

Debido a la rareza de Wabbit y algunas de sus peculiaridades únicas, las discusiones modernas sobre malware no lo mencionan como un tipo de malware. Sin embargo, al mirar hacia atrás históricamente, es evidente que no solo se trata de malware, sino que posiblemente sea uno de los mejores, ya que tiene un sólido potencial como herramienta educativa y también con fines históricos.

Origen y evolución

La historia de Wabbit comienza literalmente en el origen del malware como concepto y, como todas las buenas historias de creación, esta está impregnada de leyenda.

Solo hay una instancia conocida de Wabbit en su forma original, no maliciosa y esto ocurrió en 1974. En 1988, un individuo conocido como Bill Kennedy contó una historia sobre un compañero de trabajo que estaba trabajando en un mainframe IBM OS / 360. Este «joven brillante» escribió un programa llamado Wabbit que, mientras se ejecutaba, consumiría los recursos del sistema y causaría una especie de estreñimiento de recursos.

En lugar de infectar otros dispositivos de red, Wabbit solo fue capaz de infectar el sistema en el que estaba instalado. Este estreñimiento finalmente mató al sistema y terminó costándole su trabajo a este joven brillante. Desde entonces, se han creado variantes que han tenido una intención más maliciosa.

Wabbit es de hecho una reliquia de una era informática pasada, esencialmente diseñada para aprovechar la forma en que el sistema operativo IBM procesaba la información. IBM solía usar lo que se llamaba la secuencia de trabajos ASP, que se comunicaba cada vez menos con su consola a medida que se consumían los recursos. Al observar este malware a través de los ojos modernos, Wabbit se acerca más al ataque de denegación de servicio (DoS).

¿Cómo se propagan?

El inicio original de Wabbit funcionó de manera un poco diferente a las variantes modernas. Esto se debió principalmente al marco de sistema más antiguo (SO IBM) que se implementó en 1974, pero la idea básica es la misma. Wabbit crea un bucle infinito que crea continuamente procesos del sistema y crea copias de Wabbit. Esto consume recursos del sistema operativo y crea una gran cantidad de ciclos de CPU que saturan el sistema, lo que hace que se vuelva más y más lento hasta que finalmente se bloquee.

Las variantes posteriores llevaron esta capacidad de Wabbit a los sistemas operativos más nuevos, especialmente Unix y Linux.

Wabbit es más aplicable en el ámbito de la educación en informática y seguridad de la información. Si bien Wabbit puede dañar los sistemas, es una pieza de malware relativamente simple que se puede utilizar para demostrar la replicación de procesos y programas en la educación.

¿Qué efectos provocan en los equipos infectados?

Wabbit no requiere un programa ni documentos para anidar. Solo funciona localmente (no se propaga) y no requiere una conexión de red.

El propósito de Wabbit es consumir recursos en el sistema operativo de la computadora. Se reproduce continuamente para satisfacer la capacidad del disco duro del usuario.

Como resultado de hacer que el rendimiento de la computadora sea lento debido al uso de los recursos, se necesita una gran cantidad de datos.

Wabbit funciona sobre la base de un mecanismo para multiplicar rápidamente copias de un proceso específico y generar una gran cantidad de consultas. Tal operación puede ser, por ejemplo, copiar constantemente la misma carpeta, lo que conduce al agotamiento completo de los recursos de memoria del ordenador. Entonces ya no es posible el uso del dispositivo. Finalmente, la computadora falla y los datos guardados se pierden irremediablemente.

Wabbit solo puede infectar el sistema en el que está instalado este tipo de malware; no puede infectar otros dispositivos de la red. Se inicia cada vez que se enciende el dispositivo, porque sin el conocimiento del usuario se suma a la función de inicio automático.

Los efectos comunes en los equipos infectados son:

  • Mucho más tiempo que antes de iniciar y apagar la computadora.
  • Aumento significativo en el uso de memoria y los recursos del procesador.
  • Funcionamiento lento de la computadora y congelamientos frecuentes.
  • El rendimiento de Internet es mucho más lento.
  • Mensajes de error comunes.
  • No se pueden abrir programas en la computadora.
  • Una reducción repentina en la cantidad de espacio libre en disco.
  • El sistema no reacciona a los comandos del usuario, por ejemplo, no reacciona a las acciones por medio del teclado, es imposible cerrar la sesión.
  • La computadora se reinicia sola.

Diferencias entre los wabbit y los gusanos informáticos

Un gusano es una forma de malware que funciona como una aplicación autónoma y puede transferirse y copiarse a sí mismo de una computadora a otra.

Es esta capacidad de operar de forma autónoma, sin la necesidad de un archivo host o de secuestrar el código en la computadora host, lo que distingue a los gusanos de otras formas de malware.

Por tanto, la principal diferencia entre los gusanos y los wabbit es que estos no se transfieren de una computadora a otra, se autorreplican solo dentro de la propia computadora.

Hay muchos tipos de gusanos informáticos que causan todo tipo de daño a sus víctimas. Algunos convierten las computadoras en «zombies» o «bots» que lanzan ataques DDoS. Otros buscan en sus hosts inicios de sesión bancarios u otra información financiera sensible; algunos cifran el disco duro de la víctima y exigen un rescate en bitcoins del usuario antes de que restaure sus datos a un estado utilizable.

Sin embargo, los wabbit no causan esos daños a las víctimas.

Variante de wabbit: la bomba fork

Una bomba de horquilla también se llama virus wabbit o conejo que fue creado por piratas informáticos maliciosos para lanzar un ataque de denegación de servicio en el sistema objetivo. El virus fork bomb se replica y corrompe los recursos del sistema disponibles. Ralentiza el rendimiento del sistema o, en ocasiones, puede provocar fallos en el sistema debido a la falta de recursos.

Los virus de la bomba de horquilla funcionan de dos formas diferentes para realizar el proceso de bifurcación: una utilizando el tiempo de procesamiento de la CPU y también ralentizando el proceso del sistema operativo. Es un proceso infinito donde sus copias se lanzan repetidamente.

En un sistema que funciona en un sistema operativo Unix, las bombas de bifurcación se desarrollan para explotar la llamada al sistema de bifurcación. Los procesos bifurcados son generalmente copias del primer programa, una vez que comienza su ejecución desde la nueva dirección en el puntero del marco, el proceso de bifurcación continúa y produce múltiples copias que provocan un crecimiento en el proceso.

Una bomba fork funciona para generar una gran cantidad de procesos en un período de tiempo limitado para llenar el espacio en cierto conjunto de procesos que están destinados al sistema operativo de la computadora. Cuando hay una saturación de procesos, no hay forma de que se inicien nuevos programas hasta que haya una terminación de otros procesos. Incluso cuando no hay saturación de espacio, no hay posibilidades de que un programa genuino se inicie, ya que la bomba de horquilla reserva el espacio para su nueva copia y el proceso continúa como un bucle infinito.

El virus fork bomb no solo usa el espacio en la tabla de procesos, sino que sus nuevas copias usan todo el tiempo de procesador y la memoria correspondientes. Esto da como resultado una ralentización del sistema y los programas que ya existen dejan de responder y se vuelve un desafío y casi imposible de usar.

¿Cómo prevenir el ataque del virus fork bomb?

Las bombas de horquilla se pueden prevenir solo cuando el usuario limita el número de procesos que posee. Se puede hacer de las siguientes formas

  • Implementar el uso del parámetro ulimit de Unix / Linux para limitar la creación del número de procesos por parte del usuario
  • Implementar límites de proceso completamente en todo el sistema con el archivo /etc/security/limits.conf. Este es el método más común, ya que facilita al usuario la implementación de la configuración en todos los perfiles, por lo que funciona bien para reducir el riesgo de alterar la configuración de cada perfil del usuario.

También debe tenerse en cuenta que incluso cuando la configuración de limits.conf se realiza correctamente, los piratas informáticos son eficientes para obtener privilegios administrativos para infectar el sistema con un ataque de bomba de bifurcación.

Incluso con los sistemas operativos más recientes y avanzados, no existe un método exitoso para negar por completo la bomba de bifurcación. Sin embargo, implementar algunas de las mejores prácticas de seguridad básicas, salvaguardar el sistema al negar que el software sospechoso se ejecute en la raíz y, sobre todo, implementar herramientas efectivas de eliminación de virus puede terminar con la mayoría de los ataques de bombas de bifurcación.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.