1987

Aparece el virus Viena: su aparición y subsiguiente expansión por todo el mundo fueron ardientemente debatidas cuando la comunidad global trataba de descubrir la identidad del autor. Franz Swoboda fue la primera persona que detectó el virus: su alerta sobre el descubrimiento de un programa que se autoreproducía, llamado Charlie, fue publicitado por muchas compañías de información tecnológica y atrajo también la atención de la prensa. Como era de esperarse, mucha gente estaba interesada en descubrir al autor y la fuente de la epidemia. La información daba un indicio mostrando que Swoboda había recibido el virus de Rafl Burger, quien rechazaba por completo la historia de Swoboda y declaraba haber recibido el virus de Swoboda. Nunca se pudo revelar quien fue el que realmente creó el malicioso programa.

A pesar de la confusión que rodeaba al autor de Viena, su aparición fue notable por otra razón. Uno de sus autores potenciales, Rolf Burger, envió una copia a Berna Fix, quien pudo neutralizar el virus. Esta fue la primera ocasión en que alguien fue capaz de neutralizar un virus. Por lo tanto Fix fue un precursor de los modernos profesionales antivirus, aunque los expertos contemporáneos de virus no solamente analizan y neutralizan los virus, sino que lo más importante es que proporcionan módulos de protección, detección y desinfección.

Burger aprovechó el trabajo de Fix, y publicó el código utilizado para neutralizar a Viena en su libro, Virus informáticos: La enfermedad de ata tecnología, similar al escritos por B. Khizhnyak's, "Escribiendo virus y antivirus". En su libro, Burger explica como el código de virus puede ser modificado para eliminar su capacidad de reproducción. Sin embargo, el libro probablemente ganó popularidad porque explicaba cómo se crean los virus, sirviendo como un estímulo a miles de virus que fueron parcialmente o completamente desarrollados a partir de las ideas expresadas en este libro.

Este año aparecieron muchos otros virus para ordenadores compatibles con IBM como:

• el famoso virus Lehigh , nombrado en honor a la Universidad de Pensilvania donde fue detectado por primera vez. Irónicamente, esta Universidad es el alma mater del padre de la virología informática moderna
• la familia de virus Suriv;
• varios virus que infectaban el sector de arranque: Yale en Estados Unidos, Stoned en Nueva Zelandia, Ping Pong en Italia;
• el primer virus de archivo auto-cifrado: Cascade.

Lehigh pasó a la historia como el primer virus que causó daño directo a los datos: el virus destruía la información de los discos. Afortunadamente, había varios expertos de ordenadores en Lehigh University que eran diestros para analizar los virus. Como resultado, el virus nunca dejó la universidad, y Lehigh nunca fue detectada en el mundo real.

El virus Lehigh iniciaba una rutina destructiva que eventualmente borraba tanto los virus como datos valiosos. Lehigh primero infectaba solamente los archivos de sistema command.com. Después de infectar cuatro archivos, comenzaba a destruir los datos, es decir, eventualmente se destruía a si mismo también.

En esta época los usuarios habían comenzado a tomar más en serio la seguridad y aprendieron a protegerse de los virus. Los usuarios más cautelosos aprendieron a monitorear el tamaño del archivo command.com. El aumento del tamaño del archivo command.com, era la primera señal de una infección potencial.

La familia Suriv de virus (lea el nombre en sentido inverso: viruS) escrito por un programador israelita no identificado fue muy interesante. Igual que con el virus Brain, es difícil determinar si esto fue meramente un experimento que salió fuera de control o la premeditada creación de un programa malicioso. Muchos expertos antivirus se inclinaban a pensar que fue un experimento. El descubrimiento en la universidad Yisrael Radai de fragmentos de código promovía esta versión. La universidad podía mostrar que el autor del virus estaba intentando cambiar el proceso para instalar los archivos en formato EXE y la última modificación del virus fue solamente una versión de eliminación de errores.

El primer miembro de esta familia de virus, bautizado Suriv-1 por su autor, era capaz de infectar los archivos de acceso COM en tiempo real. Para hacer esto, el virus se descargaba solo en la memoria del ordenador y permanecía activo hasta que el ordenador se apagaba. Esto permitía al virus interceptar operaciones con los archivos y, si el usuario descargaba el archivo COM, lo infectaba inmediatamente. Esto facilitaba la casi inmediata expansión del virus a los medios de almacenamiento extraibles.

Suriv-2, en oposición a su predecesor, tenía su blanco en los archivos EXE. Fue en todos sus intentos y propósitos, el primer virus capaz de penetrar los archivos EXE. E

La tercera encarnación, Suriv-3 combinaba características de las versiones primera y segunda para infectar ambos tipos de archivos COM y EXE.

La cuarta modificación del virus, llamada Jarusalem, apareció poco después y fue capaz de extenderse rápidamente por todo el mundo: Jerusalem causó una epidemia de virus mundial en 1988.

El último evento significativo en 1987 fue la aparición del virus cifrado Cascade que recibió su nombre como parte de su carga útil. Una vez que el virus se activaba, los símbolos de la pantalla caían como una cascada a la línea inferior (ver cascade.bmp). El virus constaba de dos partes – el cuerpo del virus y la rutina de cifrado. Al final, el cuerpo del virus se cifraba de forma que aparecía diferente en cada archivo infectado. Después de descargar el archivo, el control era transferido a la rutina de cifrado que descodificaba el cuerpo del virus y le transfería el control.

Este virus puede ser considerado como el precursor de los virus polimórficos que no tienen un código de programa permanente, pero que mantienen su funcionalidad. Sin embargo, a diferencia de los futuros virus polimórficos, Cascade codificaba solamente el cuerpo del virus. Se usaba el tamaño del archivo infectado como una clave de descifrado. La rutina de descifrado permanece sin cambio lo que permite a las soluciones modernas antivirus detectar el virus con facilidad.

En 1988, Cascade causó un serio incidente en la oficina belga de IBM que sirvió como impulso para que la empresa desarrollara su propio producto antivirus. Antes de este hecho, las soluciones antivirus de IBM eran solo para uso interno.

Más tarde, Mark Washburn combinó la información publicada por Ralf Burger sobre el virus Viena con el concepto de auto-cifrado utilizado en Cascade y creó la primera familia de virus polimórficos: la familia Chameleon

Los ordenadores IBM no estaban solos: se escribieron virus también para Apple Macintosh, Commodore Amig, y Atari ST.

En diciembre de 1987 ocurrió la primera y mayor epidemia de red local: el gusano Christmas Tree, escrito por REXX, se esparció en los sistemas operativos VM/CMS-9. El gusano llegó a la red Bitnet el 9 de diciembre desde una universidad de Alemania Occidental mediante un portal de trabajo de Investigación de la red European Academic Research Network (EARN) y luego alcanzó la red Vnet IBM. Cuatro días despúes, (el 13 de diciembre), el virus había invadido la red. Después de descargarlo, el virus mostraba un árbol de navidad en la pantalla y enviaba copias de si mismo a todos los usuarios de la red cuyas direcciones estuvieran en la lista de archivos del sistema NAMES y NETLOG.