29A Magazine: El Arte del Virus Writing y la Ezine Más Influyente de la Historia VX

El grupo que elevó el virus writing a forma de arte

En 1996, mientras la industria antivirus luchaba por mantener el ritmo frente a una avalancha de virus para DOS y las primeras amenazas para Windows 95, un grupo de jóvenes programadores españoles fundó lo que se convertiría en la organización VX más respetada de la historia. 29A (pronunciado "twenty-nine-A", en referencia a la representación hexadecimal de 666) no solo escribió virus: definió los estándares de excelencia técnica para toda una generación de investigadores de código autorreplicante.

Lo que distinguió a 29A de docenas de otros grupos VX fue su compromiso con la calidad. Mientras grupos como NuKE o iKx publicaban virus destructivos o herramientas para "lamers", 29A se centró en la innovación técnica pura. Sus miembros despreciaban abiertamente los virus con payloads destructivos y consideraban que la verdadera habilidad estaba en la elegancia del código, la novedad de la técnica y la capacidad de evadir la detección sin causar daño.

Fundación y estructura del grupo

29A fue fundado por un grupo nuclear de virus writers españoles que operaban bajo seudónimos. GriYo, Mister Sandman, Super y Wintermute fueron algunos de los handles más reconocidos. El grupo mantuvo una estructura semiformal con un coordinador editorial (generalmente Mister Sandman o GriYo en diferentes períodos) que compilaba cada número de la ezine.

La membresía no era abierta. Para unirse a 29A, un candidato debía demostrar habilidad técnica real: enviar código original que fuera evaluado por los miembros existentes. Esta selectividad contrastaba con otros grupos VX que aceptaban a cualquiera que mostrase interés. El resultado fue un filtro de calidad que se reflejaba en cada número de la revista.

A lo largo de su existencia, 29A incorporó miembros internacionales. Virus writers de Brasil, República Checa, Rusia, Alemania y otros países contribuyeron artículos, pero el núcleo organizativo y editorial fue consistentemente español.

Los números de 29A Magazine

Primer número (1996): declaración de intenciones

El primer número de 29A Magazine estableció el tono que definiría toda la serie. Incluía una carta editorial que declaraba explícitamente la filosofía del grupo: el virus writing como forma de investigación técnica, no como herramienta de destrucción. Los artículos cubrían técnicas de infección de archivos COM y EXE en DOS, con código fuente completo en ensamblador x86 comentado exhaustivamente.

Lo notable del primer número no era la novedad de las técnicas (la infección de archivos DOS estaba bien documentada para 1996) sino la calidad de la documentación. Cada artículo explicaba los fundamentos teóricos, presentaba el código paso a paso y discutía las limitaciones y posibles mejoras. Era, en esencia, un paper académico publicado fuera de los canales académicos.

Números intermedios: la explosión técnica

Los números sucesivos de 29A Magazine documentaron un arco de innovación técnica que abarcó desde las técnicas de DOS tardío hasta las primeras infecciones multiplataforma. Los temas principales incluyeron:

Polimorfismo avanzado. 29A publicó motores polimórficos que generaban código completamente diferente en cada infección. No se trataba de cifrado simple con un descifrador variable (la primera generación de polimorfismo), sino de motores que reescribían instrucciones equivalentes, reordenaban bloques de código, insertaban instrucciones basura (junk code) y variaban los registros utilizados. Estos motores fueron hitos técnicos que forzaron a la industria antivirus a desarrollar emuladores de código genéricos.

Infección de PE (Portable Executable). Con la transición de DOS a Windows, infectar archivos ejecutables requería entender el formato PE de Microsoft. 29A publicó algunos de los primeros análisis detallados del formato PE desde la perspectiva de la infección, documentando cómo insertar código en las secciones existentes, cómo añadir nuevas secciones y cómo modificar el punto de entrada sin romper la funcionalidad del ejecutable original.

Técnicas anti-emulación. Cuando los antivirus empezaron a usar emuladores de código para detectar virus polimórficos, 29A documentó técnicas para detectar y evadir la emulación. Estas técnicas explotaban las diferencias entre un procesador real y un emulador: instrucciones no documentadas, comportamiento de flags en casos límite, timing de instrucciones y llamadas a APIs del sistema operativo que los emuladores no implementaban correctamente.

Virus multiplataforma. Uno de los logros más celebrados de 29A fue la creación de virus que podían infectar múltiples plataformas. El concepto de un virus que funcionara tanto en Windows como en Linux (infectando archivos PE y ELF respectivamente) era un tour de force técnico que demostraba un conocimiento profundo de ambos sistemas operativos.

Últimos números: madurez y declive

Los últimos números de 29A Magazine reflejaban una escena VX en transformación. Los artículos se volvieron más especializados y técnicos, con contribuciones sobre infección de archivos en plataformas .NET, técnicas de rootkit a nivel de kernel y los primeros experimentos con infección de firmware. Sin embargo, la frecuencia de publicación disminuyó y algunos miembros originales fueron abandonando la escena.

Contribuciones técnicas fundamentales

El motor polimórfico de GriYo

GriYo, uno de los miembros fundadores, desarrolló motores polimórficos que fueron referencia durante años. Su enfoque consistía en generar código que realizara la misma operación (descifrar el cuerpo del virus) de formas radicalmente diferentes en cada infección. El motor manejaba un repertorio de instrucciones equivalentes y las combinaba de formas impredecibles, haciendo que la detección por firma fuera imposible.

Para la industria antivirus, estos motores fueron un catalizador. Obligaron a desarrollar técnicas de detección heurística y emulación de código que hoy son estándar en todos los productos de seguridad. Sin los desafíos planteados por motores como los de GriYo, la tecnología antivirus habría avanzado más lentamente.

Metamorfismo: el siguiente nivel

Si el polimorfismo consiste en cifrar el cuerpo del virus y generar un descifrador diferente cada vez, el metamorfismo va un paso más allá: el propio cuerpo del virus se reescribe. Un virus metamórfico no tiene una parte constante: todo el código cambia de una generación a otra, manteniendo la funcionalidad pero alterando completamente la secuencia de instrucciones.

29A documentó técnicas de metamorfismo que incluían la sustitución de instrucciones por equivalentes funcionales (cambiar ADD EAX,1 por INC EAX o SUB EAX,-1), la reordenación de bloques de código independientes, la inserción y eliminación de código muerto y la variación de convenciones de llamada.

El virus Win32.Simile (también conocido como Metaphor), atribuido a Mental Driller, miembro de 29A, fue uno de los virus metamórficos más complejos jamás creados. Con más de 14.000 líneas de ensamblador, Simile era capaz de transformar completamente su código en cada infección, representando el pico de la ingeniería de virus metamórficos.

Infección de formatos nuevos

29A fue pionero en la infección de formatos que la industria antivirus no consideraba vectores de ataque. Los miembros del grupo documentaron la infección de scripts de Visual Basic, macros de Office (contribuyendo al estudio del fenómeno de los virus de macro), archivos batch, scripts de IRC y archivos de ayuda de Windows (.HLP y .CHM).

Esta investigación anticipó la tendencia moderna del malware a utilizar formatos de archivo no ejecutables como vectores de infección. Las técnicas de infección de documentos de Office que 29A documentó en los 90 son ancestros directos de los droppers basados en macros que grupos como Emotet y Qakbot utilizaron dos décadas después.

La relación con la industria antivirus

La relación entre 29A y la industria antivirus fue compleja y contradictoria. Por un lado, las empresas antivirus estudiaban cada número de 29A Magazine con atención, ya que contenía información valiosa sobre técnicas que tarde o temprano aparecerían en malware in-the-wild. Por otro lado, la industria criticaba públicamente la publicación de código fuente de virus como irresponsable.

Algunos investigadores de la industria mantenían relaciones informales con miembros de 29A. En conferencias como Virus Bulletin, se producían encuentros entre virus writers y analistas antivirus que eran al mismo tiempo competidores técnicos y, en cierto sentido, colaboradores involuntarios. Cada lado empujaba al otro a mejorar.

Varios miembros de 29A acabaron trabajando para empresas de seguridad. El conocimiento profundo de técnicas de evasión que habían desarrollado como virus writers los convertía en analistas de malware excepcionalmente capaces. Esta migración de talento de la escena VX a la industria legítima fue un fenómeno común en los 2000.

El estándar de calidad

Lo que verdaderamente distinguió a 29A del resto de la escena VX fue su insistencia en la calidad. Los criterios internos del grupo eran claros:

Código original. Los artículos debían contener trabajo original. Copiar técnicas de otros grupos sin atribución o sin aportar algo nuevo era inaceptable.

Documentación completa. El código debía estar comentado y acompañado de una explicación teórica. Un virus sin documentación no era un artículo: era solo código.

Innovación técnica. Cada artículo debía aportar algo nuevo: una técnica novedosa, una optimización significativa, una infección de un formato o plataforma que no se hubiera documentado antes, o un análisis que revelara aspectos desconocidos de un sistema operativo.

Sin payloads destructivos. Los virus de 29A generalmente no incluían payloads destructivos (borrar archivos, formatear discos). Cuando incluían un payload, era visual o humorístico (mensajes en pantalla, efectos gráficos). La destrucción se consideraba trabajo de amateurs.

Estos criterios convirtieron a 29A Magazine en algo más que una ezine VX: era, de facto, una publicación de investigación técnica en seguridad informática. Sus estándares eran comparables a los de papers académicos, con la diferencia de que el objeto de estudio era código malicioso autorreplicante.

El contexto español

El hecho de que el grupo VX más influyente de la historia surgiera en España tiene un contexto. A finales de los 90, España tenía una comunidad activa de programadores de ensamblador x86, alimentada por la escena demo (demoscene) y los grupos de cracking de software. Existía un ecosistema de foros, canales de IRC y BBS en castellano donde se compartía conocimiento técnico de bajo nivel.

29A también se benefició de un contexto legal favorable. La legislación española sobre malware era prácticamente inexistente en los 90, y la publicación de código fuente de virus como investigación educativa no estaba tipificada como delito. Esto permitió al grupo operar con una visibilidad que habría sido más arriesgada en Estados Unidos o Reino Unido.

La disolución y el legado

29A se disolvió gradualmente en la segunda mitad de los 2000. No hubo un cierre formal, sino una dispersión de los miembros hacia diferentes caminos: la industria de seguridad, la vida profesional convencional, o la desaparición silenciosa de la escena.

Las razones de la disolución fueron múltiples. La escena VX global estaba cambiando: el virus writing recreativo era reemplazado por el crimeware motivado económicamente. La complejidad de los sistemas operativos modernos hacía que la barrera técnica para escribir virus fuera cada vez más alta. Y los miembros originales, que habían sido adolescentes o universitarios en los 90, ahora eran profesionales con responsabilidades.

El legado de 29A persiste en múltiples niveles. Técnicamente, sus contribuciones al polimorfismo y metamorfismo son fundacionales para el análisis de malware moderno. Culturalmente, 29A demostró que era posible mantener estándares de excelencia técnica en un contexto underground. Y como precedente histórico, 29A representa el punto más alto de la era en que el virus writing era una actividad de investigación independiente, antes de su profesionalización criminal.

Fuentes y lecturas recomendadas

• Archivo de 29A Magazine: números 1 a 8, disponibles en archivos históricos de VX-Underground.
• Szor, Peter. "The Art of Computer Virus Research and Defense". Addison-Wesley, 2005. Capítulos sobre polimorfismo y metamorfismo con referencias a 29A.
• Ferbrache, David. "A Pathology of Computer Viruses". Springer, 1992.
• Ludwig, Mark. "Computer Viruses, Artificial Life and Evolution". American Eagle Publications, 1993.
• Bontchev, Vesselin. Presentaciones en Virus Bulletin Conference sobre la evolución de los motores polimórficos.