110 likes | 236 Views
Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Jose Carlos Roncero Blanco. Información.
E N D
Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Jose Carlos Roncero Blanco
Información • Un archivo autorun.inf es un archivo de texto que indica una función a seguir, sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash. • Junto con los ficheros Desktop.ini y thumbs.db para los usuarios de Windows, los Autorun.inf posiblemente sean de los ficheros que más se confunden con virus, no teniendo porqué ser así, ya que originalmente no son ningún virus (aunque en ellos se puedan camuflar), sino todo lo contrario, ficheros necesarios para el sistema operativo.
¿Cómo se propaga? • Este virus se propaga utilizando la función autorun.inf, lo cual hace que frecuentemente se lo encuentre en medios de almacenamiento portátil, [USB Pendrive, USB HDD´s, Micro SD, Celulares/Móviles, etc.] Cuando el virus es ejecutado (pues se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo).
¿Qué efecto tiene? • Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas • "Elija el programa que desea usar para abrir el siguiente archivo" • "No es posible hallar el archivo solicitado" • "Explorer.exe no responde" • "El computador presenta resultados de forma lenta" • "Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché" • "En otros casos hace que los accesos directos, no ejecuten el programa elegido" • "En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio" • "Cualquier medio de almacenamiento es contaminado al conectar"
¿A qué tipo de sistemas operativos afecta? ¿Qué medidas de seguridad puede tomar? • Principalmente Sistemas Windows, pero ahora puede incluso afectar a sistemas Linux. • Se puede utilizar la desactivación del inicio automático ,crear un falso autorun.inf en el dispositivoy también ejecutar unos comandos desde el cmd o un script
¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede realizar? • Sirve para que un dispositivo no se ejecute automáticamente, de tal forma que el virus no se ejecutará, ya que lo hace cuando se inicia el dispositivo. • Se puede realizar de la siguiente manera: • Escribimos Gpedit.msc en Ejecutar. (En los sistemas Windows 7 no tenemos esta herramienta disponible, simplemente me e descargado un complemento para instalarla y se ejecuta gpedit.msc. http://www.thewindowsclub.com/downloads/GPEI.zip )
¿Cómo se puede realizar? • En Configuración del equipo > Plantillas administrativas > Componentes de Windows > Directivas de reproducción automática. • Desactivar reproducción automática. • Seleccionamos deshabilitada y reiniciamos el equipo para que surja efecto el
¿Cómo se puede realizar? • Otra forma es modificar en el registro los valores de la reproducción automática de forma manual. • Los valores del registro para regular la reproducción automática se encuentran en la siguiente clave: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] • En el lado derecho debe estar el valor DWORD NoDriveTypeAutoRun, si no existe créalo y asígnale el valor hexadecimal que puedes calcular mirando la siguiente lista y sumando los valores que necesites:
0x1 Deshabilita AutoPlay en dispositivos desconocidos. • 0x4 Deshabilita AutoPlay en floppy. • 0x8 Deshabilita AutoPlayonfixed drives. • 0x10 Deshabilita AutoPlay en dispositivos de red. • 0x20 Deshabilita AutoPlay en CD-ROM. • 0x40 Deshabilita AutoPlay en medios extraíbles. • 0xFF Deshabilita AutoPlay en todo tipo de dispositivos. • Los valores más comúnmente usados son: • 28 (40 decimal) deshabilita los medios extraíbles (USB) • 3c (60 decimal) deshabilita medios extraíbles y CDROM • FF (255 decimal) deshabilita la reproducción automática • Eliminando el valor NoDriveTypeAutoRun en la clave indicada se habilita • todas las ejecuciones de forma automática
¿Para que sirve USB Vaccine?. • Panda USB Vaccine es una sencilla herramienta de Panda Security que tiene como objetivo evitar que nuestro ordenador se infecte por culpa de un CD/DVD o USB infectados. En primer lugar, Panda USB Vaccine desactiva la opción de autoarranque de un disco óptico o de una memoria USB, opción que usan muchos virus para infectar ordenadores. • Y en segundo lugar, Panda USB Vaccine "vacuna" tu llave USB para que ningún virus o malware se aproveche de la función de autoarranque para propagarse. • Pros • Fácil de usar y rápido • No requiere instalación • No necesita configuración • Contras • No limpia memorias USB ya infectadas
¿Qué programa podemos utilizar para realizar la desinfección?. • AutorunEater: Es una sencilla utilidad que remueve, monitorea, alerta y realiza marcas antes del eliminar virus de la memoria USB, es un instalador y reside en la memoria “RAM” y se ejecuta cada vez que prendes el computador o conectas alguna memoria infectada con virus, spiware o malware. • Flash_Disinfector: Es una utilidad portable que no requiere instalación, simplemente ejecutas el .execon tu pendrive puesto y listo te lo desinfecta de una y rápidamente. • Ninja antivirus free: Es de lo mejor que he visto para la eliminación y prevención de la familia de los autorun, incluyendo soporte para: • auto.exe • autorun.inf • autorun.ini