Transcript Busca información sobre el fichero autorun.inf que poseen los

Busca información sobre el fichero
autorun.inf que poseen los dispositivos de
almacenamiento y cómo se camufla y
opera malware a través de este archivo.
Jose Carlos Roncero Blanco
Información
 Un archivo autorun.inf es un archivo de texto que indica una función a
seguir, sistemas operativos para ejecutar una acción determinada al
insertar un medio extraíble como un CD, DVD o Memoria flash.
 Junto con los ficheros Desktop.ini y thumbs.db para los usuarios de
Windows, los Autorun.inf posiblemente sean de los ficheros que más se
confunden con virus, no teniendo porqué ser así, ya que originalmente no
son ningún virus (aunque en ellos se puedan camuflar), sino todo lo
contrario, ficheros necesarios para el sistema operativo.
¿Cómo se propaga?
 Este virus se propaga utilizando la función autorun.inf, lo cual hace que
frecuentemente se lo encuentre en medios de almacenamiento portátil,
[USB Pendrive, USB HDD´s, Micro SD, Celulares/Móviles, etc.] Cuando el
virus es ejecutado (pues se lo activa al clikear sobre el icono del medio de
almacenamiento, o la ventana que presenta el sistema operativo).
¿Qué efecto tiene?
 Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta
abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y
los siguientes problemas
"Elija el programa que desea usar para abrir el siguiente archivo"
"No es posible hallar el archivo solicitado"
"Explorer.exe no responde"
"El computador presenta resultados de forma lenta"
"Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a
escribir en memoria Caché"
 "En otros casos hace que los accesos directos, no ejecuten el programa
elegido"
 "En casos muy severos, evita que el sistema operativo logre iniciar, pues el
mismo no encuentra sus archivos para inicio"
 "Cualquier medio de almacenamiento es contaminado al conectar"





¿A qué tipo de sistemas operativos afecta?
¿Qué medidas de seguridad puede tomar?
 Principalmente Sistemas Windows, pero ahora puede incluso afectar a
sistemas Linux.
 Se puede utilizar la desactivación del inicio automático ,crear un falso
autorun.inf en el dispositivo y también ejecutar unos comandos desde el
cmd o un script
¿Qué es la desactivación de la ejecución
automática? ¿Cómo se puede realizar?
 Sirve para que un dispositivo no se ejecute automáticamente, de tal forma
que el virus no se ejecutará, ya que lo hace cuando se inicia el dispositivo.
 Se puede realizar de la siguiente manera:
 Escribimos Gpedit.msc en Ejecutar. (En los sistemas Windows 7 no tenemos
esta herramienta disponible, simplemente me e descargado un
complemento para instalarla y se ejecuta gpedit.msc.
http://www.thewindowsclub.com/downloads/GPEI.zip )
¿Cómo se puede realizar?
 En Configuración del equipo > Plantillas administrativas > Componentes de
Windows > Directivas de reproducción automática.
 Desactivar reproducción automática.
 Seleccionamos deshabilitada y reiniciamos el equipo para que surja efecto
el
¿Cómo se puede realizar?
 Otra forma es modificar en el registro los valores de la reproducción
automática de forma manual.
 Los valores del registro para regular la reproducción automática se encuentran
en la siguiente clave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ex
plorer]
 En el lado derecho debe estar el valor
DWORD NoDriveTypeAutoRun, si no
existe créalo y asígnale el valor
hexadecimal que puedes calcular
mirando la siguiente lista y sumando
los valores que necesites:
 0x1 Deshabilita AutoPlay en dispositivos desconocidos.
 0x4 Deshabilita AutoPlay en floppy.
 0x8 Deshabilita AutoPlay on fixed drives.
 0x10 Deshabilita AutoPlay en dispositivos de red.
 0x20 Deshabilita AutoPlay en CD-ROM.
 0x40 Deshabilita AutoPlay en medios extraíbles.
 0xFF Deshabilita AutoPlay en todo tipo de dispositivos.
 Los valores más comúnmente usados son:
 28 (40 decimal) deshabilita los medios extraíbles (USB)
 3c (60 decimal) deshabilita medios extraíbles y CDROM
 FF (255 decimal) deshabilita la reproducción automática
 Eliminando el valor NoDriveTypeAutoRun en la clave indicada se habilita
 todas las ejecuciones de forma automática
¿Para que sirve USB Vaccine?.
 Panda USB Vaccine es una sencilla herramienta de Panda Security que
tiene como objetivo evitar que nuestro ordenador se infecte por culpa de
un CD/DVD o USB infectados. En primer lugar, Panda USB Vaccine
desactiva la opción de autoarranque de un disco óptico o de una
memoria USB, opción que usan muchos virus para infectar ordenadores.
 Y en segundo lugar, Panda USB Vaccine "vacuna" tu llave USB para que
ningún virus o malware se aproveche de la función de autoarranque para
propagarse.
 Pros
 Fácil de usar y rápido
 No requiere instalación
 No necesita configuración
 Contras
 No limpia memorias USB ya infectadas
¿Qué programa podemos utilizar para
realizar la desinfección?.
 Autorun Eater: Es una sencilla utilidad que remueve, monitorea, alerta y
realiza marcas antes del eliminar virus de la memoria USB, es un instalador y
reside en la memoria “RAM” y se ejecuta cada vez que prendes el
computador o conectas alguna memoria infectada con virus, spiware o
malware.
 Flash_Disinfector: Es una utilidad portable que no requiere instalación,
simplemente ejecutas el .exe con tu pendrive puesto y listo te lo desinfecta
de una y rápidamente.
 Ninja antivirus free: Es de lo mejor que he visto para la eliminación y
prevención de la familia de los autorun, incluyendo soporte para:
 auto.exe
 autorun.inf
 autorun.ini