Virus y promiscuidad. Del disquete al USB
-----------------------------------------
A finales de la década de los 80 se empezaron a popularizar los virus
del sector de arranque, que tenían la particularidad de que se
propagaban a través de disquetes. Si introducías un disquete en un
ordenador infectado el virus se copiaba al disquete, y a su vez ese
disquete podía infectar cualquier otro ordenador donde fuera utilizado.
A día de hoy vivimos una plaga del mismo perro con otro collar, al menos
en la parte funcional. Con el disquete en desuso, las memorias USB han
tomado el relevo como portadoras de una nueva generación de malware que
aprovechan la "promiscuidad" con la que utilizamos el dispositivo.
¿Cuál es el dispositivo que más utilizas en ordenadores de terceros?
Para muchos será la memoria USB, esa tan socorrida, que no dudamos en
introducirla en cualquier ordenador. Para intercambiar documentos, para
enseñar las últimas fotos, para llevarnos trabajo a casa, para que nos
hagan una copia de ese programa, para una presentación, para pasarnos
unos MP3,...
Tanto entrar y salir entre ordenadores diferentes no ha pasado
desapercibido para los creadores de malware, que han visto en este
dispositivo el transporte ideal para que sus bichos puedan saltar de un
ordenador a otro. En un tiempo en el que, prácticamente, todo ordenador
tiene conexión a Internet, y por tanto las distancias físicas son
virtualmente inexistentes, esta nueva corriente nos traslada de nuevo a
las infecciones de principios de los 90, basadas en la proximidad y la
compartición de dispositivos de almacenamiento.
Una de las familias más representativas de esta nueva epidemia es
denominada por los antivirus como "AutoRun", con el prefijo de "Win32"
y/o "Worm". Como dato concreto, en VirusTotal se han recibido 7.742
variantes diferentes de esta familia (según MD5), sólo en lo que
llevamos de mes de mayo.
El diseño de estos especímenes, que deberíamos catalogar como "gusanos"
en vez de "virus" puesto que se reproducen con copias de sí mismos pero
no pueden infectar a otros ficheros, es realmente simple. Toda la lógica
se basa en aprovechar la funcionalidad AutoRun de Windows que
automáticamente interpreta y ejecuta el archivo autorun.inf si se lo
encuentra en el raíz de un medio removible, como un CD, DVD u otro tipo
de memorias, incluyendo USB.
Los creadores de malware están aprovechando esta funcionalidad por
defecto de Windows Explorer. Basta con introducir una memoria USB en un
sistema para que automáticamente se ejecute el autorunf.inf que,
típicamente, han diseñado para que lance a su vez un ejecutable con el
código del gusano. El gusano se instala en el sistema e intenta copiar
la pareja de ficheros, autorun.inf y ejecutable del gusano, en todas las
unidades existentes. Esta forma de expandirse un tanto indiscriminada
abarca la infección de discos duros, unidades de red, dispositivos
removibles, etc, por lo que este tipo de gusanos se pueden encontrar más
allá de en las propias memorias USB.
Las buenas noticias son que hay formas de intentar mitigar este tipo de
gusanos configurando Windows para evitar el AutoRun automático, por
ejemplo a través de la entrada del registro NoDriveTypeAutoRun. Sin
embargo se ha detectado que la configuración de ese valor no es
suficiente en Windows Vista para prevenir la ejecución, debido a
AutoPlay, otra funcionalidad por defecto.
Otro método más efectivo consiste en "trucar" Windows para que haga caso
omiso de los archivos autorun.inf, indicándole que en vez de interpretar
los comandos que incluya en su interior utilice unos valores
alternativos, en concreto unos valores no existentes. Por lo que Windows
no ejecutará nada.
Para ello se debe configurar una entrada en el registro de Windows.
La forma más simple es copiar las siguientes líneas en el bloc
de notas y guardarlas con la extensión .REG, por ejemplo
noautorun.reg.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
A continuación hacer doble click en el fichero noautorun.reg, Windows
nos preguntará si estamos seguros de querer agregar esta información al
registro, y elegiremos que Sí.
Recordar que con esta modificación también evitaremos la ejecución de
los autorun.inf legítimos, por ejemplo esos que hacen que al introducir
un CD o DVD automáticamente se ejecute un programa. En esos casos
tendremos que hacer doble click en el programa para ejecutarlos. Si bien
pensamos que esta "pequeña molestia" compensa si con ello evitamos la
infección de nuestros sistemas.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3503/comentarMás información:
Autorun
http://en.wikipedia.org/wiki/AutorunWindows Vista fails to properly handle the NoDriveTypeAutoRun registry value
http://www.kb.cert.org/vuls/id/889747Bernardo Quintero
bernardo@hispasec.com
Autor
En línea
