lunes, 29 de octubre de 2007

Pendrives USB como fuente de infección de Virus


Me he encontrado esta semana con tres casos de "pendrives" infectados por virus



Con la llegada de Internet quedaron atrás los disquetes como principal vía de infección de virus, debido a la mayor velocidad de propagación que se consigue al estar todo conectado. Pero mira por dónde, con la proliferación de los "pendrives", las memorias de almacenamiento masivo USB, esos potentísimos dispositivos que "pinchamos" inocentemente en los PC que usamos, los de nuestros amigos, en el trabajo, en el cibercafé.... parece ser que están apareciendo virus que aprovechan esa ingenuidad para propagarse.

La mayoría de los pendrives que conozco no tienen interruptor para protegerlos físicamente contra escritura, como los antiguos disquetes de 3 1/2, de esta forma se aseguraba la "higiene" al introducirlos en ordenadores de dudosa confianza. En fin, a partir de ahora hay que tener cuidado.

Afortunadamente, los casos de contaminación que he tenido oportunidad de analizar, han sido detectados y eliminados por el sistema antivirus en el momento de insertar el dispositivo. Aparte de eso, todos utilizan la misma técnica de contaminación que relato aquí a modo de "detección" casera por vuestra parte:

Si insertamos nuestro impoluto e inocente pendrive en un equipo que está infectado:

  • Se crea un fichero AUTORUN.INF en la carpeta raíz del pendrive. Posiblemente con el atributo de "Fichero Oculto"
  • Copia un fichero ejecutable (.EXE) también en la raíz o en alguna carpeta, con el código del virus. Éste es llamado por el Autorun en la sentencia "OPEN". Su nombre dependerá del virus en cuestión.
  • De esta forma, queda el pendrive "infectado". Si posteriormente "pinchamos" la memoria en un equipo Windows 2000 que tenga activada la "Reproducción automática" de dispositivos extraíbles (como los CD-ROMs) se dispará y ejecutará el virus en cuanto esté disponible la unidad, contaminando el ordenador. Este efecto, en Windows XP es algo diferente, ya que en lugar de autoejecutar el .INF lo que se hace es mostrar una lista de posibles tareas.

##Actualización para Windows 2000 y XP Professional
COMO DESACTIVAR LA REPRODUCCIÓN AUTOMÁTICA EN UNIDADES:

  • Inicio -> Ejecutar y teclear gpedit.msc. Aceptar.
  • Se abre el Editor de políticas del sistema
  • En la ventana Ventana Directiva de grupo ve a Configuración del equipo -> Plantillas administrativas -> Sisitema -> Desactivar reproducción automática.
  • Aparecerá una nueva pantalla llamada Propiedades de Desactivar reproducción automática. Marcar la opción Habilitar, colocar el valor Todas las unidades en el menú desplegable, y finalmente Aplicar

####

Otra forma, por si acaso, yo recomendaría para Windows XP Home (obligatorio en W2000 por supuesto), desactivar la reproducción automática en este tipo de unidades. Para hacerlo, la forma de proceder que he encontrado es ésta:

  • Abrir la "Administración de equipos" (Está en el Panel de Control, dentro de las Herramientas Administrativas)
  • En esta consola, abrir el Administrador de discos (dentro de "Almacenamiento")
  • Con un pendrive insertado, tendremos accesible en la parte superior derecha la unidad que le corresponde con su letra.
  • Seleccionamos la unidad, y abrimos las "Propiedades", (pinchando con el botón derecho del ratón, seleccionando el menú contextual)
  • Deberá salir una ventana de propiedades con la pestaña "Reproducción automática", ahí marcar "Preguntarme siempre que elija una acción".

P.D. Si encuentras el dichoso archivito AUTORUN.INF en tu pendrive, "canea" al propietario del PC donde lo insertaste la última vez, y si fue el tuyo, ya sabes, posiblemente TIENE UN VIRUS! Lengua fuera

No hay comentarios:

Related Posts Plugin for WordPress, Blogger...