A finales de la d\u00c3\u00a9cada de los 80 se empezaron a popularizar los virus
\ndel sector de arranque, que ten\u00c3\u00adan la particularidad de que se
\npropagaban a trav\u00c3\u00a9s de disquetes. Si introduc\u00c3\u00adas un disquete en un
\nordenador infectado el virus se copiaba al disquete, y a su vez ese
\ndisquete pod\u00c3\u00ada infectar cualquier otro ordenador donde fuera utilizado.
\nA d\u00c3\u00ada de hoy vivimos una plaga del mismo perro con otro collar, al menos
\nen la parte funcional. Con el disquete en desuso, las memorias USB han
\ntomado el relevo como portadoras de una nueva generaci\u00c3\u00b3n de malware que
\naprovechan la “promiscuidad” con la que utilizamos el dispositivo.<\/p>\n
\u00c2\u00bfCu\u00c3\u00a1l es el dispositivo que m\u00c3\u00a1s utilizas en ordenadores de terceros?
\nPara muchos ser\u00c3\u00a1 la memoria USB, esa tan socorrida, que no dudamos en
\nintroducirla en cualquier ordenador. Para intercambiar documentos, para
\nense\u00c3\u00b1ar las \u00c3\u00baltimas fotos, para llevarnos trabajo a casa, para que nos
\nhagan una copia de ese programa, para una presentaci\u00c3\u00b3n, para pasarnos
\nunos MP3,…<\/p>\n
Tanto entrar y salir entre ordenadores diferentes no ha pasado
\ndesapercibido para los creadores de malware, que han visto en este
\ndispositivo el transporte ideal para que sus bichos puedan saltar de un
\nordenador a otro. En un tiempo en el que, pr\u00c3\u00a1cticamente, todo ordenador
\ntiene conexi\u00c3\u00b3n a Internet, y por tanto las distancias f\u00c3\u00adsicas son
\nvirtualmente inexistentes, esta nueva corriente nos traslada de nuevo a
\nlas infecciones de principios de los 90, basadas en la proximidad y la
\ncompartici\u00c3\u00b3n de dispositivos de almacenamiento.<\/p>\n
Una de las familias m\u00c3\u00a1s representativas de esta nueva epidemia es
\ndenominada por los antivirus como “AutoRun”, con el prefijo de “Win32”
\ny\/o “Worm”. Como dato concreto, en VirusTotal se han recibido 7.742
\nvariantes diferentes de esta familia (seg\u00c3\u00ban MD5), s\u00c3\u00b3lo en lo que
\nllevamos de mes de mayo.<\/p>\n
El dise\u00c3\u00b1o de estos espec\u00c3\u00admenes, que deber\u00c3\u00adamos catalogar como “gusanos”
\nen vez de “virus” puesto que se reproducen con copias de s\u00c3\u00ad mismos pero
\nno pueden infectar a otros ficheros, es realmente simple. Toda la l\u00c3\u00b3gica
\nse basa en aprovechar la funcionalidad AutoRun de Windows que
\nautom\u00c3\u00a1ticamente interpreta y ejecuta el archivo autorun.inf si se lo
\nencuentra en el ra\u00c3\u00adz de un medio removible, como un CD, DVD u otro tipo
\nde memorias, incluyendo USB.<\/p>\n
Los creadores de malware est\u00c3\u00a1n aprovechando esta funcionalidad por
\ndefecto de Windows Explorer. Basta con introducir una memoria USB en un
\nsistema para que autom\u00c3\u00a1ticamente se ejecute el autorunf.inf que,
\nt\u00c3\u00adpicamente, han dise\u00c3\u00b1ado para que lance a su vez un ejecutable con el
\nc\u00c3\u00b3digo del gusano. El gusano se instala en el sistema e intenta copiar
\nla pareja de ficheros, autorun.inf y ejecutable del gusano, en todas las
\nunidades existentes. Esta forma de expandirse un tanto indiscriminada
\nabarca la infecci\u00c3\u00b3n de discos duros, unidades de red, dispositivos
\nremovibles, etc, por lo que este tipo de gusanos se pueden encontrar m\u00c3\u00a1s
\nall\u00c3\u00a1 de en las propias memorias USB.<\/p>\n
Las buenas noticias son que hay formas de intentar mitigar este tipo de
\ngusanos configurando Windows para evitar el AutoRun autom\u00c3\u00a1tico, por
\nejemplo a trav\u00c3\u00a9s de la entrada del registro NoDriveTypeAutoRun. Sin
\nembargo se ha detectado que la configuraci\u00c3\u00b3n de ese valor no es
\nsuficiente en Windows Vista para prevenir la ejecuci\u00c3\u00b3n, debido a
\nAutoPlay, otra funcionalidad por defecto.<\/p>\n
Otro m\u00c3\u00a9todo m\u00c3\u00a1s efectivo consiste en “trucar” Windows para que haga caso
\nomiso de los archivos autorun.inf, indic\u00c3\u00a1ndole que en vez de interpretar
\nlos comandos que incluya en su interior utilice unos valores
\nalternativos, en concreto unos valores no existentes. Por lo que Windows
\nno ejecutar\u00c3\u00a1 nada.<\/p>\n
Para ello se debe configurar una entrada en el registro de Windows.
\nLa forma m\u00c3\u00a1s simple es copiar las siguientes l\u00c3\u00adneas en el bloc
\nde notas y guardarlas con la extensi\u00c3\u00b3n .REG, por ejemplo
\nnoautorun.reg.<\/p>\n
REGEDIT4
\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
\nNT\\CurrentVersion\\IniFileMapping\\Autorun.inf]
\n@=”@SYS:DoesNotExist”<\/p>\n
A continuaci\u00c3\u00b3n hacer doble click en el fichero noautorun.reg, Windows
\nnos preguntar\u00c3\u00a1 si estamos seguros de querer agregar esta informaci\u00c3\u00b3n al
\nregistro, y elegiremos que S\u00c3\u00ad.<\/p>\n
Recordar que con esta modificaci\u00c3\u00b3n tambi\u00c3\u00a9n evitaremos la ejecuci\u00c3\u00b3n de
\nlos autorun.inf leg\u00c3\u00adtimos, por ejemplo esos que hacen que al introducir
\nun CD o DVD autom\u00c3\u00a1ticamente se ejecute un programa. En esos casos
\ntendremos que hacer doble click en el programa para ejecutarlos. Si bien
\npensamos que esta “peque\u00c3\u00b1a molestia” compensa si con ello evitamos la
\ninfecci\u00c3\u00b3n de nuestros sistemas.<\/p>\n
Fuente: Hispasec<\/p>\n","protected":false},"excerpt":{"rendered":"
A finales de la d\u00c3\u00a9cada de los 80 se empezaron a popularizar los virus del sector de arranque, que ten\u00c3\u00adan la particularidad de que se propagaban a trav\u00c3\u00a9s de disquetes. Si introduc\u00c3\u00adas un disquete en un ordenador infectado el virus se copiaba al disquete, y a su vez ese disquete pod\u00c3\u00ada infectar cualquier otro ordenador […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-346","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n