Esta entrada va dedicada a mi (todavía no le pregunté si le puedo decir "amigo") colega 486 cuyo blog Subdesarrollados es una referencia excelente sobre el uso de pendrives para los técnicos y entusiastas en computación.
Resulta que en estos últimos tiempos, el uso de pendrives, mp3, mp4, cámaras y demás "dispositivos de almacenamiento masivo USB", junto con la PÉSIMA seguridad de windows, es uno de los principales vectores de virus y malwares.
Estos desagradables bichos infectan una PC, y a cada pendrive o similar que se conecte le escriben 2 archivos: un ejecutable que es el virus en sí, y el famoso autorun.inf que es el responsable de que cualquier maquina windows (con las opciones por default) en la que se conecte el pen se infecte casi al instante; y el proceso se repite.
Ambos archivos se crean con el atributo "oculto", así que la mayoría de las personas ni se enteran que tienen el pen (y la PC) infectado; y windows, en su "infinita sabiduría" ejecuta cualquier autorun alegremente, y la historia de siempre: casi todos los usuarios de win tienen privilegios de admin, así que se pudre todo...
EDIT: Mi AMIGO 486 ;) me deja en los comentarios una aclaración sobre el método de ejecución del autorun que este linuxero no tenía tan claro. Vale la pena leerlo.
Por supuesto, las recomendaciones habituales para evitar los virus son:
- Usar GNU/Linux!
- De ser necesario usar windows, tener antivirus actualizado (uno residente, y uno de backup para analizar sospechosos)
- Desactivar en windows todos los autorunes, activar la visualización de archivos ocultos y de extensiones
Resultado, click para expandir
| File njibyekk.com received on 07.22.2008 17:34:48 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2008.7.22.2 | 2008.07.22 | - |
| AntiVir | 7.8.1.11 | 2008.07.22 | TR/Vundo.Gen |
| Authentium | 5.1.0.4 | 2008.07.22 | - |
| Avast | 4.8.1195.0 | 2008.07.22 | - |
| AVG | 8.0.0.130 | 2008.07.22 | Win32/NSAnti |
| BitDefender | 7.2 | 2008.07.22 | - |
| CAT-QuickHeal | 9.50 | 2008.07.22 | Trojan.Vaklik.ccg |
| ClamAV | 0.93.1 | 2008.07.22 | - |
| DrWeb | 4.44.0.09170 | 2008.07.22 | Trojan.Nsanti.Packed |
| eSafe | 7.0.17.0 | 2008.07.22 | Suspicious File |
| eTrust-Vet | 31.6.5974 | 2008.07.22 | - |
| Ewido | 4.0 | 2008.07.22 | - |
| F-Prot | 4.4.4.56 | 2008.07.21 | - |
| F-Secure | 7.60.13501.0 | 2008.07.22 | - |
| Fortinet | 3.14.0.0 | 2008.07.22 | - |
| GData | 2.0.7306.1023 | 2008.07.22 | Trojan.Win32.Vaklik.ccg |
| Ikarus | T3.1.1.34.0 | 2008.07.22 | Trojan.Vundo |
| Kaspersky | 7.0.0.125 | 2008.07.22 | Trojan.Win32.Vaklik.ccg |
| McAfee | 5343 | 2008.07.21 | - |
| Microsoft | 1.3704 | 2008.07.22 | Worm:Win32/Taterf.gen!C |
| NOD32v2 | 3288 | 2008.07.22 | Win32/Pacex.Gen |
| Norman | 5.80.02 | 2008.07.22 | - |
| Panda | 9.0.0.4 | 2008.07.21 | Suspicious file |
| PCTools | 4.4.2.0 | 2008.07.22 | Trojan.Lineage.Gen!Pac.3 |
| Prevx1 | V2 | 2008.07.22 | Cloaked Malware |
| Rising | 20.54.12.00 | 2008.07.22 | - |
| Sophos | 4.31.0 | 2008.07.22 | Mal/EncPk-CE |
| Sunbelt | 3.1.1536.1 | 2008.07.18 | Packed.Win32.NSAnti.e |
| Symantec | 10 | 2008.07.22 | - |
| TheHacker | 6.2.96.385 | 2008.07.20 | - |
| TrendMicro | 8.700.0.1004 | 2008.07.22 | PAK_Generic.005 |
| VBA32 | 3.12.8.1 | 2008.07.22 | - |
| VirusBuster | 4.5.11.0 | 2008.07.22 | Trojan.Lineage.Gen!Pac.3 |
| Webwasher-Gateway | 6.6.2 | 2008.07.22 | Trojan.Vundo.Gen |
| Additional information | |||
| Tamano archivo: 117311 bytes | |||
| MD5...: 4eff242c01dd6524ca544e86ff089389 | |||
| SHA1..: b497f0e2d9e889bc8db8e21f2b32424bbb389610 | |||
| SHA256: a7873f7c3e394d047953845de2b97997b2b6e898020471692cb432401d27826b | |||
| SHA512: 566e8dbabc0482bc07f0819802c40bb2325eb513803bf5c97a25ea7e9a8c29f3 4ce1f9586773d2eedbd16950878bde0c41b90240f18f22fc72d31988ec6c17da | |||
| PEiD..: - | |||
| PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4244a4 timedatestamp.....: 0x487ec978 (Thu Jul 17 04:24:24 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 5 0x1000 0x16000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e yhx 0x17000 0x1c000 0x1b600 7.98 9f0d13149d67876e87d70697a0d29e21 lw4k 0x33000 0x618 0x103f 7.94 2e0686db6c50bf1b41308ed32dfc3bea ( 1 imports ) > KERNEL32.DLL: LoadLibraryA, FindClose, GetEnvironmentStrings, FreeEnvironmentStringsA, FindNextFileA, EnterCriticalSection, GetModuleFileNameA, FileTimeToLocalFileTime, GetNamedPipeHandleStateA, FindFirstFileW, GlobalFree, GetProfileSectionW, CreateDirectoryExA, EnumTimeFormatsA ( 0 exports ) | |||
| Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6CE826B03FE39426CA1401A1F9CCA5004A8A6A6B | |||
Fue apenas un poco más del 50% de los antivirus los que lo detectaron (y algunos solo lo identificaron como "posible amenaza" o "sospechoso").
Bueno, a los bifes:
El TIP para evitar que nuestro pendrive se convierta en transmisor de bichos es muy simple, y se basa en el método usado para propagarse por estos virus: copiar el ejecutable y el autorun.
Si creamos una carpeta llamada autorun.inf (no sirve crear un archivo, puesto que el virus lo sobreescribe) las limitaciones del sistema de archivos no van a permitir que se cree un archivo con el mismo nombre que una carpeta, de manera que aún se va a copiar el ejecutable infectado al pen, pero al conectarlo a otra PC no se va a ejecutar por lo cual simplemente podemos eliminarlo y evitamos la infección.
En la imagen, mi pendrive donde se ve el ejecutable que se copió, y la carpeta llamada "autorun.inf" que evitó la creación del archivo.Esta medida de precaución es piola porque no ocupa lugar ni jode para nada; incluso te sirve como carpeta temporal si la llegaras a necesitar.
Por cierto, créditos para tengotutto (EDIT, link a Taringa) no sé si es el ideólogo del método o no, porque no cita fuentes.
A vacunar nuestros pendrives y cámaras!!
Saludos.
18 comments:
... me dicen "amigo" todos los que limpian parabrisas en el centro, y no les digo nada...
En serio: es un honor!
Muy bueno el tip, aunque debo agregar: el autorun no se corre para los pendrives cuando se insertan (aunque si la reproducción automática, que es otra cosa), pero sí cuando el usuario abre "mi pc" y hace doble click sobre el disco extraible. Por eso es recomendable también explorar el susodicho en vez de "entrar". Y por cierto, la reproducción automágica también ayuda, porque suele mostrarnos cosas raras (entradas extrañas, cuadros vacíos etc) cuando metemos el pendrive.
Saludos!
jjajaja, ya me suena en la cabeza el "no tené una moneda amigo!"
Gracias por el dato sobre la manera de funcionar del autorun, no lo sabía porque en la época que usaba windows a diario tenía todos los autorunes, reproducciones automaticas y demás giladas desactivadas (además no eran tan comunes los pendrives infectados); y actualmente solo booteo windows cada muerte de obispo.
Ahora edito y agrego la info.
un abrazo!
Muy bueno Coski, no sabía lo del directorio autorun, ahora creo el directorio, esoty harto de que cada vez que pongo el pen en cualquier agujero se me llene de cosas extrañas :P
Saludos.
Un gusto verte por acá, me alegro que te sirva. Nos vemos!
jaja no sabia que se iba a armar tanto revuelo. lo descubri una vez q no podia sacar un virus del pen. Ahi también descubrí que el virus te lo sobrescribe si pones un archivo cualquiera. linkeame a taringa tambien q lo explico mejor q en psico
http://www.taringa.net/posts/info/1386504/Soluci%C3%B3n-a-los-virus-de-los-pendrive.html
Saludos.
tengotutto@gmail.com
tengotutto: ya agregué el link a Taringa. Gracias por la info. Un saludo y mucha suerte!
muy bueno el blog volvere a pasar por aca!
Me alegro mucho que te guste, lo empecé hace muy poco.
Saludos, y espero verte nuevamente por acá ^^
Hola, hice un link de mi post a tu blog ahora vas a ver q entra gente
Gracias che!
Voy a estar al tanto de tus posts que he visto son bastante útiles.
Un saludo!
hola: mchas gracias por estos tips, ya que sirven de maravilla, quisiera preguntar si no se podria hacer un programa vengador para estas m..... cosas saludos y gracias
che yo no puedo crear la carpeta con este nombre en la raiz de mi mp5 que pasa, ya cheque y no esta el autorun.inf como archivo y la excusa que me pone para no crearla es que ya existe
Anónimo: seguramente tenés el archivo (y muy probablemente un virus) en el aparato, el tema es que los virus estos logran esconder los archivos como si fueran ocultos, pero aunque uno seleccione en el administrador de archivos "ver archivos ocultos" no los muestra.
Si conectas en aparato a cualquier computadora con LINUX vas a ver los archivos y podrás borrarlos. Si no tenes a mano ninguna pc con linux bajate algun liveCD (Ubuntu por ejemplo) y hacelo vos mismo.
Si no, supongo que podrías intentar abrir una consola DOS en el pendrive y usar el comando "DEL", si mal no recuerdo el comando sería "del autorun.inf" y con eso lo borraría.
Saludos!
me sirvio de mucho tu post gracias
Gracias a vos por pasarte por acá y por el comentario. Me alegro que sirva.
Un saludo!
Sos un genio man
POST DEMASIADO ANTIGUO PUES AHORA NI SIQUIERA SE RESPETA ESTA CARPETA PUES SE PUEDE ELIMINAR FACILMENTE FORZANDO AL SISTEMA DESDE UN SIMPLE ARCHIVO BAT.
Y ESO QUE AHORA NO USAN LOS BAT PORQUE ES DEMASIADO ANTIGUO Y FÁCIL DE MANIPULAR.
Bosster, puede ser, seguro que este pequeño tip no es infalible. Pero sí es un método más de protección, y que no cuesta nada. Yo con mis pendrives así "vacunados" me he evitado un par de veces la creación del autorun, por suerte yo uso Linux por lo que igualmente no iba a tener problemas, pero al haber usado el pen en algunas máquinas con windows se infectó.
Igualmente, el post sí es antiguo tiene poco menos de un año....
Publicar un comentario en la entrada