Tip para evitar los virus en los pendrives.

miércoles, julio 23, 2008

Esta entrada va dedicada a mi (todavía no le pregunté si le puedo decir "amigo") colega 486 cuyo blog Subdesarrollados es una referencia excelente sobre el uso de pendrives para los técnicos y entusiastas en computación.

Resulta que en estos últimos tiempos, el uso de pendrives, mp3, mp4, cámaras y demás "dispositivos de almacenamiento masivo USB", junto con la PÉSIMA seguridad de windows, es uno de los principales vectores de virus y malwares.
Estos desagradables bichos infectan una PC, y a cada pendrive o similar que se conecte le escriben 2 archivos: un ejecutable que es el virus en sí, y el famoso autorun.inf que es el responsable de que cualquier maquina windows (con las opciones por default) en la que se conecte el pen se infecte casi al instante; y el proceso se repite.
Ambos archivos se crean con el atributo "oculto", así que la mayoría de las personas ni se enteran que tienen el pen (y la PC) infectado; y windows, en su "infinita sabiduría" ejecuta cualquier autorun alegremente, y la historia de siempre: casi todos los usuarios de win tienen privilegios de admin, así que se pudre todo...

EDIT: Mi AMIGO 486 ;) me deja en los comentarios una aclaración sobre el método de ejecución del autorun que este linuxero no tenía tan claro. Vale la pena leerlo.

Por supuesto, las recomendaciones habituales para evitar los virus son:

  1. Usar GNU/Linux!
  2. De ser necesario usar windows, tener antivirus actualizado (uno residente, y uno de backup para analizar sospechosos)
  3. Desactivar en windows todos los autorunes, activar la visualización de archivos ocultos y de extensiones
Igualmente, tener un antivirus no es garantía de nada, como demuestra por ejemplo el último de estos virus que se me pegó en la PC del trabajo o no sé donde, y que recién lo subí a Virustotal donde es analizado por varios motores antivirus (mi antivirus es el mejor que hay: Kubuntu Linux jejeje), siendo éste el resultado:

Resultado, click para expandir

File njibyekk.com received on 07.22.2008 17:34:48 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32008.7.22.22008.07.22-
AntiVir7.8.1.112008.07.22TR/Vundo.Gen
Authentium5.1.0.42008.07.22-
Avast4.8.1195.02008.07.22-
AVG8.0.0.1302008.07.22Win32/NSAnti
BitDefender7.22008.07.22-
CAT-QuickHeal9.502008.07.22Trojan.Vaklik.ccg
ClamAV0.93.12008.07.22-
DrWeb4.44.0.091702008.07.22Trojan.Nsanti.Packed
eSafe7.0.17.02008.07.22Suspicious File
eTrust-Vet31.6.59742008.07.22-
Ewido4.02008.07.22-
F-Prot4.4.4.562008.07.21-
F-Secure7.60.13501.02008.07.22-
Fortinet3.14.0.02008.07.22-
GData2.0.7306.10232008.07.22Trojan.Win32.Vaklik.ccg
IkarusT3.1.1.34.02008.07.22Trojan.Vundo
Kaspersky7.0.0.1252008.07.22Trojan.Win32.Vaklik.ccg
McAfee53432008.07.21-
Microsoft1.37042008.07.22Worm:Win32/Taterf.gen!C
NOD32v232882008.07.22Win32/Pacex.Gen
Norman5.80.022008.07.22-
Panda9.0.0.42008.07.21Suspicious file
PCTools4.4.2.02008.07.22Trojan.Lineage.Gen!Pac.3
Prevx1V22008.07.22Cloaked Malware
Rising20.54.12.002008.07.22-
Sophos4.31.02008.07.22Mal/EncPk-CE
Sunbelt3.1.1536.12008.07.18Packed.Win32.NSAnti.e
Symantec102008.07.22-
TheHacker6.2.96.3852008.07.20-
TrendMicro8.700.0.10042008.07.22PAK_Generic.005
VBA323.12.8.12008.07.22-
VirusBuster4.5.11.02008.07.22Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway6.6.22008.07.22Trojan.Vundo.Gen

Additional information
Tamano archivo: 117311 bytes
MD5...: 4eff242c01dd6524ca544e86ff089389
SHA1..: b497f0e2d9e889bc8db8e21f2b32424bbb389610
SHA256: a7873f7c3e394d047953845de2b97997b2b6e898020471692cb432401d27826b
SHA512: 566e8dbabc0482bc07f0819802c40bb2325eb513803bf5c97a25ea7e9a8c29f3
4ce1f9586773d2eedbd16950878bde0c41b90240f18f22fc72d31988ec6c17da
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4244a4
timedatestamp.....: 0x487ec978 (Thu Jul 17 04:24:24 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
5 0x1000 0x16000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
yhx 0x17000 0x1c000 0x1b600 7.98 9f0d13149d67876e87d70697a0d29e21
lw4k 0x33000 0x618 0x103f 7.94 2e0686db6c50bf1b41308ed32dfc3bea

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, FindClose, GetEnvironmentStrings, FreeEnvironmentStringsA, FindNextFileA, EnterCriticalSection, GetModuleFileNameA, FileTimeToLocalFileTime, GetNamedPipeHandleStateA, FindFirstFileW, GlobalFree, GetProfileSectionW, CreateDirectoryExA, EnumTimeFormatsA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6CE826B03FE39426CA1401A1F9CCA5004A8A6A6B


Fue apenas un poco más del 50% de los antivirus los que lo detectaron (y algunos solo lo identificaron como "posible amenaza" o "sospechoso").

Bueno, a los bifes:

El TIP para evitar que nuestro pendrive se convierta en transmisor de bichos es muy simple, y se basa en el método usado para propagarse por estos virus: copiar el ejecutable y el autorun.

Si creamos una carpeta llamada autorun.inf (no sirve crear un archivo, puesto que el virus lo sobreescribe) las limitaciones del sistema de archivos no van a permitir que se cree un archivo con el mismo nombre que una carpeta, de manera que aún se va a copiar el ejecutable infectado al pen, pero al conectarlo a otra PC no se va a ejecutar por lo cual simplemente podemos eliminarlo y evitamos la infección.

En la imagen, mi pendrive donde se ve el ejecutable que se copió, y la carpeta llamada "autorun.inf" que evitó la creación del archivo.

Esta medida de precaución es piola porque no ocupa lugar ni jode para nada; incluso te sirve como carpeta temporal si la llegaras a necesitar.

Por cierto, créditos para tengotutto (EDIT, link a Taringa) no sé si es el ideólogo del método o no, porque no cita fuentes.

A vacunar nuestros pendrives y cámaras!!

Saludos.

27 comments
[486] dijo...

... me dicen "amigo" todos los que limpian parabrisas en el centro, y no les digo nada...
En serio: es un honor!

Muy bueno el tip, aunque debo agregar: el autorun no se corre para los pendrives cuando se insertan (aunque si la reproducción automática, que es otra cosa), pero sí cuando el usuario abre "mi pc" y hace doble click sobre el disco extraible. Por eso es recomendable también explorar el susodicho en vez de "entrar". Y por cierto, la reproducción automágica también ayuda, porque suele mostrarnos cosas raras (entradas extrañas, cuadros vacíos etc) cuando metemos el pendrive.
Saludos!

jueves, julio 24, 2008 1:38:00 p. m.  
CoskiBukowski dijo...

jjajaja, ya me suena en la cabeza el "no tené una moneda amigo!"

Gracias por el dato sobre la manera de funcionar del autorun, no lo sabía porque en la época que usaba windows a diario tenía todos los autorunes, reproducciones automaticas y demás giladas desactivadas (además no eran tan comunes los pendrives infectados); y actualmente solo booteo windows cada muerte de obispo.

Ahora edito y agrego la info.

un abrazo!

jueves, julio 24, 2008 1:47:00 p. m.  
**Juanito** dijo...

Muy bueno Coski, no sabía lo del directorio autorun, ahora creo el directorio, esoty harto de que cada vez que pongo el pen en cualquier agujero se me llene de cosas extrañas :P
Saludos.

jueves, julio 31, 2008 6:57:00 p. m.  
CoskiBukowski dijo...

Un gusto verte por acá, me alegro que te sirva. Nos vemos!

jueves, julio 31, 2008 9:13:00 p. m.  
tengotutto dijo...

jaja no sabia que se iba a armar tanto revuelo. lo descubri una vez q no podia sacar un virus del pen. Ahi también descubrí que el virus te lo sobrescribe si pones un archivo cualquiera. linkeame a taringa tambien q lo explico mejor q en psico

http://www.taringa.net/posts/info/1386504/Soluci%C3%B3n-a-los-virus-de-los-pendrive.html

Saludos.
tengotutto@gmail.com

lunes, agosto 11, 2008 8:57:00 p. m.  
CoskiBukowski dijo...

tengotutto: ya agregué el link a Taringa. Gracias por la info. Un saludo y mucha suerte!

lunes, agosto 11, 2008 11:27:00 p. m.  
tengotutto dijo...

muy bueno el blog volvere a pasar por aca!

martes, agosto 12, 2008 8:52:00 a. m.  
CoskiBukowski dijo...

Me alegro mucho que te guste, lo empecé hace muy poco.

Saludos, y espero verte nuevamente por acá ^^

martes, agosto 12, 2008 11:35:00 a. m.  
tengotutto dijo...

Hola, hice un link de mi post a tu blog ahora vas a ver q entra gente

sábado, agosto 16, 2008 2:59:00 p. m.  
CoskiBukowski dijo...

Gracias che!

Voy a estar al tanto de tus posts que he visto son bastante útiles.

Un saludo!

sábado, agosto 16, 2008 3:38:00 p. m.  
Anónimo dijo...

hola: mchas gracias por estos tips, ya que sirven de maravilla, quisiera preguntar si no se podria hacer un programa vengador para estas m..... cosas saludos y gracias

lunes, octubre 13, 2008 9:50:00 p. m.  
Anónimo dijo...

che yo no puedo crear la carpeta con este nombre en la raiz de mi mp5 que pasa, ya cheque y no esta el autorun.inf como archivo y la excusa que me pone para no crearla es que ya existe

viernes, octubre 24, 2008 7:28:00 p. m.  
CoskiBukowski dijo...

Anónimo: seguramente tenés el archivo (y muy probablemente un virus) en el aparato, el tema es que los virus estos logran esconder los archivos como si fueran ocultos, pero aunque uno seleccione en el administrador de archivos "ver archivos ocultos" no los muestra.
Si conectas en aparato a cualquier computadora con LINUX vas a ver los archivos y podrás borrarlos. Si no tenes a mano ninguna pc con linux bajate algun liveCD (Ubuntu por ejemplo) y hacelo vos mismo.

Si no, supongo que podrías intentar abrir una consola DOS en el pendrive y usar el comando "DEL", si mal no recuerdo el comando sería "del autorun.inf" y con eso lo borraría.

Saludos!

viernes, octubre 24, 2008 7:57:00 p. m.  
arielduclo dijo...

me sirvio de mucho tu post gracias

lunes, octubre 27, 2008 2:48:00 p. m.  
CoskiBukowski dijo...

Gracias a vos por pasarte por acá y por el comentario. Me alegro que sirva.

Un saludo!

lunes, octubre 27, 2008 3:12:00 p. m.  
Anónimo dijo...

Sos un genio man

miércoles, abril 01, 2009 1:00:00 a. m.  
BOSSTER dijo...

POST DEMASIADO ANTIGUO PUES AHORA NI SIQUIERA SE RESPETA ESTA CARPETA PUES SE PUEDE ELIMINAR FACILMENTE FORZANDO AL SISTEMA DESDE UN SIMPLE ARCHIVO BAT.
Y ESO QUE AHORA NO USAN LOS BAT PORQUE ES DEMASIADO ANTIGUO Y FÁCIL DE MANIPULAR.

sábado, mayo 30, 2009 2:32:00 a. m.  
CoskiBukowski dijo...

Bosster, puede ser, seguro que este pequeño tip no es infalible. Pero sí es un método más de protección, y que no cuesta nada. Yo con mis pendrives así "vacunados" me he evitado un par de veces la creación del autorun, por suerte yo uso Linux por lo que igualmente no iba a tener problemas, pero al haber usado el pen en algunas máquinas con windows se infectó.
Igualmente, el post sí es antiguo tiene poco menos de un año....

sábado, mayo 30, 2009 8:06:00 p. m.  
Daniel Ríos dijo...

Está bien, pero la mejor manera siempre será no conectarlo... Igual que no encender el PC... Jajaja.

jueves, agosto 27, 2009 5:10:00 a. m.  
Anónimo dijo...

Muy buen aporte man sos un groso gracias por tu ayuda

martes, octubre 06, 2009 5:02:00 p. m.  
Anónimo dijo...

excelente aporte con esto descubrí que tenia infectado el mp4 me pero lo elimine complementandolo con un programilla que encontre por allí gracias

jueves, octubre 08, 2009 10:58:00 a. m.  
Anónimo dijo...

**Juanito** dijo... (...) esoty harto de que cada vez que pongo el pen en cualquier agujero se me llene de cosas extrañas :P Saludos.


no ude aguantarme, pero me dio demasiada risa tu comentario x)!

lunes, diciembre 28, 2009 12:45:00 p. m.  
ChujaPRO dijo...

----------------------<>----------------------
Muy bueno el tip, aunque debo agregar: el autorun no se corre para los pendrives cuando se insertan (aunque si la reproducción automática, que es otra cosa), pero sí cuando el usuario abre "mi pc" y hace doble click sobre el disco extraible. Por eso es recomendable también explorar el susodicho en vez de "entrar". Y por cierto, la reproducción automágica también ayuda, porque suele mostrarnos cosas raras (entradas extrañas, cuadros vacíos etc) cuando metemos el pendrive.
Saludos!
----------------------<>----------------------
Eso dijo 486, te aviso que a traves del autorun se puede agregar(y lo he visto en muchos lugares) a la reproduccion automatica una opcion que SIMULA ser la tipica opcion de abrir la carpeta del pendrive pero que en realidad hace de vinculo al virus ejecutable jeje la verdadera opcion de abrir la carpeta del pen esta al final, si encuentro por en internet como se hacia te lo paso jaja.

Saludoss

sábado, junio 19, 2010 1:30:00 a. m.  
Anónimo dijo...

hola, bueno a mi no me funciona cuando creo la carpeta de llamada autorun.inf me dice que ya existe otro archivo con el mismo nombre y me da las opciones de reiniciar o cancelar, ayudaa! :)
gracias.

sábado, agosto 14, 2010 2:00:00 p. m.  
CoskiBukowski dijo...

Significa que ya tenés el pendrive infectado. Formatealo y pasale varios antivirus a tu PC que debe estar re infestada.

Saludos.

sábado, agosto 14, 2010 5:12:00 p. m.  
Pedro dijo...

Perdona mi ignorancia, pero como hago para entrar al directorio raiz? tengo windows xp

jueves, noviembre 10, 2011 12:44:00 p. m.  

Publicar un comentario

Publicar un comentario

Por favor, usen la opción "Nombre/URL" y firmen los comentarios, así no quedan todos como "Anónimo".

Nota: solo los miembros de este blog pueden publicar comentarios.

Design by Carl.