Gusanos tipo autorun se hacen más inteligentes

Todos conocemos los problemas que conllevan los discos extraíbles en Windows. Metes un pendrive a tu computadora y en cuestión de minutos ya está escaneando servicios vulnerables en otras computadoras de la red, bajando actualizaciones del mismo gusano o modificando tu archivo hosts (entre otras cosas mucho más peligrosas).

Hemos aprendido que una de las formas de minimizar el impacto de las unidades extraíbles es deshabilitando la función de autoejecutar, que ignora el archivo autorun.inf, que es el que contiene la instrucción de ejecutar el archivo malicioso.

Otra buena práctica es eliminar el archivo malicioso por línea de comandos y después abrir la unidad desde el explorador de Windows haciendo clic derecho en ella y seleccionando “Explorar”.

Los p… autores de malware están concientes de estas medidas y han logrado utilizar otra función del archivo autorun.inf para hacer que el usuario ejecute su archivo malvado. Esta es la clave action, que define lo que se muestra en el cuadro de diálogo de autoejecución de Windows, que aparece al insertar uno de estos dispositivos.

Lo que hace básicamente es disfrazar la ejecución del archivo malicioso y hacernos creer que sólo abrimos la carpeta.

Pueden ver más información en el blog de Help Net Security

Soluciones:

  • Desactivar autoplay
  • Identificar los archivos maliciosos (regularmente en carpetas “Recycler” o “Recycled”)
  • Listar los archivos de la unidad extraible mediante línea de comandos, cambiar permisos (si aplica) y eliminar los archivos maliciosos
  • Utilizar otro sistema operativo (Ubuntu funciona a la perfección) para limpiar la unidad antes de insertarla en la máquina de Windows. Puede ser en una máquina virtual o en una computadora aparte –la segunda conlleva menos riesgos.
  • Utilizar inmunizadores como USB Doctor
  • Todas las anteriores, y así se ahorrarán MUCHOS dolores de cabeza, créanme
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s