Phantomcl’s Weblog

Sobre PhantomCL y sus alrrededores

  • myCALENDAR

    Junio 2008
    L M X J V S D
    « Abr   Abr »
     1
    2345678
    9101112131415
    16171819202122
    23242526272829
    30  

  • Categorías

  • myTwitter: phantomcl

  • Twitter Updates

      sigueme en Twitter !!!!
    «
    »

    Premoniciones antes del Conficker

    Publicado por Rafael Cruz en Junio 3, 2008

    A finales de la década de los 80 se empezaron a popularizar los virus
    del sector de arranque, que tenían la particularidad de que se
    propagaban a través de disquetes. Si introducías un disquete en un
    ordenador infectado el virus se copiaba al disquete, y a su vez ese
    disquete podía infectar cualquier otro ordenador donde fuera utilizado.
    A día de hoy vivimos una plaga del mismo perro con otro collar, al menos
    en la parte funcional. Con el disquete en desuso, las memorias USB han
    tomado el relevo como portadoras de una nueva generación de malware que
    aprovechan la “promiscuidad” con la que utilizamos el dispositivo.

    ¿Cuál es el dispositivo que más utilizas en ordenadores de terceros?
    Para muchos será la memoria USB, esa tan socorrida, que no dudamos en
    introducirla en cualquier ordenador. Para intercambiar documentos, para
    enseñar las últimas fotos, para llevarnos trabajo a casa, para que nos
    hagan una copia de ese programa, para una presentación, para pasarnos
    unos MP3,…

    Tanto entrar y salir entre ordenadores diferentes no ha pasado
    desapercibido para los creadores de malware, que han visto en este
    dispositivo el transporte ideal para que sus bichos puedan saltar de un
    ordenador a otro. En un tiempo en el que, prácticamente, todo ordenador
    tiene conexión a Internet, y por tanto las distancias físicas son
    virtualmente inexistentes, esta nueva corriente nos traslada de nuevo a
    las infecciones de principios de los 90, basadas en la proximidad y la
    compartición de dispositivos de almacenamiento.

    Una de las familias más representativas de esta nueva epidemia es
    denominada por los antivirus como “AutoRun”, con el prefijo de “Win32″
    y/o “Worm”. Como dato concreto, en VirusTotal se han recibido 7.742
    variantes diferentes de esta familia (según MD5), sólo en lo que
    llevamos de mes de mayo.

    El diseño de estos especímenes, que deberíamos catalogar como “gusanos”
    en vez de “virus” puesto que se reproducen con copias de sí mismos pero
    no pueden infectar a otros ficheros, es realmente simple. Toda la lógica
    se basa en aprovechar la funcionalidad AutoRun de Windows que
    automáticamente interpreta y ejecuta el archivo autorun.inf si se lo
    encuentra en el raíz de un medio removible, como un CD, DVD u otro tipo
    de memorias, incluyendo USB.

    Los creadores de malware están aprovechando esta funcionalidad por
    defecto de Windows Explorer. Basta con introducir una memoria USB en un
    sistema para que automáticamente se ejecute el autorunf.inf que,
    típicamente, han diseñado para que lance a su vez un ejecutable con el
    código del gusano. El gusano se instala en el sistema e intenta copiar
    la pareja de ficheros, autorun.inf y ejecutable del gusano, en todas las
    unidades existentes. Esta forma de expandirse un tanto indiscriminada
    abarca la infección de discos duros, unidades de red, dispositivos
    removibles, etc, por lo que este tipo de gusanos se pueden encontrar más
    allá de en las propias memorias USB.

    Las buenas noticias son que hay formas de intentar mitigar este tipo de
    gusanos configurando Windows para evitar el AutoRun automático, por
    ejemplo a través de la entrada del registro NoDriveTypeAutoRun. Sin
    embargo se ha detectado que la configuración de ese valor no es
    suficiente en Windows Vista para prevenir la ejecución, debido a
    AutoPlay, otra funcionalidad por defecto.

    Otro método más efectivo consiste en “trucar” Windows para que haga caso
    omiso de los archivos autorun.inf, indicándole que en vez de interpretar
    los comandos que incluya en su interior utilice unos valores
    alternativos, en concreto unos valores no existentes. Por lo que Windows
    no ejecutará nada.

    Para ello se debe configurar una entrada en el registro de Windows.
    La forma más simple es copiar las siguientes líneas en el bloc
    de notas y guardarlas con la extensión .REG, por ejemplo
    noautorun.reg.

    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @=”@SYS:DoesNotExist”

    A continuación hacer doble click en el fichero noautorun.reg, Windows
    nos preguntará si estamos seguros de querer agregar esta información al
    registro, y elegiremos que Sí.

    Recordar que con esta modificación también evitaremos la ejecución de
    los autorun.inf legítimos, por ejemplo esos que hacen que al introducir
    un CD o DVD automáticamente se ejecute un programa. En esos casos
    tendremos que hacer doble click en el programa para ejecutarlos. Si bien
    pensamos que esta “pequeña molestia” compensa si con ello evitamos la
    infección de nuestros sistemas.

    Esta entrada fue publicada el Junio 3, 2008 a 5:09 pm y está archivada en General. Puedes seguir los comentarios a esta entrada a través de RSS 2.0 feed. Puedes deja un comentario, o trackback desde tu propio sitio.

    Escribe un comentario

    XHTML: Puedes usar estas etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    «
    »