Prevenir la ejecución automática de malware a través de USB

Actualización 31/08/2009: Microsoft ha liberado un parche para realizar esta tarea automáticamente. Ver Eliminar el AutoRun para dispositivos USB.

En gran porcentaje de códigos maliciosos logran infectar equipos explotando una funcionalidad incorporada en plataformas Microsoft Windows que permite la ejecución de cualquier dispositivo que sea insertado en el puerto USB.

Esta funcionalidad se encuentra habilitada por defecto en la mencionada plataforma, y básicamente lo que hace es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el mismo.

Infinidad de malware se vale de este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.

En consecuencia, es importante implementar medidas de seguridad preventivas al respecto. Una buena manera de prevenir infecciones a través de dispositivos removibles, además de contar con un antivirus con capacidades proactivas como ESET NOD32, consiste en deshabilitar la funcionalidad antes mencionada; de esta manera se minimizará el potencial riesgo de infección.

Para realizarlo, es necesario manipular en el registro del sistema la clave asociada a esta funcionalidad.

El registro es un elemento crítico del sistema operativo y la manipulación incorrecta del mismo puede provocar efectos nocivos en el mismo. Esta explicación fue testeada bajo un sistema operativo MS Windows XP SP2 y la práctica del mismo queda bajo la exclusiva responsabilidad de los usuarios, ya que cualquier cambio en el registro puede dañar el sistema.

De todas formas, no es tan grave como parece. Siempre existe la posibilidad de corregir lo que salió mal (que no será vuestro caso).

Los pasos son los siguientes:

  1. Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador)
  2. Luego, a través del panel izquierda, se debe navegar hasta encontrar la siguiente clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
  3. Se encontrará una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opción Modificar. Tal como se muestra en la siguiente imagen:

Registro del sistema

  • Se abrirá una pequeña ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.

De esta manera se evitará en gran medida, la ejecución automática de los dispositivos que se insertan en el puerto USB a través del archivo autorun.inf.

Es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí lo puede ser y, en ese caso, este último debería ser detectado como dañino.

En el artículo llamado propagación de malware a través de dispositivos USB podrán encontrar más información al respecto.

Actualización 08-09-2008: otro método igualmente efectivo es agregar la siguiente clave en el regisro de Windows: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf colocando el valor @SYS:DoesNotExist

Jorge

Autor , ESET

  • Pingback: ¿Cómo evitar la ejecución de Malware a través del USB? | Espacio Sin Tiempo()

  • Otra forma de evilarlo sin tener que editar el registro sería apretando la tecla mayúsculas cuando enchufamos el dispositivo

    Saludos y gracias por el blog.

  • Efectivamente belushy, esa es la forma rápida y temporal de hacerlo.

    Cristian

  • Otra forma (ingeniosa) de evitarlo es creando dentro del dispositivo USB una carpeta llamada autorun.inf.
    Si creamos una carpeta llamada autorun.inf (no sirve crear un archivo, puesto que el virus lo sobreescribe) las limitaciones del sistema de archivos no van a permitir que se cree un archivo con el mismo nombre que una carpeta, de manera que aún se va a copiar el ejecutable infectado al USB, pero al conectarlo a otra PC no se va a ejecutar por lo cual simplemente podemos eliminarlo y evitamos la infección.

  • Pingback: Prevenir la ejecución automática de malware a través de USB | Info Spyware()

  • Pingback: Propagaci()

  • Pingback: Propagaci()

  • Pingback: Propagaci()

  • Samuel Molina

    Hey estan de buenisimos sus aportes grax tengan por seguro que lo pondre en practica

  • yo he usado el método de poner el archivo autorun.inf pero con atributos de solo lectura y me ha resultado bien. el troyano copia una .dll pero no sobreescribe el autorun.

  • Pingback: Propagaci()

  • Pingback: Propagaci()

  • Pingback: Sality - psicofxp.com()

  • La verdad esos tips me han servido demasiado, probare en Windows Vista el caso de Oprimir MAYUSCULAS, si alguien tiene una sugerencia es muy bien recibida.

    Saludos cordiales y de paso FELICES FIESTAS NAVIDEÑAS ;)

  • Txarly

    K bueno lo de cambiar los atributos de solo lectura del archivo autorun, supongo que la única forma de acceder a este y a otros archivos ocultos es desde una herramienta 7 zip o similar, no? saludos.

  • Nish

    Gracias estos tips estan buenísimos

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Preguntas frecuentes (FAQ) sobre INF/Autorun()

Síguenos