Una de las detecciones por la que más suelen preguntar los usuarios de Latinoamérica, es INF/Autorun, por lo que me pareció una buena oportunidad para compartir con ustedes las preguntas más frecuentes relacionadas a esta detección. Entonces, les presento las preguntas frecuentes (FAQ - Frequently Asked Questions) sobre esta amenaza.
¿Qué es INF/Autorun?
Es una firma genérica por la que ESET NOD32 detecta los archivos autorun.inf creados por códigos maliciosos. Es decir, un archivo de inicio de los dispositivos USB removibles, que está preparado para ejecutar un código malicioso, que suele estar alojado en el mismo dispositivo:
¿Es un código malicioso?
No, al ser una firma genérica, esta puede aparecer para la detección de múltiples códigos maliciosos, que estarán alojados en el dispositivo listos para ejecutarse al momento de conectarlo a la PC.
¿Cuál es el daño de esta amenaza?
El daño dependerá de las rutinas del archivo, no hay un daño asociado a la firma, ya que la misma es genérica.
¿Cuán propagada es esta amenaza?
Los dispositivos USB son el principal medio de propagación de malware en Latinoamérica. Según el informe, "Gusanos y Troyanos: el reinado del malware", cuatro de cada diez dispositivos USB en la región se encuentran infectados con un código malicioso. Gusanos muy populares, como Stuxnet o Conficker, se propagaban con esta modalidad.
A la vez, esta firma se ubica periódicamente entre las más propagadas en al Ranking de Propagación de Amenazas, habiéndose ubicado en el primer lugar (con el 6,62%) el último ranking del mes de abril de 2011.
¿Un dispositivo USB con esta amenaza, infectará cualquier computadora a la que sea conectado?
No, en aquellos sistemas que cuenten con un antivirus, como ESET NOD32, la amenaza será bloqueada antes de su ejecución.
Además, el archivo autorun.inf será ejecutado solo en los sistemas Windows que posean habilitada dicha funcionalidad (ejecución automática de dispositivos removibles).
¿Qué versiones de Windows son vulnerables?
Windows 7 solucionó este inconveniente con la incorporación de la funcionalidad de AutoPlay, que niega la ejecución de estos archivos cuando se trata de dispositivos USB, y sólo lo permite para dispositivos ópticos (como CD o DVD).
Las versiones anteriores a esta (Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008), ejecutan automáticamente este archivo al conectar un dispositivo USB a la computadora, aunque existe una actualización de seguridad, desde febrero de 2011, que modifica el comportamiento en estos sistemas, por lo que los sistemas actualizados no son vulnerables.
¿Cómo puedo protegerme?
Además de utilizar el antivirus para la detección, como ya se mencionó, existe un parche de Windows para la corrección de esta funcionalidad. Para ello, es necesario instalar en los sistemas la actualización disponible en la KB 971029 de Microsoft.
También existe un workaround para deshabilitar la funcionalidad del Autorun desde el registro, pero es recomendable solucionarlo desde la actualización del sistema operativo.
¿Tienes más preguntas sobre el INF/Autorun? Dejalas en los comentarios y daremos respuesta a la brevedad.
Sebastián Bortnik
Coordinador de Awareness & Research
