NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

Ante la progresión incesante de virus que se transmiten por pendrive...

¡¡¡ Muy importante vacunar con ELIPEN !!!

 

Actualmente la mayoría de los virus que se precian, además de ingresar por cualquier medio, vía IP (Como el Conficker), e-Mail (como tantos Online Games, Palevos, AUTORUNs, etc) o cualquier otro sistema (descarga de ficheros de webs, ejecución de links, pulsar en imágenes sensibles, etc.), se transmiten a continuación a través de  unidades removibles, creando un AUTORUN.INF  que llama a ficheros malware que también son copiados en dichas unidades, el cual, tanto en Windows XP como en Vista, por defecto, es autoejecutado cuando se accede a dichas unidades.

El AUTORUN.INF es un fichero que el sistema autoejecuta para arrancar los CD-DVD, tanto si son del sistema (como el de instalación del Windows) como si es una película (para que se inicie sin tener que pulsar ninguna tecla), y contienen para ello líneas de lanzamiento a través de OPEN o SHELL EXECUTE, que ejecutan los ficheros previstos, sean deseables, o indeseables como es el caso de los malwares.

Por ello, ya desde el 2007, ante la aparición progresiva de virus que aprovechan el AUTORUN.INF para propagarse, creamos la utilidad ELIPEN.EXE, la cual hemos ido mejorando hasta el presente, con mas de 10 versiones hasta llegar a la actual 2.1

Dicha utilidad protege contra la propagación de virus a través de unidades removibles USB, evitando la ejecución del AUTORUN.INF de dispositivos de almacenamiento USB, en los ordenadores que se haya ejecutado dicha utilidad, así como impidiendo la creación de ficheros AUTORUN.INF en dichas unidades, si se "vacunan" con dicha utilidad, seleccionándola y pulsando PROCESAR, con el pendrive, memoria SD, disco USB, etc., insertado en la unidad seleccionada.

Además, cuando se lanza dicha aplicación, y se ve que ya existe un AUTORUN.INF en la unidad seleccionada, este se renombra a .OLD y se visualiza su contenido, quedando desactivado para próximas inserciones de dicho dispositivo en el port USB de otros ordenadores.

Si ya está protegido con dicha utilidad, saldrá el aviso indicándolo y terminará el proceso, y si no pudiera por haberse seleccionado una unidad de sólo lectura como CD /DVD,  o pendrive protegido, informará de que no se puede aplicar dicha protección.

Si se tiene la precaución de proteger los dispositivos de almacenamiento USB con la utilidad ELIPEN.EXE, simplemente seleccionando la unidad a proteger y pulsamdo en PROCESAR, se logrará evitar la propagación de estos virus, así como de correr riesgos de infección con tan dichoso AUTORUN.INF al acceder, con la unidad removible, a un ordenador externo, con el riesgo de infectar el propio, al insertarlo luego en el de uno. Otra cosa son los ficheros que puedan existir, infectados o no, los cuales no serán ejecutados automáticamente, que es de lo que se trata, pero pueden ser ejecutados voluntariamente por el usuario, igual que copiados a otro medio, así que cuidado, y especialmente si al protegerlos con el ELIPEN salta el aviso de que estaba infectado, pues aunque no progrese ya el virus, conviene analizarlo a fondo para eliminar los ficheros malware correspondientes, que generalmente estarán ocultos, -igual que dicho AUTORUN.INF- para lo cual es básica la información del AUTORUN.INF que queda reflejada en el fichero de texto que genera el ELIPEN.EXE en C:\INFOSAT.TXT

Con ello se mantiene la autoejecución del AUTORUN.INF de las unidades CD y DVD, pero se inhabilita de todas las demás, al acceder a ellas, sean pendrive, memorias SD, Disco duro, floppy, y demás, si bien se ofrece, al pulsar en SALIR, el excluir de dicha protección, las unidades que el usuario quiera, demarcándolas en la visualización general que se ofrece de todas, y pulsando ACEPTAR. Así queda definido a gusto del usuario y se mantiene aunque se vuelva a ejecutar el ELIPEN, salvo que se seleccione el BOTON de RESET de dicha utilidad y ACEPTAR, en cuyo caso se deja la protección básica inicial.

Cuando se "vacuna" un pendrive, memoria SD, etc, se crea una carpeta protegida con el nombre de AUTORUN.INF en la unidad seleccionada, con lo que se impide que ni manual ni automáticamente, pueda crearse un fichero con igual nombre, y así evitar que, aunque se desconozca el virus que sea, se cree en dicha unidad extraíble un AUTORUN.INF que lance los ficheros malware, aunque estos puedan haber sido copiados al disco duro, ocultos, y/o en carpetas ocultas (como RECYCLER). Esta carpeta que creamos, la hemos protegido para que ni por ERROR ni por malicia pueda ser eliminada, si bien un formateo acabaría con ella y, en tal caso, se debería volver a instalar la "vacuna".

Si bien el actual ELIPEN, contempla opciones para proteger incluso de la variante que utiliza ficheros .LNK maliciosos , como que ya los actuales parches de Microsoft lo evitan, no creemos necesario mas comentarios al respecto, según indica Microsoft er el siguiente enlace http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx actualizando los  parches con http://www.update.microsoft.com/microsoftupdate/, pero si desean mayor información al respecto, ver http://www.satinfo.es/blog/?p=5053

Por último recordamos que las memorias SD que contienen las maquinas de fotografiar digitales, son como los pendrives, pudiendose infectar al conectar la máquina o la memoria extraída, a un ordenador infectado, e infectar el ordenador donde se conecte después..., por lo que recomendamos también que se vacunen con el ELIPEN.

La protección en cuestión apenas ocupa lugar y, salvo casos en que se quiera aprovechar para otros fines dicho AUTORUN, no molesta mas que a los virus.

Nos consta que hemos evitado la infección de cientos de miles de equipos, al evitar la propagación de virus por dicho modo, por lo que recomendamos su "instalación" (simple ejecución del ELIPEN.EXE una vez en cada ordenador y vacunar todos los pendrives)

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   23 de Septiembre de 2010

 

Anterior