martes, 4 de septiembre de 2007

¡Contagie su ordenador a través de USB en tres sencillos pasos!

Esta misma mañana he invertido varias horas entre otras cosas en limpiar de malware (esto es, de software malintencionado como son los virus, los troyanos y los gusanos) unos cinco ordenadores de sobremesa, tres portátiles, seis llaveros USB y cuatro tarjetas de memoria (MMC y SD). Si bien no todos estaban infectados, era necesario comprobarlo uno a uno porque estaba claro cuál había sido el sistema de propagación de la mayoría de las infecciones presentes: los llaveros USB.

Últimamente es algo muy común ver llaveros USB que transmiten virus de un ordenador a otro como si fuesen el mosquito anófeles transmitiendo la malaria. Y por lo que he podido ver, es algo que se produce con cierta frecuencia en centros públicos como colegios e institutos donde los usuarios llevan su información de un ordenador a otro. Sospecho que en estos casos la propagación es especialmente rápida y en una semana probablemente casi todos los ordenadores estén infectados.

El modo en el que funciona el contagio es enormemente sencillo y se basa en lo que ya hace muchos años era para mí un fallo de diseño y seguridad de Windows 98: el autorun.

Cada vez que se inserta un dispositivo extraíble como un CD, un DVD o un sistema de almacenamiento como una llave USB, Windows busca en la raiz de esa unidad un fichero de texto llamado autorun.inf. Ese fichero de texto indica a Windows cosas como el icono con el que debe aparecer en Mi PC, las acciones que deben agregarse al menú contextual de la unidad (el menú que aparece al pinchar con el botón derecho del ratón) y lo que debe pasar automaticamente al detectarse la unidad. Generalmente esto es utilizado en CDs y DVDs para iniciar algún tipo de asistente de instalación aunque yo mismo en un arranque de malicia hace años grabé algunos CDs con un autorun.inf que apagaba el ordenador en el se introdujese y esa característica de Windows estuviese activada.

Los CDs, que eran comunes como medio de transporte de información hace cinco años, y los DVDs (que para el caso podemos considerar como CDs grandes) son dispositivos de sólo lectura. No podemos arrastrar ficheros a ellos para copiarlos en ellos, no podemos modificar ficheros existentes y es IMPOSIBLE añadir nada al CD si está finalizado. No son un modo cómodo de propagación para el malware.

Pero desde que los llaveros USB y similares han desplazado casi completamente a los disquetes el malware tiene un método de propagación nuevo puesto que son dispositivos de lectura y escritura. Y ahí tenemos el primero de los pasos: si se pincha un llavero en un ordenador infectado por cierto tipo de malware, éste puede crear una o varias copias en el llavero y un fichero autorun.inf con instrucciones para ejecutar alguna de las copias. El segundo paso consiste en que el usuario lleva el llavero USB a otra máquina. Y en el tercero, al pinchar el llavero infectado en un ordenador limpio, si la característica de autorun está activada del modo adecuado, se ejecutará la copia del malware que se copiará a sí misma en el disco duro del ordenador obligándole a ejecutarla cada vez que lo encendamos.

Un método sencillo, simple y efectivo.

Evitar el contagio no es sencillo pero hay algunas cosas que probablemente ayuden:

  • Si la llave USB lleva un método de bloqueo (los reproductores MP3 suelen llevar algún sistema de bloqueo generalmente etiquetado como hold y otro tanto ocurre con muchas tarjetas digitales) y simplemente nos interesa llevar algo a un ordenador que no es de confianza (y el que lea esto debe pensar como un paranoico que, en el mejor de los casos, solamente su ordenador es de confianza) lo activamos y así el dispositivo no podrá ser infectado.

  • Desactivar algunas de las características del autorun en nuestro Windows para que nada se ejecute automáticamente sin nuestro permiso (para ello, buscad información en Internet).

  • Darnos cuenta de que cuando en la ventana emergente que aparece al pinchar dispositivos extraíbles en Windows XP hay indicadores extraños sobre la lista de acciones con el nombre de "Programa", es probable que el llavero USB esté infectado y debamos someter a un escaneo tanto el llavero como el equipo.


Todo lo dicho solamente es aplicable a usuarios de Microsoft Windows. Aquellos que utiliceis otro sistema operativo (Linux, BeOS, Mac OS X, OS/2, FreeBSD... el que sea) podeis estar razonablemente seguros de que este sistema de infección no os afectará.

4 comentarios:

Nerea Pan Jaunarena dijo...

Esto de usar MAC me ahorra muchos quebraderos de cabeza. :D

Salvador Parra Camacho dijo...

Nerea, puede que el usar un Mac OS X te ahorre quebraderos de cabeza. ¿Pero no es cierto que te ha causado otros? ¿Recuerdas que no conseguíamos ver los subtítulos de Héroes? ;)

Lo sé, lo sé: soy malo.

Nerea Pan Jaunarena dijo...

Pero eso son minucias, con respecto a las ventajas, alegrias y satisfacciones que me da un MAC. jajaja. Ademas no se me cuelga cada dos por tres. :P

Salvador Parra Camacho dijo...

¡Ahí me has pillado!