Infecciones de virus mediante el archivo autorun.inf
Los dispositivos USB son la principal vía de contagio y transmisión en la actualidad de los programas malignos.
Debido a la inmensa popularidad y auge de todo tipo de memorias, pendrive, tarjetas de memoria, teléfonos celulares, cámaras fotográficas y de video, todos ellos utilizando esta popular conexión, son un objetivo para todos los fabricantes de virus, troyanos, spyware y todos los programas maliciosos.
Un archivo autorun.inf no es más que un pequeño archivo de texto plano, que contiene instrucciones que Windows ejecuta automáticamente. Los desarrolladores de malware incluyen en su interior la ruta al ejecutable del virus, de forma tal que una útil función se convierte en una peligrosa herramienta.
Windows ejecuta el archivo autorun.inf, si lo encuentra en cualquier medio extraíble, como como memorias, tarjetas o cualquier otro dispositivo y ejecuta la orden que este trae escrita.
Así que al introducir un dispositivo USB en una computadora infestada, rápidamente el virus copiará los archivos necesarios a su interior y lo utilizará como medio de transporte, más tarde cuando este dispositivo lo conectemos en otro equipo, rápidamente penetrará y lo infestará y así sucesivamente.
Por eso es tan rápida la propagación de los virus en la actualidad, aprovechando también la despreocupación, desconocimiento de los usuarios y falta de protección en los equipos. Para evitar todo lo anterior hay una serie de medidas que te pueden ayudar a prevenir cualquier tipo de infección.
Medidas para evitar la infección mediante dispositivos USB
Desactivar la ejecución automática de medios en Windows
Si usas Windows 7, no es necesario deshabilitar la reproducción automática de medios extraíbles ya que de forma predeterminada está configurado el sistema para prevenir estos conflictos, pero si usas un sistema operativo anterior, es necesario hacerlo manualmente.
Se puede hacer de varias formas.
1- Agregar entrada al Registro de Windows, indicándole interpretar los valores de los archivos autorun.inf de manera errónea
Para eso tienes que agregar una entrada en el registro con el siguiente valor:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@=”@SYS:DoesNotExist”
2- Modificar los valores del Registro para la reproducción automática de medios
Existen varios valores que se pueden modificar en el registro que habilitan la reproducción automática de determinados tipos de medios o no dependiendo el valor que establezcas, la tabla de todos ellos la puedes leer :
Como modificar en el registro los valores de la reproducción automática de forma manual
Los valores del registro para regular la reproducción automática se encuentran en la siguiente clave:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
En el lado derecho debe estar el valor DWORD NoDriveTypeAutoRun, si no existe créalo y asígnale el valor hexadecimal que puedes calcular mirando la siguiente lista y sumando los valores que necesites:
0×1 Deshabilita AutoPlay en dispositivos desconocidos.
0×4 Deshabilita AutoPlay en floppy.
0×8 Deshabilita AutoPlay on fixed drives.
0×10 Deshabilita AutoPlay en dispositivos de red.
0×20 Deshabilita AutoPlay en CD-ROM.
0×40 Deshabilita AutoPlay en medios extraíbles.
0xFF Deshabilita AutoPlay en todo tipo de dispositivos.
Los valores más comúnmente usados son:
28 (40 decimal) deshabilita los medios extraíbles (USB)
3c (60 decimal) deshabilita medios extraíbles y CDROM
FF (255 decimal) deshabilita la reproducción automática
En Windows XP el valor predeterminado es 0×95 (149)
En Vista 0×91 (145) el mismo pero sin el floppy
Eliminando el valor NoDriveTypeAutoRun en la clave indicada se habilita todas las ejecuciones de forma automática.
Batch para deshabilitar la reproducción automática en medios extraíbles y CDROM
Este script deshabilita el autorun para medios extraíbles y CDROM en todas las unidades, es decir las memorias flash, los CD y DVD.
autorun_mextcdrom.vbs
On Error Resume Next
Dim nret1,nret2
Wscript.Echo “Se procederá a desactivar el autorun para medios extraibles y CDROM en todas las unidades”
Set geekside=WScript.CreateObject(“WScript.Shell”)
nret1=geekside.Run(“cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 60 /f”,0,TRUE)
nret2=geekside.Run(“cmd /C reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 60 /f”,0,TRUE)
WScript.Echo “Debes reiniciar tu PC para hacer efectivos los cambios”
Batch para deshabilitar el autorun por completo en todas las unidades
Este script deshabilita el autorun por completo en todas las unidades para todo tipo de medios, aunque te da la opción de habilitarlo posteriormente. Siempre al efectuar cualquier cambio tienes que reiniciar el sistema.
Con estas opciones estamos deshabilitando la ejecución de los autorun legítimos, como los CD o los DVD, siempre tenemos la opción de dar doble clic en el explorador para iniciar la aplicación que traigan, pero vale la pena la pequeña molestia que esto conlleva, si con ello evitamos la infección de nuestros sistemas.
autorun_2opciones.vbs
On Error Resume Next
Dim nret1,nret2
Set geekside=WScript.CreateObject(“WScript.Shell”)
valor=InputBox(“Para Habilitar el Autorun escribe (1) y para Deshabilitarlo (0) “)
If valor=”1″ Then
Wscript.Echo “Se procederá a HABILITAR el autorun en todas las unidades”
nret1=geekside.Run(“cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f”,0,TRUE)
nret2=geekside.Run(“cmd /C reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f”,0,TRUE)
End If
If valor=”0″ Then
Wscript.Echo “Se procederá a DESHABILITAR el autorun en las unidades”
nret1=geekside.Run(“cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f”,0,TRUE)
nret2=geekside.Run(“cmd /C reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f”,0,TRUE)
End If
WScript.Echo “Debes reiniciar tu PC para hacer efectivos los cambios”
Impedir la infección de los dispositivos USB
Método que consiste en crear en el dispositivo USB que comúnmente usamos, un autorun.inf “legitimo”, creado por nosotros que no apunta a ningún ejecutable, y creado con los atributos de “Sólo Lectura”, “Oculto” y “Sistema”.
De esta forma al introducir el USB en una PC infestada, el virus allí residente al intentar crear su autorun.inf en la memoria y lo encuentre, suponga que la memoria ya está infectada, o si trata de hacerlo, se le haga imposible debido a los atributos de solo lectura del archivo nuestro.
Puedes hacerlo de la siguiente forma mediante la consola de CMD:
? Abre la ventana del intérprete de comandos escribiendo en Inicio CMD Enter y presiona la tecl Enter, o mediante la combinación de teclas Windows+R abre el comando Ejecutar y escribe CMD.
? Cuando se abra la ventana negra de la consola escribe lo siguiente:
Unidad: y presiona Enter, (sustituye unidad por la letra que tiene asignada tu memoria USB)
? Escribe: copy con autorun.inf presiona Enter
? Escribe: Hola (o el texto que quieras) CTRL+Z presiona Enter
? Ya creaste el archivo autorun.inf, si quieres verifica que esta en tu memoria, a continuación le cambiaremos los atributos, para eso escribe en la ventana de comandos:
ATTRIB +R +A +S +H UNIDAD:autorun.inf
Hecho
Impedir la copia de archivos de nuestra PC a dispositivos USB
Una medida que podemos adoptar para impedir que se copien archivos de nuestra PC a ningún medio extraíble y a la inversa, esto asegura que en nuestra ausencia no haya peligro de infección, útil si a nuestra computadora tienen acceso varias personas y no tenemos la suficiente confianza en ellos.
Batch para impedir la copia de archivos de nuestra PC a dispositivos USB
bloquear_copia.reg , clave del registro que la ejecutas y bloqueas cualquier copia de archivos
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies]
“WriteProtect”=dword:00000001
permitir_copia.reg, clave del registro que la ejecutas y permites la copia de archivos
del_SDP.cmd, batch que borra las entradas del registro que creaste si surge algún conflicto
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies]
“WriteProtect”=dword:00000000
del_SDP.cmd
@echo off
reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies
Deshabilitar temporalmente los dispositivos USB en nuestro sistema
Modificando la siguiente rama del registro de Windows puedes deshabilitar los dispositivos USB en tu sistema.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUSBSTOR]
“Start”=dword:00000003
Estableciendo el valor de la clave “Start” en 3 (valor predeterminado), están habilitados los dispositivos y modificando el valor en 4 los deshabilitas.
Escribir 1 para poder usar las memorias USB en este ordenador
Escribir 2 para no poder usar las memorias USB en este ordenador
@echo off
:empezar
echo Programa para permitir o impedir el uso de las memorias USB en un ordenador
echo Para que los cambios tengan efectos el ordenador debe ser reiniciado
echo .
echo escribe
echo 1 para poder usar las memorias USB en este ordenador
echo 2 para no poder usar las memorias USB en este ordenador
set /P miva=
if %miva% EQU 1 (goto veteabrir)
if %miva% EQU 2 (goto vetecerrar)
echo error
echo debes entrar 1 o 2
echo …
goto empezar
:veteabrir
echo abriendo USB
REG ADD “HKEY_LOCAL_MACHINESystemCurrentControlSetServicesusbstor” /v Start /t reg_dword /d 3 /f
goto fin
:vetecerrar
echo cerrando USB
REG ADD “HKEY_LOCAL_MACHINESystemCurrentControlSetServicesusbstor” /v Start /t reg_dword /d 4 /f
:fin
echo .
msg * Hecho
msg * Puede encontrar mas scripts utiles en http://www.gratisprogramas.org
Instalar un software antivirus portable USB
Puedes instalar un software antivirus portable como el Mx One Antivirus, en la versión modulo USB lo tienes permanentemente en tu dispositivo y te protegerá de Virus, Troyanos, Gusanos, Spyware, Herramientas de Hackers y Software de Riesgo.
Su última versión la puedes descargar gratuitamente aquí: Mx One Antivirus
Limpiar una memoria flash infestada sin afectar los documentos que contiene
Más abajo el archivo batch, ejecútalo, en el cuadro de dialogo que se abre introduce la letra de unidad de tu dispositivo USB y presiona Enter. Podrás recuperar intactos todos los documentos que contiene tu USB.
nohiddenflash.cmd
@echo off
color 0F
echo Ahora podra ver todo lo que contiene oculto la flash o el pendrive
pause
cls
set /p drive=Escriba la letra de unidad que tiene asignada la memoria y presione ENTER
if %drive%== E goto E
if %drive%== F goto F
if %drive%== G goto G
if %drive%== H goto H
if %drive%== I goto I
if %drive%== J goto J
if %drive%== K goto K
if %drive%== L goto L
if %drive%== M goto M
if %drive%== N goto N
if %drive%== Z goto Salir
:E
cls
@echo off
ATTRIB -R -A -S -H E:/*.* /S /D
exit
:F
cls
@echo off
ATTRIB -R -A -S -H F:/*.* /S /D
exit
:G
cls
@echo off
ATTRIB -R -A -S -H G:/*.* /S /D
exit
:H
cls
@echo off
ATTRIB -R -A -S -H H:/*.* /S /D
exit
:I
cls
@echo off
ATTRIB -R -A -S -H I:/*.* /S /D
exit
:J
cls
@echo off
ATTRIB -R -A -S -H J:/*.* /S /D
exit
:K
cls
@echo off
ATTRIB -R -A -S -H K:/*.* /S /D
exit
:L
cls
@echo off
ATTRIB -R -A -S -H L:/*.* /S /D
exit
:M
cls
@echo off
ATTRIB -R -A -S -H M:/*.* /S /D
exit
:N
cls
@echo off
ATTRIB -R -A -S -H N:/*.* /S /D
exit
:Z
exit
Eliminar los archivos autorun.inf y las carpetas runauto en todas las unidades de tu PC.
Más abajo el archivo batch, ejecútalo y automáticamente eliminará los archivos autorun.inf y las carpetas runauto en todas las unidades de tu PC
delrunauto.cmd
@echo off
REM Creado por cu-32 Agosto 2010
echo Para quitar los autorun y las carpetas runauto en todas las unidades
pause
cls
RMDIR C:runauto /S /Q
DEL C:autorun.* /F /Q /A R H S A
RMDIR D:runauto /S /Q
DEL D:autorun.* /F /Q /A R H S A
RMDIR E:runauto /S /Q
DEL E:autorun.* /F /Q /A R H S A
RMDIR F:runauto /S /Q
DEL F:autorun.* /F /Q /A R H S A
RMDIR G:runauto /S /Q
DEL G:autorun.* /F /Q /A R H S A
RMDIR H:runauto /S /Q
DEL H:autorun.* /F /Q /A R H S A
RMDIR I:runauto /S /Q
DEL I:autorun.* /F /Q /A R H S A
RMDIR J:runauto /S /Q
DEL J:autorun.* /F /Q /A R H S A
RMDIR K:runauto /S /Q
DEL K:autorun.* /F /Q /A R H S A
cls
echo Hecho
echo.
echo Para mas comandos visita gratisprogramas.org
pause
..Siempre a favor y en busca del conocimiento…
