-
añadir a favoritos
Sobre el autoinicio nocivo
lunes 4 de septiembre de 2017
Los dispositivos extraíbles (no solo las unidades usb) eran y siguen siendo una de las vías básicas de difusión de programas nocivos.
Vamos a ver un ejemplo de este programa:
Win32.HLLW.Autoruner
(Worm:AutoIt/Renocide.gen!C, Gen:Trojan.Heur.AutoIT.4, W32/Autorun.worm.zf.gen, Trojan.Win32.Generic!SB.0, Worm.Win32.AutoIt.xl, Trojan.Autoit.F, Worm/Renocide.491520, DR/Autoit.aft.393, TR/Dldr.Delphi.Gen, New Malware.bj, Trojan.Win32.AutoIt.gen.1 (v), Trojan.Generic.4184137, TrojanDropper:Win32/Dowque.A, Downloader.Agent.KNF, Trojan.Autorun.LT, Packed.Win32.Klone.bj, Worm.Win32.AutoRun.yq, Win32/Daiboo.A, Worm:Win32/Autorun.BR, Virus.Win32.AutoRun.k, TROJ_Generic.DIS, Worm/Small.I.7, Trojan.Win32.Meredrop)
Tipo de virus: Gusano
Información técnica
- Una familia de gusanos que se difunden por medio de unidades flash, y como parte de otros programas nocivos - droppers.
- Crean un archivo autorun.inf en los discos disponibles para la escritura. Al abrir este disco en el Navegador, el gusano se inicia automáticamente.
- Las modificaciones de Win32.HLLW.Autoruner en la memoria operativa, en un ciclo infinito comprobaban si hay un disco extraíble montado. Al detectar uno, crean allí sus copias.
¿Cómo un software nocivo penetra en el equipo?
Anteriormente, para eso con mayor frecuencia se usaba un sistema de autoinicio. Si en el dispositivo extraíble en el catálogo raíz había un archivo autorun.inf y en el mismo estaba indicada una ruta a algún archivo ejecutable, bastaba con conectar una unidad usb al equipo y el archivo iniciaba automáticamente.
De la misma forma, este archivo se inicia al consultar un dispositivo extraíble (al hacer clic sobre su icono en el Navegador o en el Escritorio).
Esto era cómodo para iniciar los instaladores que se difundían en dispositivos extraíbles, shells de varios tipos que facilitan la búsqueda de la información necesaria en el dispositivo usb etc. Pero, lamentablemente, los malintencionados empezaron a usar el autoinicio.
Un día me trajeron un disco, dicen que después de este disco en la unidad D todo desaparece, resulta que en autorun.inf hubo una línea open=format D: /x /q. Y, además, ellos antes de preguntarme intentaron abrir este disco en 2 equipos de nuestro parque de equipos, y en D: había backups. Por lo tanto, ahora desactivo el autoinicio siempre que pueda
Como hay muchos programas nocivos que usan el autoinicio para su difusión, aún en febrero del año 2011 la empresa Microsoft lanzó las actualizaciones que desactivan el autoinicio de autorun.inf para Windows XP y Vista. Por lo tanto, actualmente está desactivado.
Pero anteriormente también era posible desactivar el autoinicio. Por ejemplo, estaban difundidas las utilidades que borran automáticamente los archivos autorun.inf de todas las unidades. Pero eso no permitía resolver el problema: en aquella época la información se difundía en las unidades CD/DVD, y no era fácil borrar autorun.inf de las mismas en caso de un virus
Otra opción de protección suponía la creación automática de autorun.inf en dispositivos extraíbles de modo peculiar. Por ejemplo, se creaba una carpeta y no un archivo con este nombre. O al archivo autorun.inf se le asignaban los atributos no característicos del mismo. Había muchas opciones, aquí podemos ver dos de ellas:
La protección consiste en lo siguiente. Un virus intenta crear un archivo autorun.inf en la unidad usb y, como en la misma ya hay una carpeta con el mismo nombre, este archivo no se guarda en la raíz de la unidad usb, sino se mueve a esta carpeta, por lo tanto, resulta imposible el autoinicio del virus. Los virus más ingeniosos primero intentan borrar autorun.inf, pero, al localizar un catálogo que no puede ser borrado "..", tampoco lo pueden hacer.
De este modo una unidad usb puede ser protegida una vez y para siempre, a saber, casi para siempre — hasta formatear la misma, sin importar en qué equipo se usará.
https://habrahabr.ru/sandbox/52317
Cree una carpeta con cualquier nombre en la unidad usb, dentro de la misma guarde desktop.ini con un enlace al pictograma en la carpeta autorun.inf. Y si el aspecto de esta carpeta cambia, significará que hay algo nocivo en la unidad usb.
Hasta existían programas especiales destinados para vacunar los dispositivos extraíbles, es decir, crear en los mismos un autorun.inf. “ingenioso”.
Pero ¿será que esta protección funciona?
Si algún programa crea un archivo no estándar, otro programa puede borrarlo. La protección como modificación de autorun.inf funcionaba solo hasta ser detectada por los creadores de virus.
En mi página de la red social dedicada al script los usuarios escribieron que ya hay virus de este tipo (por ejemplo, Win32.HLLW.Autoruner.1018) (que pueden cambiar nombre del catálogo AUTORUN.INF).
El mundo de antivirus recomienda
Actualmente en Windows el autoinicio desde dispositivos extraíbles está desactivado, pero tenemos que estar atentos. Esta función puede estar activada (así mismo, por los malintencionados). Por ejemplo, en Windows 10 para el mismo hay que seleccionar Inicio > Opciones > Dispositivos y luego en la parte izquierda de la ventana Autoinicio.
Por lo tanto:
- La protección segura contra los programas nocivos es un antivirus. Otros métodos funcionan hasta que los creadores de virus se percaten de los mismos.
- Al usar un dispositivo extraíble en otro equipo o al prestar una unidad usb, escanéela con el escaner Dr.Web.
- Si desea proteger bien su unidad usb contra la escritura, compre un dispositivo extraíble con un switch que prohíbe la grabación y en otros equipos establezca el modo de “solo lectura”.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
12:30:45 2018-08-07
Неуёмный Обыватель
00:19:54 2018-07-13