Aumenta propagación de virus a través de dispositivos de almacenamiento móviles como discos externos y memorias flash
Si bien en la década de los 80 y principios de los 90 del siglo pasado los virus infectores de sector de arranque eran los que más afectaban a las computadoras, la situación comienza a repetirse, pero de manera más sofisticada.
En aquel entonces, el gran intercambio de información y de aplicaciones a través de los disquetes, así como las facilidades que brindaba el Sistema Operativo DOS de Microsoft, el más usado, de que un virus de este tipo se propagara hacia los disquetes, explicaba la gran cantidad de computadoras afectadas.
Si a lo anterior añadimos la alta probabilidad de que las computadoras fueran reiniciadas accidentalmente con uno de estos soportes de almacenamiento colocado en la unidad de lectura/escritura (también conocida como torre de floppy), y que muchas personas ignoraran que un disquete solo requería estar formateado para ser portador de un virus, independientemente de que contuviera o no información y programas, no es de extrañar la efectividad que lograron los autores de estos códigos maliciosos en la difusión de sus creaciones.
Para colmo, era frecuente que el disco duro de una computadora fuera revisado y descontaminado por un producto antivirus, pero los disquetes engavetados no y ocurrían con frecuencia reinfecciones.
Ahora esta situación retorna, pero no ya con disquetes o a través de los servicios de comunicación que brinda Internet, sino de soportes de almacenamiento, que portamos personalmente para transportar gran cantidad de información.
En ese caso, los medios más utilizados en la actualidad son los discos compactos, discos externos y las cada vez más populares memorias flash USB.
Estas últimas, por su fácil transportación y creciente capacidad de almacenamiento (1 GB equivale aproximadamente a 1 000 disquetes de 1,2 MB), así como la incorporación de otras atractivas funciones (reproducción de música), las han convertido en las preferidas de los creadores de programas malignos.
Peligros automáticosMuchas versiones del Sistema Operativo Windows permiten que con solo insertar uno de estos medios de almacenamiento puedan tomar el control ficheros ejecutables presentes en ellos, por lo que los creadores de códigos malignos han considerado esta opción como una vía nada despreciable para llegar y comprometer un número importante de computadoras.
Con ese objetivo, en la mayoría de las ocasiones, estos códigos ejecutados automáticamente se copian hacia el disco duro, se instalan como procesos en memoria, y crean las condiciones para tomar el control cada vez que la computadora sea reiniciada.
Además se copian hacia los dispositivos removibles de almacenamiento que sean colocados en las unidades de disquete y se conecten a través de los puertos USB.
Para su ejecución automática crean un fichero nombrado autorun.inf que salvan en el directorio raíz del soporte, en el que incluyen comandos que «ordenan» al sistema operativo la ejecución de su código, el cual generalmente se encuentra en un fichero ejecutable almacenado dentro de la propia flash.
Por tal motivo, al editar el fichero .inf es frecuente observar estas órdenes a continuación de la etiqueta [autorun]:
[autorun]
open=setup.exe
o
open = Start =Inicio.html
o
shellexecute =Inicio.html
o
shellopenCommand=WScript.exe .autorun.vbs
o
shellexploreCommand=WScript.exe .autorun.vbs
No obstante, no siempre que esto suceda es señal de que la flash está infectada. Aún cuando esta facilidad es empleada en los discos compactos, es menos frecuente en las memorias flash que generalmente utilizamos para estos fines, por lo que su presencia nos puede resultar sospechosa.
Cada cual debe tener una idea de lo que contiene este fichero, si está presente en la memoria que emplea. Si, por ejemplo, normalmente no existe y aparece uno nuevo o el existente es modificado, entonces es posible que sí se trate de una infección.
Autorun nocivoAl igual que como sucedió con los disquetes, los usuarios en muchas ocasiones desconocen este peligro y son usuales las reinfecciones.
El problema es que en la mayoría de las ocasiones esta acción es tardía, pues al colocar la flash el sistema comprueba la presencia del fichero autorun.inf y si existen los permisos correspondientes no vacila en ejecutar las órdenes contenidas en él.
Pero aún cuando pueda resultar molesta, existe una variante de deshabilitación del autorun haciendo modificaciones en los registros, específicamente en los valores: NoDriveAutoRun y NoDriveTypeAutoRun, siempre y cuando se tengan permisos de administrador del sistema.
El primer valor relaciona las unidades de almacenamiento por letras, tal y como generalmente trabajamos con el Explorador. Ejemplo: A para la disquetera, C para el disco duro, D para el disco compacto y E para una memoria flash:
HKEY_CURRENT_USERSoftwareMi-
crosoftWindowsCurrentVersionPolicies
Explorer
La desactivación por esta vía tiene como inconveniente que debe ser realizado el cambio cada vez que se agreguen nuevas o eliminen las ya existentes, pues la letra asignada a la unidad puede variar.
La segunda variante realiza la desactivación del autorun según el tipo de la unidad, tecleando en el Explorer de Windows la siguiente dirección:
HKEY_CURRENT_USERSoftwareMi-
crosoftWindowsCurrentVersionPolicies
Explorer
En este caso, los bits en la columna DATO representan los diferentes tipos de soportes y si su valor es 1 indica que ese tipo de unidad tendrá la opción de autorun deshabilitada.
Por ejemplo en Windows NT4, 2000 y XP, el DATO=0x00000091 indica que el autorun en cualquier unidad de red está deshabilitado; el DATO=0x00000095 indica que el autorun en cualquier unidad de red y unidad removible como flash y disquete está deshabilitado; mientras que DATO=0x000000B5 indica que el autorun en cualquier unidad de red, unidad removible y unidad de disco compacto está deshabilitado.
Estas modificaciones de los registros se pueden realizar con el auxilio del REGEDIT.EXE, herramienta que para tales fines se distribuye con el sistema operativo.
Amenazas externasNo obstante, las medidas preventivas descritas anteriormente, no son suficientes, pues la computadora todavía podría estar «infectada» cuando se acceda a la flash a través del Explorador.
Por supuesto que un programa antivirus centinela activo en la computadora es la opción más sencilla para prevenir la ejecución de programas malignos, pero no podemos olvidar que generalmente el antivirus debe estar actualizado y a su vez reconocer el programa maligno, es decir, tener incluida en su base de firmas la correspondiente al código nocivo, lo que no siempre sucede.
Los reportes recibidos por la Empresa de Consultoría y Seguridad Informática Segurmática, demuestran que el hecho de que exista una protección tecnológica en la frontera entre la red local de una empresa e Internet, no puede hacernos pensar que un código maligno no pueda entrar con nosotros en un medio de almacenamiento empleado fuera de esta. Tampoco se pueden descartar las infecciones que llegan vía laptops, notebooks u otros dispositivos informáticos también portátiles.
La mayor proporción de las computadoras internas, si no están protegidas se pueden transformar en una amplia plataforma de propagación. Basta con que una sea comprometida para que toda una red pueda quedar posteriormente a disposición de un atacante.
Es importante recordar que uno de los ardides más empleados por los creadores de los programas malignos es la copia de sus códigos hacia archivos con icono de carpeta con nombres atractivos, con la finalidad de engañar a los usuarios para tentarlos a ejecutar un doble clic sobre ellos. Este es un ejemplo de ingeniería social.
Mantener la vigilancia en la frontera es una necesidad, pero las medidas internas son de vital importancia, y allí todos los usuarios de la Informática somos responsables.
El pasado año la cantidad total de nuevos programas malignos reportados al Laboratorio de Segurmática fue de 290 y este año ya vamos por 485. Siguen incrementándose la cantidad de los que se propagan empleando el autorun.inf, lo que evidencia que este tipo de archivos nocivos es un peligro latente en Cuba.
Las modas cambian; antes eran disquetes, ahora dispositivos más pequeños, pero con mayor capacidad. Hagamos lo posible porque la situación de antaño no se repita.
*Especialista principal del Laboratorio Antivirus de la Empresa de Consultoría y Seguridad Informática, Segurmática.
26
