Gua de soluciones

Problema: Prevenir la ejecucin automtica de malware a travs de USB Solucin sugerida por: David rea Tcnica Desarrollo
Agosto 6, 2008 10:48 am

Actualizacin 31/08/2009: Microsoft ha liberado un parche para realizar esta tarea automticamente. Ver Eliminar el AutoRun para dispositivos USB. En gran porcentaje de cdigos maliciosos logran infectar equipos explotando una funcionalidad incorporada en plataformas Microsoft Windows que permite la ejecucin de cualquier dispositivo que sea insertado en el puerto USB. Esta funcionalidad se encuentra habilitada por defecto en la mencionada plataforma, y bsicamente lo que hace es buscar en la carpeta raz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el mismo. Infinidad de malware se vale de este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagndose a travs de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc. En consecuencia, es importante implementar medidas de seguridad preventivas al respecto. Una buena manera de prevenir infecciones a travs de dispositivos removibles, adems de contar con un antivirus con capacidades proactivas como ESET NOD32, consiste en deshabilitar la funcionalidad antes mencionada; de esta manera se minimizar el potencial riesgo de infeccin. Para realizarlo, es necesario manipular en el registro del sistema la clave asociada a esta funcionalidad. El registro es un elemento crtico del sistema operativo y la manipulacin incorrecta del mismo puede provocar efectos nocivos en el mismo. Esta explicacin fue testeada bajo un sistema operativo MS Windows XP SP2 y la prctica del mismo queda bajo la exclusiva responsabilidad de los usuarios, ya que cualquier cambio en el registro puede daar el sistema. De todas formas, no es tan grave como parece. Siempre existe la posibilidad de corregir lo que sali mal (que no ser vuestro caso). Los pasos son los siguientes: 1. Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador) 2. Luego, a travs del panel izquierda, se debe navegar hasta encontrar la siguiente clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\P olicies\Explorer 3. Se encontrar una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opcin Modificar. Tal como se muestra en la siguiente imagen:

www.tecnoserv.com.py

Se abrir una pequea ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.

De esta manera se evitar en gran medida, la ejecucin automtica de los dispositivos que se insertan en el puerto USB a travs del archivo autorun.inf. Es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que s lo puede ser y, en ese caso, este ltimo debera ser detectado como daino. En el artculo llamado propagacin de malware a travs de dispositivos USB podrn encontrar ms informacin al respecto. Actualizacin 08-09-2008: otro mtodo igualmente efectivo es agregar la siguiente clave en el regisro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf colocando valor @SYS:DoesNotExist el

www.tecnoserv.com.py