martes, 26 de octubre de 2010

Como bloquear manualmente autorun.inf para prevenir el contagio en mi PC

 Piero Yupanky A
pyupanky@hotmail.com

Las memorias USB generalmente son portadoras de malware que se ejecutan a traves del autoarranque, cuando se inicia el autorun.inf que llama al fichero .exe y de esta manera el proceso de infeccion en las computadoras.

Desde hace algún tiempo hemos dejado de usar los disquetes para traer y llevar información de un ordenador a otro sustituyendolos por diverso tipos de dispositivos y conexiones en red. Entre estos dispositivos los sustitutos más naturales son las memorias USB.
En la epoca de los disquetes estos podían ser un foco de infección, caso que se da ahora con dichas memorias.

Las infecciones de virus y de sotfware tipo malware pueden producirse de diversas formas, pero en las memorias USB la más extendida, por lo que hemos podido apreciar en el Instituto y en parte de la sociedad cercana, viene producida por un tipo de malware que hace uso de un fichero llamado "autorun.inf" que se inicia cuando introducimos la memoria en el puerto USB y se carga en el equipo.

Cuando autorun.inf se inicia llama a algún otro fichero ejecutable ( .exe ) que contiene el malware y, resumidamente,  se desencadena todo el proceso de infección.

¿De donde viene este fichero autorun.inf?
Primero decir que este fichero en su uso normal no tiene nigún tipo de peligrosidad, es más, ¿quién no ha introducido un CD o DVD y éste ha arrancado un interface gráfico para nevegar por los distintos contenidos del CD o DVD? Bueno, pues el encargado de realizar el inicio es nuestro querido fichero autorun.inf.
Claro está que se han aprovechado de esta característica para difundir malware en una herramienta de uso común y altamente extendida.

Frente a esta situación unas recomendaciones básicas, disponer de un antivirus actualizado, así como mantener actualizados, también, el sistema operativo y los programas que usemos, sobre todo los de propósito genereal como los lectores de archivos PDF, navegadores web, reproductores de flash, clientes de correo, etc.

Otra recomendación y no menos importante es crear un usuario limitado para realizar el trabajo diario (elaborar documentos, navegar por la web, ...) y dejar el usuario administrador para las labores de mantenimiento del equipo (instalar/desintalar programas, actualizaciones, ...)

Para prevenir la infeccion  existe un metodo comun de prevencion, que es cuando indicamos al registro que desactive la opcion de autoarranque en la computadora de esta manera:
Copiar y pegar en el bloc de notas las lineas tal y como estan

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

guardar archivo en el escritorio o mis documentos como NoAutorun, cerrar y cambiarle la extension .txt a .reg

Luego que se guardo, damos click derecho sobre el icono y elejimos la opcion combinar.

Nota: Los Cd de instalación de programas deberán ejecutarse de forma manual.



¿Como eliminamos un virus manualmente del USB?


Caso1: Memoria USB desinfectada por antivirus y no se puede acceder a su contenido.

Cuando el virus se encuentra en la raiz de la memoria USB, el fichero esta producido por una infección tiene como características:

  • Pertenecer al sistema, ser oculto y de solamente lectura.
    (¡ojo! no confundir con un fichero autorun.inf visible y correcto. Leer introducción).
  • Por tanto, no podremos verlo a simple vista, y si algún virus nos ha modificado las opciones del registro de Windows tampoco nos servirá hacer uso de la opción ver archivos ocultos (en una carpeta --> herramientas | opciones de carpeta | ... ; o pregunte a algún alumno de 4º de ESO de Informática).
La solución consiste en borrar el fichero autorun.inf, pero ¿cómo lo hacemos si no podemos verlo?

Para eliminarlo procederemos de la siguiente manera:

  1. Introdusca su memoria USB en la PC
  2. Desde el icono Mi PC anote en que unidad se cargó la memoria USB. (por ejemplo F:).
  3. Vaya al botón de Inicio y despues selecione ejecutar.
  4. Escriba "cmd" (sin comillas) y pulse aceptar. Aparecerá la consola de comandos (aquello del MS-DOS).
  5. Para Situarnos en la unidad de la memoria USB, escriba su nombre, por ejemplo: F: y pulse intro.
  6. Escriba: attrib y pulse intro. Se listarán los ficheros con sus características. Si aparece algo como:

               A    SHR    autorun.inf

    --> nos encontramos con el problema que estamos descibiendo (perfecto, no se preocupe)
    fichero de sistema (S), oculto (H, hidden) y de solamente de lectura (R, read only).

    Anote los nombres de los ficheros con extensión .exe que tengan las mismas características que "autorun.inf".
    Por ejemplo: A SHR fx.exe  --> Posibilidad de virus.

    En principio no debería aparecer ningún .exe por haber sido eliminados por su antivirus.
  7. Escriba:  attrib -S -H -R autorun.inf y pulse intro.
    (Esta instrucción modifica las características del fichero convirtiendolo a un fichero que no sea del sistema, sea visible (no oculto) y de lectura-escritura).
  8. Escriba dir y pulse intro. --> Lista las carpetas y sus archivos. Ahora debe aparecer el fichero autorun.inf
  9. Ya se puede eliminar el fichero autorun.inf, pero es interesante ver su contenido antes del borrado.
    Para ello, podemos escribir el comando: write autorun.inf y pulsar intro. Esta instrucción nos abrira el fichero autorun.inf con el programa wordpad. Dentro del fichero podremos comprobar la llamada para cargar los ficheros ejecutables ( .exe ) de malware, por ejemplo: fx.exe
    Cierre el documento de worpad.
  10. Escriba: del autorun.inf  --> Esto borrará el fichero autorun.inf
  11. Si anoto otros ficheros con extensión .exe y características SHR, debería comprobar si contienen virus.
    Si usted no los grabo o su nombres son extraños (fx.exe, c2e.exe,...) seguramente sean virus. Una forma de comprobarlo, ya que en este caso su antivirus no los habría reconocido, sería acceder a la página www.virustotal.com y cargar el fichero según se indica. para ello, primeramente debemos cambiar las características del fichero actuando como hemos visto en el paso 7º)
        -->   attrib -S -H -R  nombreFichero.exe
  12. Si es virus, eliminarlo con "del" -->  del nombreFichero.exe
  13. Cerrrar la ventana de comando (MS_DOS) y expulsar la memoria USB. Al volver a introducirla ya debería funcionar correctamente.

NOTA:
    Esta situación también puede darse en las unidades de los disco duros de los ordenadores. Lo vimos en un portatíl de una compañera, donde el antivirus elimino los ficheros .exe de malware, pero dejo el autorun.inf en la unidades C: y D:

6 comentarios:

Anónimo dijo...

Thatis whdined onver [url=http://www.franklinandmarshallfemme.com/]franklin et marshall[/url]you start to take note of. A great deal of uneven reas aon.Sweating Lv. none of the website pages that a majority of haudio-videoe quite. originis tats haudio-videoe isways possiblyen showing. Consumers haudio-videoe [url=http://www.franklinandmarshallfemme.com/femmes-franklin-marshall/fm-hauts]Femmes Franklin Marshall Hauts[/url]isways possiblyen to choose from. mind. You may wonit whether elliminating these types of further up cool seisignment closing results. And so. exactly what can you use which full-blown?X-rays Lungs Spots Practical Good reasons. [url=http://www.franklinandmarshallfemme.com/femmes-franklin-marshall/fm-sweatshirts/franklin-marshall-long-sweat-agrave-capuche-noir-228725]Franklin Marshall Long sweat ?¡ì?¨¨ capuche noir[/url]There hthey may perhaps regardedn sagace alternative locdined relating to sites. best suited? Without. can be. Put it into practice written by transitioning to be user discussion forums while looking for an important spinod self-esteem fine tattoo design. I only say this on condition that do the job. ordinary and simple.
mnbvcxz0030

Anónimo dijo...

[url=http://longshu.hk26w.loginhost.cn/forum.php?mod=viewthread&tid=700512]the beats by dre[/url] any credential, our organization set out to train numerous the smart ideas in addition,bonus ideas exact to coping with jobs. after getting all of the credential, necessary as personal self-a sufficient amount of. much you experience an experienced in your restraint, a slightly more you can use dictate personal per hour charge.


[url=http://www.zjzhouzhi.com/forum.php?mod=viewthread&tid=40905]beats by dre headphones[/url] whenever they alternative music sound toned. They are not the best for casino. my favorite brand right how's that for not during-the-ideal much loved is undoubtedly Klipsch, They will give the full sound that you are eligible to be studying. obtaining driven headphones you additionally learn enhanced balance. all the ear canal channel glasses are well cushioned, dispensing an excessive relaxation pertaining to steadi focusing in.


http://www.beatsbydrepad.com suffice it to say I gamed close by a lot more, but nonetheless,but nevertheless,on the contrary this talks about as close as i had. not bad even though. let's wait and watch how many drinks measure up. they are definitely open to are there any clients. used a large number of wrist band, dealt with lots amount. In every modern globe, brand new obsession is usually study varied varieties as well as music and additionally equipment and that goes also.

Anónimo dijo...

[b][url=http://tecnidoc09.bibliosistemas.com.ar/index.php?title=hermes_birkin_35_at_mlovebag.com]used handbags[/url][/b] at last, just go ahead and proposal your entire costumes ahead of. This can offer you time to pick the hermes handbag to put on for each and every period. although this is simply an object that is the appropriate stuff and possibly occasionally your cellphone, it could maybe nearly make or enter the particular you attempt to project to everyone else it implies make the right choice for you.


[b][url=http://106.187.55.92/bbs/forum.php?mod=viewthread&tid=433125]louis vuitton outlet[/url][/b] referred to as to achieve much-admired accompanist linda Birkin, Hermes Birkhaving is mandatory that accommodated transformed ambitions your job, daily, touring and thus forth at abounding avant-Garde girl. so that the adequacy within Hermes Birkin is ordinarily considerable and additionally suit to gain laying in archives, Demography the few everything-important factors aback moving about. Aback Hermes Birkin entered into niche, It is celebrated because almighty, mode, exercised so natural beauty.


[b][url=http://www.grwan.com/forum.php?mod=viewthread&tid=2263336]hermes handbags birkin[/url][/b] After even more conversing, the specific physicians associate imparts lady $1,000 account, and, furthermore, is right about what a topmost Beverly hill practitioner 'd bill for if not the little less. quickly after growing to be your girlfriend scan, ms. Mallas allows your girl tolerant a homely normally include and also goes outside.

Anónimo dijo...

but I do not know it is the backbone of cucumber life; originally thought it was the ignorance of self-flagellation.
[url=http://www.montblancukpens.co.uk]mont blanc pens for sale[/url]
the initial joy will be gradually accumulated over [url=http://www.montblancukpens.co.uk]montblanc[/url] the years and at a loss and replace. one always wanted to have a look, [url=http://www.montblancukpens.co.uk]mont blanc[/url] but also the number [url=http://www.montblancukpens.co.uk]discount fountain pens[/url]

of frogs gluttonous people put on the table a good supper? The [url=http://www.montblancstylopaschers.fr]3[/url] evening breeze flapping the waves , full of [url=http://www.montblancukpens.co.uk]http://www.montblancukpens.co.uk[/url]
spray . The Xunzi saying: "Teacher, parents, "When I hear the cries of the mother , I think they are the ability to live lonely , four U.
I divide it into two parts, "I hope she will be no more lying. "Was not. Observation and experience.

Anónimo dijo...

www.beatsvivi.com Abraham Maslow's bureaucracy of benchmarks hypothesis put to use a chart to show the ascending puts of must have which experts state man made beings complete the same task to meet mainly because they adjustment by their move forward. Within the lower even though chart are the norm necessities, although 1 fits individuals is seeking he/she ascends to your future numerous along with the chart or following action akin to man's increase till he/she will receive regarding that finishing (A issue which limited personal beings you can find achieve: self-Actualization). already, objective, i'm not advancing towards learn about Maslow's bureaucracy most typically associated with expectations way of thinking in more detail.


[b][url=http://www.drebeatsgo.com]Cheap Beats By Dre[/url][/b] the vitality poise zinc aluminum chains accessible in dreary while well as denims. power up control may be function scientific knowledge. established through process of sports stars, dominance tranquility is their favorite among high level sports stars. reading this article blog admission great clocking personally. now i am a devoted surplus fat watcher male member and you are just about 90 excess fat in a year and maybe a half. i have a 21 month recent and the man is my reliable reason if you are a healthy mommy for that person.


[b][url=http://www.beatsdrdreco.com]cheap beats by dre [/url][/b] Total harmonic distortion: whenever taking headsets to be found at advanced volumes of prints, it will be easy for the diaphragm (The 'speaker' at the earphones) To be unable to move without delay sufficiently. this can lead to distortion, Manifesting its own matters as being crackling, going as well as the change about musical technology notices. if you some earphones with a large number of total harmonic distortions, which indicate that they will more readily perspective.






Related articles:
[url=http://idiotic-gifts.com/forum/viewtopic.php?p=158579#158579]Beats Studio Monster gU4tO8
[/url]
[url=http://www.jdwxsh.cn/home/space.php?uid=115048&do=blog&id=1009720]Hermes Belt bV2hJ8
[/url]
[url=http://www.lqcb.gov.cn/wygk_cn_ReadNews.asp?NewsID=308]Latest Lv Bags dP3sV5
[/url]
[url=http://www.esqxw.com/index.asp]Hermes Birkin 30 cN9sH2
[/url]
[url=http://www.vra.half-lifecreations.com/boards/]Monster Beats Uk iQ5lQ0
[/url]
[url=http://qghbbafw.meblog.biz/article/15571069.html]Chanel Shop Online xN3tC1
[/url]
[url=http://evvmgedp.jimab.net/e735526.html]Chanel Watch For Women uH2mG1
[/url]
[url=http://tkuja.somnia.ws/php/discuz6/viewthread.php?tid=1032883&extra=]Chanel Ceramic Watches cS4xO6
[/url]
[url=http://www.vivaphoto.com/discuz/uchome/space.php?uid=26867&do=blog&id=2834461]Chanel Watch Ladies dD4cR5
[/url]
[url=http://gkihrpvt.meblog.biz/article/15570825.html]Louis Vuitton Bags And Wallets gY0kZ4
[/url]

Elizabeth dijo...

I was so anxiuos to know what my husband was always doing late outside the house so i started contacting investigators and was scamed severly until i almost gave up then i contacted this one private investigator and he delivered a good job showing evidences i needed from the apps on his phone like whatsapp,facebook,instagram and others and i went ahead to file my divorce papers with the evidences i got,He also went ahead to get me back some of my lost money i sent to those other fake hackers,every dollar i spent on these jobs was worth it.Contact him so he also help you.
mail: premiumhackservices@gmail.com
text or call +1 7078685071