1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2827/05/2008=29_Virus_y_promiscuidad=2E_Del_

    From noticias@hispasec.com@2:341/201.99 to All on Tue May 27 21:05:02 2008
    ----------------------------SPOT--------------------------
    SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

    Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
    antitroyanos, dirigidos a entidades bancarias y sitios de comercio
    electrónico.

    Más información en:
    http://www.hispasec.com/corporate/antiphishing.html

    info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 27/05/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Virus y promiscuidad. Del disquete al USB
    -----------------------------------------

    A finales de la década de los 80 se empezaron a popularizar los virus
    del sector de arranque, que tenían la particularidad de que se
    propagaban a través de disquetes. Si introducías un disquete en un
    ordenador infectado el virus se copiaba al disquete, y a su vez ese
    disquete podía infectar cualquier otro ordenador donde fuera utilizado.
    A día de hoy vivimos una plaga del mismo perro con otro collar, al menos
    en la parte funcional. Con el disquete en desuso, las memorias USB han
    tomado el relevo como portadoras de una nueva generación de malware que aprovechan la "promiscuidad" con la que utilizamos el dispositivo.

    ¿Cuál es el dispositivo que más utilizas en ordenadores de terceros?
    Para muchos será la memoria USB, esa tan socorrida, que no dudamos en introducirla en cualquier ordenador. Para intercambiar documentos, para
    enseñar las últimas fotos, para llevarnos trabajo a casa, para que nos
    hagan una copia de ese programa, para una presentación, para pasarnos
    unos MP3,...

    Tanto entrar y salir entre ordenadores diferentes no ha pasado
    desapercibido para los creadores de malware, que han visto en este
    dispositivo el transporte ideal para que sus bichos puedan saltar de un ordenador a otro. En un tiempo en el que, prácticamente, todo ordenador
    tiene conexión a Internet, y por tanto las distancias físicas son
    virtualmente inexistentes, esta nueva corriente nos traslada de nuevo a
    las infecciones de principios de los 90, basadas en la proximidad y la compartición de dispositivos de almacenamiento.

    Una de las familias más representativas de esta nueva epidemia es
    denominada por los antivirus como "AutoRun", con el prefijo de "Win32"
    y/o "Worm". Como dato concreto, en VirusTotal se han recibido 7.742
    variantes diferentes de esta familia (según MD5), sólo en lo que
    llevamos de mes de mayo.

    El diseño de estos especímenes, que deberíamos catalogar como "gusanos"
    en vez de "virus" puesto que se reproducen con copias de sí mismos pero
    no pueden infectar a otros ficheros, es realmente simple. Toda la lógica
    se basa en aprovechar la funcionalidad AutoRun de Windows que
    automáticamente interpreta y ejecuta el archivo autorun.inf si se lo
    encuentra en el raíz de un medio removible, como un CD, DVD u otro tipo
    de memorias, incluyendo USB.

    Los creadores de malware están aprovechando esta funcionalidad por
    defecto de Windows Explorer. Basta con introducir una memoria USB en un
    sistema para que automáticamente se ejecute el autorunf.inf que,
    típicamente, han diseñado para que lance a su vez un ejecutable con el
    código del gusano. El gusano se instala en el sistema e intenta copiar
    la pareja de ficheros, autorun.inf y ejecutable del gusano, en todas las unidades existentes. Esta forma de expandirse un tanto indiscriminada
    abarca la infección de discos duros, unidades de red, dispositivos
    removibles, etc, por lo que este tipo de gusanos se pueden encontrar más
    allá de en las propias memorias USB.

    Las buenas noticias son que hay formas de intentar mitigar este tipo de
    gusanos configurando Windows para evitar el AutoRun automático, por
    ejemplo a través de la entrada del registro NoDriveTypeAutoRun. Sin
    embargo se ha detectado que la configuración de ese valor no es
    suficiente en Windows Vista para prevenir la ejecución, debido a
    AutoPlay, otra funcionalidad por defecto.

    Otro método más efectivo consiste en "trucar" Windows para que haga caso
    omiso de los archivos autorun.inf, indicándole que en vez de interpretar
    los comandos que incluya en su interior utilice unos valores
    alternativos, en concreto unos valores no existentes. Por lo que Windows
    no ejecutará nada.

    Para ello se debe configurar una entrada en el registro de Windows.
    La forma más simple es copiar las siguientes líneas en el bloc
    de notas y guardarlas con la extensión .REG, por ejemplo
    noautorun.reg.

    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"

    A continuación hacer doble click en el fichero noautorun.reg, Windows
    nos preguntará si estamos seguros de querer agregar esta información al registro, y elegiremos que Sí.

    Recordar que con esta modificación también evitaremos la ejecución de
    los autorun.inf legítimos, por ejemplo esos que hacen que al introducir
    un CD o DVD automáticamente se ejecute un programa. En esos casos
    tendremos que hacer doble click en el programa para ejecutarlos. Si bien pensamos que esta "pequeña molestia" compensa si con ello evitamos la
    infección de nuestros sistemas.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3503/comentar

    Más información:

    Autorun
    http://en.wikipedia.org/wiki/Autorun

    Windows Vista fails to properly handle the NoDriveTypeAutoRun registry value http://www.kb.cert.org/vuls/id/889747


    Bernardo Quintero
    bernardo@hispasec.com


    Tal día como hoy:
    -----------------

    27/05/2007: Denegación de servicio a través de cliente NFS en Sun Solaris 8, 9 y 10
    http://www.hispasec.com/unaaldia/3137

    27/05/2006: Actualización del kernel de Red Hat Enterprise Linux 4
    http://www.hispasec.com/unaaldia/2772

    27/05/2005: Alarmante crecimiento de máquinas zombie y botnets
    http://www.hispasec.com/unaaldia/2407

    27/05/2004: Continúan los intentos de estafa contra bancos españoles
    http://www.hispasec.com/unaaldia/2041

    27/05/2003: Obtención de privilegios especiales en Linux
    http://www.hispasec.com/unaaldia/1675

    27/05/2002: La biometría en entredicho: falsificación de huellas dactilares
    http://www.hispasec.com/unaaldia/1310

    27/05/2001: Vulnerabilidad BGP en routers Cisco
    http://www.hispasec.com/unaaldia/945

    27/05/2000: W97M.RESUME, un curriculum vitae muy peligroso
    http://www.hispasec.com/unaaldia/578

    27/05/1999: Problemas en Microsoft Site Server
    http://www.hispasec.com/unaaldia/212


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)