Nuevas vas de infeccin: Los USBs

Indice

Nuevas vas de infeccin Del disquete al USB............................................................ 3

La consumerizacin abre nuevas brechas de seguridad ............................................ 3

Como se extiende este nuevo tipo de malware.............................................................. 4

Como lidiar con esta amenaza: Proteccin Preventiva con Panda USB Vaccine ............ 7

Confidential Panda 2009 Page 2

Nuevas vas de infeccin: Los USBs

Nuevas vas de infeccin Del disquete al USB

Hace mucho tiempo desde que la industria antivirus sealaba el disquette como la fuente principal
de infecciones entre varios pcs. En ese tiempo Internet no era mas que un concepto y el disquette
era la forma bsica de transmitir informacin de un PC a otro. Los creadores de malware se
esmeraban, por tanto, en crear archivos maliciosos que pudieran residir en estos elementos de
modo que la infeccin se transportara de un PC a otro de un modo sencillo.

Actualmente los disquettes han dejado paso a los CDs y DVDs e Internet ofrece todo un mundo de
posibilidades para compartir informacin. Aun as, podemos observar un claro sustituto del
disquette como herramienta porttil para almacenar y llevar la informacin. Estos son los
dispositivos portables o USBs, que permiten almacenar una gran cantidad de informacin
permitiendo adems transportarlos de forma sencilla debido a su cada vez menor tamao.
Tal y como sucedi con los disquettes en su da, no ha hecho falta mucho tiempo para que
comience a aparecer malware que aprovecha las ventajas de estos dispositivos para crear
infecciones masivas que se distribuyen rpidamente y pasan desapercibidos a los programas de
seguridad.

La consumerizacin abre nuevas brechas de seguridad

Segn diversas consultoras de analistas, la consumerizacin es el proceso por el cual la
tecnologa empresarial y de consumo se integran en una sola. La lnea que separa los dispositivos
personales de los empresariales se difumina, lo que significa que los empleados usan cada vez
ms aparatos tecnolgicos de su vida cotidiana dentro de la empresa. Esto crea un riesgo de
seguridad por las posibles fugas de informacin crtica a travs de dispositivos portables no
controlados por la misma (mp3, USBs, etc).

Como se aprecia en la figura

anexa, la consultora Forrester
detecta la consumerizacin de los
departamentos de TI, que provoca
que sean los usuarios individuales
y no los departamentos de TI los
que adoptan tecnologas propias
para llevar a cabo sus tareas, con
lo que la decisin de compra de
estos departamentos viene
derivado de las tendencias
tecnolgicas de los empleados
(uso de wikis, blogs, etc). A este
movimiento Forrester lo llama
Populismo tecnolgico.

A pesar de que el problema de seguridad derivado de este nuevo movimiento sea la fuga de
informacin sensible de una empresa, los dispositivos portables tambin pueden suponer un
vector de entrada para la introduccin y propagacin de virus, troyanos, keyloggers y otros tipos
de malware. De hecho, durante 2009 muchos peridicos se han hecho eco de noticias de este

Confidential Panda 2009 Page 3

Nuevas vas de infeccin: Los USBs

tipo, como por ejemplo la prohibicin del uso de elementos portables en el departamento de
defensa de EEUU debido a la distribucin del gusano agent.btz por diversas redes crticas del
departamento.
Por otro lado, los USBs estn evolucionando rpidamente. Los nuevos sticks de memoria U3
permiten ejecutar software o diversas aplicaciones directamente desde el USB. La tecnologa de
U3 est diseada para aprovechar las ventajas de movilidad que ofrecen los USBs de modo que
el usuario pueda almacenar todos sus programas, contraseas, preferencias etc en l sin
preocuparse de que tengan que estar instaladas en el PC. Estos sistemas se auto-activan por lo
que pueden ejecutar aplicaciones al ser conectados a un PC, lo que abre una nueva va de
infeccin adicional a los creadores de malware.

Como se extiende este nuevo tipo de malware

Hoy en da, una gran mayora de los PCs usan alguna de las mltiples versiones de sistemas
operativos Windows. De hecho, en el grfico siguiente se muestra la tasa de penetracin de cada
uno de los distintos sistemas operativos existentes y se ve que Windows posee la gran mayora
del mercado, con un 73% de penetracin del Windows XP.

Para facilitar la instalacin de

las diferentes aplicaciones, en
1995 Microsoft lanz en toda
su familia de productos una
funcionalidad llamada Autorun,
que fue introducida junto con
su Windows 95. Esta
funcionalidad en su versin
bsica, permita que al insertar
un CD-ROM correctamente
configurado, buscara un
archivo de texto en el directorio
raz llamado AUTORUN.INF y
siguiera las instrucciones all
definidas para ejecutar un
programa.

Actualmente este AUTORUN.inf est incluido en la mayora de los dispositivos portables para
conocer las acciones a realizar sobre cualquier USB o cd/dvd que se inserte en la mquina. El
autorun.inf es un archivo de configuracin que permite definir qu programa debera ser ejecutado
automticamente cuando se conecta el dispositivo.
Sin embargo hoy en da existen varias formas en las que un programa que es especificado en un
AUTORUN.INF puede ser ejecutado en un un modo mas o menos transparente para el usuario.
Por ejemplo:
- Autorun
- Autoplay: Se trata de una versin mejorada del AutoRun lanzada con el sistema operativo
Windows XP. En vez de que sea el dispositivo externo el que decida que programa
ejecutar, se intenta hacer partcipe al usuario de esa decisin mediante un men de
opciones que se lanza al insertar el dispositivo.
Del mismo modo que con el Autorun tradicional, es posible incluir como opcin el que
aparezca la aplicacin que se desea ejecutar en el men. Muchos tipos de malware usan

Confidential Panda 2009 Page 4

Nuevas vas de infeccin: Los USBs

este sistema para propagarse sustituyendo el programa definido en el Autoplay por lo que
no es un medio totalmente seguro para evitar este tipo de infecciones.
Con Windows Vista este problema se agrava ya que el usuario puede configurar el
AutoPlay de modo que defina que, por defecto, un programa definido en el AUTORUN.inf
puede ejecutarse automticamente. Eso permite a un USB infectado, ejecutarse en el PC
del usuario sin conocimiento de este.
- Ejecucin desde el men contextual del dispositivo al que se accede mediante el botn
derecho del ratn.
- Ejecucin haciendo doble click sobre el icono de la unidad
Esto hace que existan una variedad de formas de invocar un ejecutable que se encuentre en el
autorun de cualquier dispositivo externo sin que se de un conocimiento del usuario.

Esta funcionalidad permite por tanto a un determinado malware poder infectar un dispositivo
externo realizando una copia del ejecutable en el mismo y modificando el archivo AUTORUN.inf
de modo que cada vez que un usuario conecte ese USB en otra mquina, Windows ejecute ese
archivo malicioso de forma silenciosa y sin que el usuario se de cuenta, por tanto, de que se ha
infectado.

Conficker - El primer aviso

Existen algunos tipos de malware que comienzan a beneficiarse del modo de funcionamiento de
los USBs y su modo de interactuar con el SO de Microsoft. Algunos ejemplos son W32/Sality,
W32/Virutas y tambin el conocido Conficker, el cual, adems de extenderse aprovechando una
vulnerabilidad, lo hace tambin a travs de los USBs.

Confidential Panda 2009 Page 5

Nuevas vas de infeccin: Los USBs

Figura 1: Seguimiento de Conficker en el blog de PandaLabs

En la figura siguiente podemos apreciar la evolucin de infecciones por malware de la familia

Autorun, esto es, aquel malware que como Conficker, se aprovecha del Autorun para propagarse.
Como se puede apreciar, en Abril de 2008 se comienza a ver una tendencia creciente del nmero
de infecciones relativas a este nuevo tipo de malware.

Figura 1: Evolucin de las infecciones por malware de la familia Autorun

Otro ejemplo de un gusano que se propaga por el usb es el llamado AutoKitty.A, que se propaga
realizando copias de s mismo en todas las unidades disponibles del sistema, tanto mapeadas
como extrables. Adems, crea un archivo AUTORUN.INF en el directorio raz de todas las
unidades para conseguir que el gusano se ejecute cada vez que se acceda a alguna de ellas.

Confidential Panda 2009 Page 6

Nuevas vas de infeccin: Los USBs

Por otro lado, el llamado SillyFD-AA no slo se auto instala en los sistemas y coloca mensajes en
Internet Explorer sino que instala un autorum.inf en cualquier memoria porttil, como USB o
disquetes de forma que con conectar un USB infectado en un ordenador la infeccin est
garantizada.

Como lidiar con esta amenaza: Proteccin Preventiva

con Panda USB Vaccine

Tradicionalmente para paliar este problema la solucin mas utilizada ha sido la de incluir una
entrada en el registro de Windows de modo que se deshabilite la funcionalidad del AUTORUN en
una mquina en concreto. Esto evita que el malware pueda infectar una mquina a travs de un
USB, a menos que el usuario ejecute directamente el archivo.
Estas soluciones sirven para proteger los PCs, pero no consiguen erradicar el problema de las
infecciones por dispositivos externos de almacenamiento que siguen infectando a aquellos PCs
desprotegidos. Existen varias propuestas para solventar este problema pero la mayora son fciles
de salvar por parte del malware.

Preguntas Frecuentes:
Puedo desactivar el Autorun desde Windows para evitar estas infecciones?
No hay una forma definida de desactivar el autorun desde Windows. La tcnica habitual es
realizar modificaciones en el registro o manipular el fichero autorun.inf para que no pueda
ser creado por el malware.
Problemas de las tcnicas de modificacin de registro:
Requiere un conocimiento por parte del usuario y adems hay mltiples tcnicas y no todas
son igual de eficientes. Nuestra herramienta realiza los ajustes ms ptimos para conseguir
vacunar el sistema.
Problemas de las tcnicas de manipulacin del autorun.inf.
En Internet se pueden encontrar una gran variedad de tcnicas para modificar el
autorun.inf, desde algunas ms sencillas y fcilmente esquivables hasta otras ms
complejas y para las que se necesita un mayor conocimiento tcnico.
La tcnica utilizada por Panda es la nica que ha demostrado hasta el momento que no
puede ser desactivada con procedimientos estndar, a excepcin del formateo de la
unidad.

A la hora de frenar este tipo de infecciones y ofrecer al usuario una forma complementaria de
proteger su mquina, junto con la proteccin antivirus instalada, Panda ofrece una herramienta
gratuita para evitar este tipo de infecciones en los dispositivos porttiles. Esta herramienta se
llama USB Vaccine y su funcin principal es la de desactivar el Autorun completamente de modo
que ningn programa incluido en un USB pueda autoejecutarse de forma automtica sin
conocimiento del usuario. Adems la herramienta ofrece la opcin de vacunar el PC evitando
que un malware infiltrado en un dispositivo USB, se ejecute automticamente en el sistema.

Confidential Panda 2009 Page 7

Nuevas vas de infeccin: Los USBs

Figura 1: Interfaz de la Vacuna USB de Panda

Una solucin preventiva sencilla y rpida. Cmo funciona Panda USB Vaccine?
Los sistemas operativos Windows usan el archivo AUTORUN.INF de los dispositivos portables
para conocer qu tipo de acciones hay que realizar cuando estos son conectados al PC. Se trata
de un archivo de configuracin que normalmente se sita en el directorio raz de los dispositivos
portables y que contiene entre otras cosas, la posibilidad de definir un programa que se ejecute
automticamente cuando la unidad sea conectada.
La mayor amenaza viene dada cuando esta funcionalidad es usada por los creadores de malware
para distribuir una infeccin a otros PCs cada vez que el usuario conecte el dispositivo en cada
uno de ellos. El malware copia automticamente un ejecutable en el USB y modifica el AUTORUN
de modo que cada vez que se inserta o se abre el dispositivo se ejecuta automticamente el
programa indicado en el autorun.inf y el sistema queda infectado. Este proceso se realiza adems,
de forma transparente para el usuario por lo que no sabe que ha sido infectado.
La herramienta gratuita de Panda para vacunar USBs permite a los usuarios:
- Vacunar sus PCs de modo que se desactive el Autorun para que ningn programa
instalado en un dispositivo externo pueda auto ejecutarse.
- Vacunar dispositivos USB para desactivar el AUTORUN.inf evitando asi que las
infecciones puedan extenderse a otros PCs mediante estos dispositivos. Adems evita
que el dispositivo (concretamente el fichero autorun.inf) pueda ser infectado en otros
sistemas donde sea insertado y que eventualmente puedan encontrarse infectados.

Usos de Panda USB Vaccine en el entorno corporativo

El administrador de una red puede distribuir esta herramienta a todos los PCs de forma
centralizada y configurar previamente la misma de modo que elija el modo en que se comportar
en el PC del usuario. Existen diversas lneas de comando que permiten realizar distintas acciones
de forma remota:

Confidential Panda 2009 Page 8

Nuevas vas de infeccin: Los USBs

USBVaccine [ A|B|C|Z ] [ +system|-system ] [ /resident [/hidetray] [/auto] ]

[DRIVE UNIT]: Vacunar unidad de disco

+SYSTEM : Vacunar PC
-SYSTEM : Desvacunar PC
/RESIDENT: Lanzar el programa en modo oculto y configurarlo para que de la opcin de vacunar
cada vez que se introduzca un nuevo dispositivo.
/AUTO: Vacuna automticamente cualquier nuevo dispositivo insertado cuando se usa con el
comando /resident.
/HIDETRAY: Oculta el icono de la barra de tareas cuando se usa con el comando /resident.

Requisitos del sistema

La proteccin del dispositivo funciona en unidades FAT y FAT32. Hay una versin beta que
permite proteger unidades NTFS, aunque es experimental en estos momentos. El parmetro para
activar la proteccin en unidades NTFS es: /experimentalNTSF

Esta herramienta est en modo beta y puede ser descargada directamente desde la web de
Panda.: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/?track=91062

Confidential Panda 2009 Page 9