Memorias Flash USB, tiles, prcticas, pero cuidado. Ing. Edgar Guadis Salazar edgar @segurmatica.

cu No cabe la menor duda de que entre los ms fieles seguidores de Giga se encuentran jvenes nacidos en la poca en que los virus infectores de Sector de Arranque eran los que ms afectaban a las computadoras. Cmo olvidar la gran divulgacin, que en 1992, recibi por las agencias de noticia la fecha de activacin del virus Michelangelo? Dos causas fundamentales de esta situacin fueron el gran intercambio de informacin y de aplicaciones a travs de los disquetes, as como las facilidades que brindaba el Sistema Operativo DOS de Microsoft, el ms usado, de que un virus de este tipo se propagara hacia los disquetes que posteriormente se emplearan en las PCs afectadas. Si a lo anterior aadimos la alta probabilidad de que las computadoras fueran reiniciadas accidentalmente con uno de estos soportes de almacenamiento colocado en la unidad de lectura/escritura (tambin conocida como torre de floppy), y que muchas personas ignoraran que un disquete slo requera estar formateado para ser portador de un virus, independientemente de que contuviera o no informacin y programas, no es de extraar la efectividad que lograron los autores de estos cdigos maliciosos en la difusin de sus creaciones. Para colmo, era frecuente que el disco duro de una computadora fuera revisado y descontaminado por un producto antivirus, pero los disquetes engavetados no y ocurran con frecuencia re-infecciones. Ya han trascurrido poco menos de 20 aos y la situacin comienza a repetirse pero de una manera ms sofisticada. Los servicios que se brindan a travs de INTERNET constituyen actualmente la plataforma de comunicacin ms empleada en el intercambio de informacin pero no son pocas las ocasiones en que necesitamos utilizar soportes de almacenamiento, que portamos personalmente, para transportarla. En esas situaciones, los ms recurridos en la actualidad son: Discos Compactos, Discos Externos y las cada vez ms populares Memorias Flash USB. Estas ltimas por su fcil transportacin y creciente capacidad de almacenamiento (1GB equivale aproximadamente a 1000 disquetes de 1,2 MB), as como la incorporacin de otras atractivas funcionalidades (reproduccin de msica) que se le adicionan, las han convertido en las preferidas. Versiones del Sistema Operativo Windows permiten que con slo insertar uno de estos medios de almacenamiento puedan tomar el control ficheros ejecutables presentes en ellos, por lo que los creadores de cdigos malignos han considerado esta opcin como una va nada despreciable para llegar y comprometer un nmero importante de computadoras. Con ese objetivo, en la mayora de las ocasiones, estos cdigos ejecutados automticamente se copian hacia el disco duro, se instalan como procesos en memoria, crean las condiciones para tomar el control cada vez que la computadora sea reiniciada y

se copian hacia los dispositivos removibles de almacenamiento que sean colocados en las unidades de disquete y se conecten a travs de los puertos USB. Para su ejecucin automtica crean un fichero nombrado autorun.inf que salvan en el directorio raz del soporte, en el que incluyen comandos que ordenan al Sistema Operativo la ejecucin de su cdigo, el cual generalmente se encuentra en un fichero ejecutable almacenado dentro de la propia flash. Por tal motivo, al editar el fichero .inf, es frecuente observar stas rdenes a continuacin de la etiqueta [autorun]: [autorun] open=setup.exe o open = Start =Inicio.html o shellexecute =Inicio.html o shell\open\Command=WScript.exe .\autorun.vbs o shell\explore\Command=WScript.exe .\autorun.vbs No obstante, no siempre que esto suceda es seal de que la flash est infectada. An cuando esta facilidad es empleada en los discos compactos, es menos frecuente en las memorias flash que generalmente utilizamos para estos fines, por lo que su presencia nos puede resultar sospechosa. Cada cual debe tener una idea de lo que contiene ste fichero, si est presente en la memoria que generalmente emplea. Si por ejemplo normalmente no existe y aparece uno nuevo o el existente es modificado, entonces es posible que s se trate de una infeccin. Al igual que como sucedi con los disquetes, los usuarios en muchas ocasiones desconocen este peligro y son usuales las re-infecciones . El problema es que en la mayora de las ocasiones esta accin es tarda, pues, como comentamos, al colocar la flash el sistema comprueba la presencia del fichero autorun.inf y si existen los permisos correspondientes no vacila en ejecutar las rdenes contenidas en l. Sin embargo, an cuando pueda resultar molesto existe una variante de deshabilitacin del autorun haciendo modificaciones en los registros, especficamente en los valores: NoDriveAutoRun y NoDriveTypeAutoRun, siempre y cuando se tengan permisos de administrador del sistema. El primer valor relaciona las unidades de almacenamiento por letras, tal y como generalmente trabajamos con el Explorador, ejemplo A para la disquetera, C para el disco duro, D para el Disco compacto y E para una flash:
HKEY_CURRENT_USER \Software\Microsoft \Windows \CurrentVersion \Policies\Explorer

El bit menos significativo del dato a colocar en el valor corresponde a la letra A:, el Segundo a la B, el tercero a la C: y as sucesivamente, por lo que la combinacin 101, desactivara a las unidades referenciadas con las letras A y C, quedando en este caso: Valor NoDriveAutoRun Tipo REG_DWORD Dato 0x00000005

La desactivacin por esta va tiene como inconveniente que debe ser realizado el cambio cada vez que se agreguen nuevas o eliminen ya existentes, pues la letra asignada a la unidad puede variar. La segunda variante realiza la desactivacin del autorun segn el tipo de la unidad:
HKEY_CURRENT_USER \Software\Microsoft \Windows \CurrentVersion\Policies\Explorer

En este caso, los bits en el dato representan los diferentes tipos de soportes y si su valor es 1 indica que ese tipo de unidad tendr la opcin de autorun deshabilitada. Por ejemplo en Windows NT4, 2000 y XP: Valor NoDriveTypeAutoRun Tipo REG_DWORD Dato 0x00000091 indica que el autorun en cualquier unidad de red est deshabilitado 0x00000095 indica que el autorun en cualquier unidad de red y unidad removible como flash y disquete est deshabilitado 0x000000B5 indica que el autorun en cualquier unidad de red, unidad removible y unidad de disco compacto est deshabilitado Las modificaciones de los registros se pueden realizar con el auxilio del REGEDIT.EXE, herramienta que para tales fines se distribuye con el Sistema Operativo. Pasos: 1) Localizar el valor NoDriveTypeAutoRun y seleccionarlo con el botn izquierdo del ratn. (fig. 1)

Fig. 1 Seleccionar Valor NoDriveTypeAutoRun. 2) Seleccionar la opcin Modificar, con el auxilio del botn derecho del ratn. (fig. 2)

Fig. 2 Opcin Modificar. 3) Modificar el valor sustituyndolo por el valor 0x00000095:

Fig. 3 Modificar el valor.

4) Aceptar la modificacin. En Windows 95, 98 y Me, los valores son iguales, no as el formato, por lo tanto hay que tenerlo en cuenta. Por esta va la dificultad es que la desactivacin es por tipo de unidad por lo que suceder lo mismo en todas las que pertenecen a un mismo tipo de unidad. Cualquiera de los dos mtodos desactivar el autorun en la unidad o unidades seleccionadas. Para ms informacin se puede consultar el sitio: http://msdn.microsoft.com/library/default.asp?url=/library/enus/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autorun/ autoplay_intro.asp. Sin embargo esto no es suficiente, la PC todava puede ser infectada cuando se acceda a la flash a travs del Explorador !!!!!!!!!!!!! Para revisar la flash con esta aplicacin son necesarias dos condiciones: 1) Tener en cuenta que algunos creadores de programas malignos ocultan al fichero autorun.inf de modo que no se pueda acceder a l con el auxilio del Explorador. Por lo tanto una medida para evadir esta situacin es tener activa la opcin de poder observar ficheros y carpetas ocultos. Para ello, una vez ejecutada esta aplicacin, seleccionar Herramientas en el men principal. (fig. 4)

Fig. 4 Opcin Herramientas en el men principal del Explorador Dentro de ella seleccionar Opciones de carpeta (fig. 5)

Fig. 5 Opciones de carpeta en Herramientas Seguidamente, en la pleca Ver, activar la opcin Mostrar todos los archivos y carpetas ocultos. (fig. 6)

Fig. 6 Activar Mostrar todos los archivos y carpetas ocultos. Dado que el fichero que contiene realmente el cdigo maligno puede ser un ejecutable con nombre de un archivo de sistema, tambin es recomendable visualizarlo con el Explorador. Con este objetivo, en la propia ventana, se deben desactivar las opciones: Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivos para tipos de archivo conocido.

Fig. 7 Desactivar las opciones Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivos para tipos de archivo conocido

2) Acceder a su contenido desde la ventana izquierda del Explorador. (fig 8)

Fig. 8 Acceder al contenido de la flash a travs de la opcin Carpetas, Mi PC, Disco extrable Teniendo en cuenta estas medidas es posible limitar la activacin de un programa maligno que utilice como va de propagacin su ejecucin automtica al colocar una flash infectada en el puerto USB de una computadora. Es prudente recordar que para ver el contenido de un fichero .bat es necesario abrirlo con la opcin de Editar del men, que se despliega utilizando el botn derecho del ratn, teniendo el fichero seleccionado, pues la opcin de Abrir lo ejecuta. Lo anterior no impedir que se pueda ejecutar, a peticin del usuario cualquier fichero ejecutable, por ejemplo con un doble clic. Por supuesto que un programa antivirus centinela, activo en la computadora, es una opcin ms sencilla para prevenir su ejecucin, algo similar sera revisar el soporte con el componente identificador/descontaminador, pero no podemos olvidar que generalmente el antivirus debe estar actualizado y a su vez reconocerlo, es decir, tener incluida en su base de firmas la correspondiente al cdigo maligno, lo que no siempre sucede. Los reportes recibidos por la empresa de Consultora y Seguridad Informtica SEGURMATICA, demuestran que el hecho de que exista una proteccin tecnolgica en la frontera entre la red local de una empresa e INTERNET, no puede hacernos pensar que un cdigo maligno no pueda entrar con nosotros en un medio de almacenamiento empleado fuera de sta o que sencillamente nos entregue un cliente. No descartemos tampoco a las laptops, notebooks u otros dispositivos informticos tambin porttiles.

Las computadoras internas, la mayor proporcin, si no estn protegidas se pueden transformar en una amplia plataforma de propagacin. Basta con que una de ellas sea comprometida para que toda una red pueda quedar posteriormente a disposicin de un atacante. Es importante recordar que uno de los ardides ms empleados por los creadores de los programas malignos es la copia de sus cdigos hacia archivos con icono de carpeta con nombres atractivos con la finalidad de engaar a los usuarios para tentarlos a ejecutar un doble clic sobre ellos. Este es un ejemplo de ingeniera social. Mantener la vigilancia en la frontera es una necesidad, pero las medidas internas son de vital importancia, y all todos los usuarios de la Informtica somos responsables, no nos confiemos, no bajemos la guardia. Las modas cambian, antes eran disquetes, ahora dispositivos ms pequeos pero con mayor capacidad, hagamos lo posible porque la situacin no se repita. En el sitio Web de la empresa: http://www.segurmatica.cu, es posible consultar informacin sobre los programas malignos analizados en el Laboratorio antivirus, as como los servicios y cursos ofertados. A travs de la direccin de correo segurmatica@segurmatica.cu y el telfono 878-2665 se pueden consultar aspectos de seguridad informtica en general.