Hace un tiempo nuestro laboratorio viene notando una clara confusión en torno a lo que realmente constituyen los archivos Autorun.inf, donde la confusión radica básicamente en si este archivo es o no un código malicioso.
La realidad es que existen muchas aplicaciones que si bien no son desarrolladas precisamente con ánimo malicioso son aprovechadas a tal efecto debido a las características y funcionalidades que ofrece.
Un claro ejemplo de ello son las herramientas de Administración remota donde muchas de ellas fueron creadas para facilitar los trabajos de mantenimiento de diferentes plataformas sin la necesidad de tener acceso físico a los equipos, pero que pueden ser utilizadas por usuarios maliciosos para violar la seguridad de los sistemas.
El mismo criterio puede ser utilizado para los archivos Autorun.inf, pero con la diferencia de que por sí solos no constituyen una amenaza, ya que simplemente son archivos de texto plano sin formato utilizados para realizar una acción en forma automática en sistemas Windows.
Sin embargo, es justamente esta característica la que hace que dichos archivos sean utilizados con fines maliciosos por los creadores de malware, ya que de esta manera pueden infectar un sistema informático con el sólo hecho de insertar una unidad extraíble en el equipo.
ESET NOD32 Antivirus y ESET Smart Security detectan de forma genérica a los códigos maliciosos que aprovechan esta funcionalidad bajo el nombre de INF/Autorun, siendo la vía de propagación más explotada por esta metodología de infección los dispositivos de almacenamiento USB.
En tal sentido, se debe tener claro que las acciones llevadas a cabo por las diferentes soluciones de ESET de detectar y eliminar esta amenaza se fundamenta, como con cualquier malware, en bloquear la actividad del código malicioso; es decir, del archivo ejecutable (malware) que se encuentra asociado al archivo Autorun.inf.
Veamos un ejemplo concreto que despejará aún más las dudas:
Por lo general, estos códigos maliciosos se diseminan con atributos de oculto, es por ello que la mayoría de las veces pasan totalmente desapercibidos ante los ojos de los usuarios que al conectar el dispositivo activan las acciones de ejecución maliciosas que se encuentran especificadas en el archivo Autorun.inf (que también suele tener atributos de oculto).
Miremos más de cerca el contenido de un archivo Autorun.inf utilizado por un malware:
En la imagen, observamos el contenido del archivo Autorun.inf, en cuyo caso, la amenaza está dada por el archivo ejecutable “RunDll32.exe”, por lo que el software de seguridad eliminará este archivo. Al quedar solamente el archivo Autorun.inf no constituye ninguna amenaza, ya que su archivo asociado “RunDll32.exe” ya no existe.
Durante los últimos meses este tipo de código malicioso ha alcanzado altísimas tasas de infección y, como lo adelantamos en las tendencias para este año, aparentemente continuará bajo este camino. De hecho, nuestro servicio de Alerta Temprana ThreatSense.Net nos viene indicando hace varios meses que INF/Autorun forma parte del top ten del total de las amenazas más detectadas mensualmente, lo cual demuestra y deja en evidencia que muchas veces no se toman en serio las medidas básicas de seguridad tendientes a prevenir las infecciones.
Por lo tanto, es muy importante tener en cuenta medidas básicas como actualizar cotidianamente nuestra solución de seguridad, ya sea en forma manual o en forma programada. Pueden aprender cómo configurar soluciones de ESET para que realice tareas programadas en “Exploración desatendida con ESET Smart Security”. Tanto ESET NOD32 como ESET Smart Security comparten la misma modalidad de configuración para este fin.
Algunas otras contramedidas son: configurar las opciones de carpeta para poder visualizar archivos con atributos de oculto, extensiones de archivos, etc. En el artículo “Ingeniería Social aplicada al malware” pueden encontrar más información relacionada a las acciones más comunes que en este sentido realiza el malware actual y las medidas de protección que nos ayudarán a prevenir potenciales infecciones.
FUENTE
Gracias por leer este post.Ahora puede
dejar su Comentario (0) o
enlazarnos.
Leer más
Post Relacionados:
Related Post
- Extraña infección masiva causa gran cantidad de tráfico
- Un gusano infecta PCs recodificando archivos MP3 de las P2P
- Múltiples ataques, una sola defensa
- ELPAIS.com: “sitio peligroso” según McAfee
- Ladrón que roba a ladrón…
- Nueva version del MBR rootkit ha sido descubierta
- Tarjetas virtuales y heurística
- PandaLabs descubre una nueva vulnerabilidad en Access que está siendo utilizada para infectar ordenadores
- La pornografía y el malware
- Pamela Anderson, Michael Jackson o Harry Potter, algunos de los ganchos empleados para distribuir el troyano Downloader.SQV
- Infección en el día de los enamorados
- Spam + Malware: una combinación explosiva
- La infección masiva surgió en servidores Apache
- Los juegos online, una puerta al malware
- 500.000 nuevos ordenadores son infectados con bots cada día.
- Miles de sitios modificados con script dañinos
- Falsas actualizaciones de Windows XP y Vista
- Antivirus XP 2008 ahora es MS Antivirus
- Nuevo malware interviene el portapapeles de Windows
- Publicidad online descarga malware
- Como envía spam Angelina
- La seguridad de Windows Vista, inútil
- Eliminar Antivirus XP 2008
- Serial para Antivirus XP 2008
- Antivirus XP 2008, una pesadilla
- Falsos perfiles en Twiteer propagan malware
- Prevenir la ejecución automática de malware a través de USB
- Falsos mensajes de Orkut con malware
- Muchas famosas y mucho malware
- Hentai malicioso
- Consejos útiles contra el malware 2.0 en Windows
- Cuidado con los falsos programas de limpieza de virus
- Malware a través de archivos MP3
- El futbolista Ronaldinho se convierte en el nuevo cebo para distribuir malware
- RealPlayer 11.0.3 corrige varios errores de seguridad
- Propagación de malware que simula provenir de la BBC News
- Supuesto correo de UPS con malware
- Propagación de malware vía correos legítimos (III)
- Propagación de malware vía correos legítimos (II)
- Postales falsas de MetroPostales
- Stop…badware!
- Campaña masiva de malware a través de sitios pornográficos
- Los gigantes de la Red se movilizan contra un grave agujero de seguridad
- Video del rescate de Ingrid Betancourt propaga troyano
- Pornografía, codec y malware = Potencial infección
- Solo cuatro boletines en julio, todos importantes
- Microsoft, Google y Paypal se unen para suprimir las contraseñas
- Microsoft repite parche de seguridad para Windows XP
- Juegos olímpicos, excusa para propagar malware
- Virus o marketing viral
- Proteja su router del ataque del Zlob
- Otro viaje en el tiempo: el gusano MyDoom
- El malware en sitios de confianza aumenta un 400%
- Nuwar vuelve a la carga
- El 88% de los usuarios aprueban el UAC en Vista
- Nuevo ataque de malware a WordPress
- Video variant …
- Falsa alerta de infección que copia ventana de NOD32
- Spam utilizando Google como señuelo
- ¡Cuidado con el rogue!
- Miles de foros de phpBB infectados
- Scripts de China infectan miles de sitios
- Bloqueo de sitios con ESET
- Netsky: peligrosamente insistente
- Acciones inofensivas y el malware
- Sitios conocidos para promocionar Viagra
- Descarga de malware a través de scripts dañinos
- Buscadores utilizados para difundir malware
- Un ASF puede infectar
- Eludir la protección de Vista, o programar como se debe
- Cómo eliminar de la PC datos personales antes de venderla
- Sitios populares con código malicioso, el gran problema
- Falsa actualización crítica de Flash Player
- Flash Player 9.0.124.0 corrige grave vulnerabilidad
- HP distribuye memorias USB infectadas con gusanos
- Ocho boletines de seguridad, cinco parches críticos
- El gusano April Fool Storm ataca el correo de las PCs
- Crear malware con prisas… …no trae nada bueno.
- El negocio de los códigos maliciosos
- Basura para generar PIN de tarjetas para móviles
- Mi mulita me engaña
- Britney Spears, Paris Hilton y Shakira infectan ordenadores
- Spam a través de enlances legítimos
- Se detecta una nueva vulnerabilidad en Word
- Crea una contraseña segura en 5 pasos
- Internet Explorer 5 y 6 son vulnerables
- Propagación de malware a través de importantes foros (y II)
- Propagación de malware a través de importantes foros
- Error en RealPlayer utilizado para descargar malware
- La estafa del MonaRonaDona y el antivirus falso
- CeBIT 2008: la meca de los ladrones de datos
- Saltando herramientas de seguridad con JavaScript
- Los virus se transmiten entre los móviles igual que la gripe entre los humanos
- Pornografía dura en Google Groups y troyanos
- Análisis de virus gratuito
- Falsas aplicaciones de seguridad
- Vulnerabilidad en el proceso de mensajes de ICQ
- Otra cajita de herramientas maliciosas
- Videos Educativos sobre Seguridad Antivirus
- Regresa cuando quieras, no borramos nada
- Thunderbird 2.0.0.12 corrige varias vulnerabilidades
- Los codecs y la pornografía
- Google, páginas de error 404 y malwares
- Opera soluciona problemas y critica a Mozilla
- Spammers rusos vulneran protección de Gmail
- Windows Vista SP1 Crack
- Seis boletines críticos de un total de once
- MySpace, Yahoo! Music y otros, usan ActiveX vulnerables
- Actualización de Sun Java soluciona 370 fallos
- Exploración desatendida con ESET Smart Security
- Mejoran exploit que afecta al kernel de Windows
- Virus amenaza con matar a usuarios de redes P2P
- ESET Uruguay reporta mensaje con foto “torpedo” conteniendo un troyano
- Dos nuevos gusanos utilizan San Valentín como cebo para propagarse
- Ejecución remota de código en BitTorrent y uTorrent
- Vulnerabilidad en protocolo Chrome de Firefox
- El 80 de los sitios maliciosos son legítimos
- ESET NOD32 Antivirus: corrigiendo errores
- Exploit para primera vulnerabilidad de Windows en 2008
- Configurando ESET NOD32 Antivirus en MSN
- Rootkit del sector de arranque, más ruido que peligro
- Apple QuickTime 7.4 corrige cuatro vulnerabilidades
- Vundo-Winfixer y los virus de compañía
- ESET SysInspector Beta Program
- ESET SysInspector
- Microsoft informa de un agujero de seguridad en Excel
- Un nuevo troyano en Estados Unidos infecta 10.000 ordenadores
- Banda ancha es autopista de piratas
- El primer malware para iPhone, una advertencia
- VideoMensagem recebida com sucesso!
- Falsos perfiles de MySpace explotados por sitios chinos
- El asesinato de Bhutto se utiliza para propagar malware
- Nuevos sitios navideños con Nuwar
- Cuidado con las tarjetas de felicitación electrónicas
- Cómo hacer para que Windows sea un poco más seguro
- Infección por noticias musicales
- Preguntas atemorizantes…
- Ya hay casos de amenazas informáticas por Navidad
- Ranking de ESET de Noviembre: crece la propagación de malware orientado al robo de datos
- Detienen a un hacker de 18 años que se había introducido en 1,3 millones de ordenadores
- La mayor amenaza a la seguridad son los usuarios
- Tu PC puede estar infectado sin tu saberlo… según un estudio de ENISA
- Lanzamiento de las versiones Business Edition de ESET Smart Security y ESET NOD32 Antivirus v3.0
- Desaparece de Internet el mayor portal de creación de virus
- Más malware de Windows Live Messenger en español
- Phishing a VISA
- Ya están disponibles ESET Smart Security y ESET NOD32 Antivirus v3.0
- WIN32/SPY.BANKER.OLC
- El 26% de los ordenadores están infectados con malware activo, según datos de Infected or Not
- Cuando quedan rastros del malware
- BitDefender detecta el 99.51% del malware
- Una risa contagiosa
- El malware vuelve a crecer con 9.500 páginas webs infectadas cada día
- Comunidad de noticias Reddit redirige a sus visitantes a una infección
- Actualización de seguridad para QuickTime 7.1.6
- EliStarA
- EliStarA 13.93
- Symantec Yahoo! Toolbar
- Listado de Codecs falsos
- WordPress: de nuevo un servidor de descarga oficial comprometido
