¿Que es "ejecución automática" (autorun)?: Es una ganzada ideada por Microsoft para que los usuarios se infecten con solo insertar un cd, dvd, pendrive, camara de fotos, montar un disco de red, etc.
¿Como funciona?: Explorer interpreta, si existe, el archivo autorun.inf que se encuentra en la raiz del dispositivo. Este autorun.inf le dice a explorer que ejecute lo que quiera.... en particular asi se transmiten el 80%-90% de los virus.
¿Cómo se SUPONE que se evitaba?: Se pueden hacer de dos maneras: usando gpedit.msc o seteando manualmente la sig. entrada del registro a 0xff:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoDriveTypeAutoRun
Yo prefiero esta última forma, ya que gpedit.msc no existe en las versiones Home Edition (cualquiera de las dos maneras hacen los mismo). La idea de esta entrada es que especifica en que tipos de dispositivos NO se interpretará los autorun.inf.
El problema es que esto no funciona; por ej, cuando uno hace doble click sobre el dispositivo en Mi Pc el tontito de explorer interpreta el autorun quieras o no.
Lo pueden verificar ustedes mismos, como yo lo hice a continuación (tengo XP Home actualizado):
Crean los siguientes archivos y los guardan en la raíz de un pendrive, cd, etc:
autorun.inf
Código:
[autorun]
open=virus.cmd
shell\Open=&Open
shell\Open\Command=virus.cmd
shell\Explore=&Explore
shell\Explore\Command=virus.cmd
virus.cmd
Código:
@echo off
echo hola, soy un virus y re rompo toda la maquina...
echo y a Microsoft no le importa.
pause
sacan el pendrive (de manera segura) y lo vuelven a poner. En ese momento, les tiene que aparecer un cartelito en la consola; si no, vayan a MiPc y hagan doble click enel icono del pendrive. Esto les va a pasar independientemente de lo que tengan en NoDriveTypeAutoRun. Imagenes que lo verifican:
¿Cómo se soluciona REALMENTE?: Bueno, hay que setear el NoDriveTypeAutoRun como puse antes y además instalar una actualización (parche entre nos). Para XP, windows 2000 y server 2003 esta actualización se debe llevar a cabo manualmente, no esta disponible en Windows Update. Vista y Server 2008 tienen una actualización automática que lo soluciona (después verifico). El update lo bajan siguiendo el link apropiado a partir de la siguiente página
http://support.microsoft.com/kb/953252
IMPORTANTE: Tienen que bajar la versión para su idioma; e.d el idioma que esta instalado en su sistema (seleccionar el apropiado en Change Language y apretar Change ) si no lo hacen, bajan el ejecutable incorrecto y la actualización falla.
Por ej, para XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=en
Cierren los programas corriendo y después de ejecutarlo, reinicien. Esto, entre otras cosas, les va a crear la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\HonorAutoRunSetting
con valor 1. El nombre podría haber sido: ReadNoDriveTypeAutoRunExplorerIdiot , pero prefirieron uno más corto y "honorable". Si por alguna razón (masoquismo, por ejemplo) quieren volver al viejo funcionamiento (e.d virus que se ejecutan desde pendrives) seteen esta entrada a 0. Ojo, que NoDriveTypeAutoRun sigue teniendo importancia, así que la tienen que configurar como deseen (yo le puse 0xFF, y es lo que recomiendo).
Comentario: Esta vulnerabilidad, al parecer, existe solo hace 9 añitos y es la forma más simple y difundida de esparcir malwares. Un aplauso para Microsoft !!!
Elforro.com
¿Como funciona?: Explorer interpreta, si existe, el archivo autorun.inf que se encuentra en la raiz del dispositivo. Este autorun.inf le dice a explorer que ejecute lo que quiera.... en particular asi se transmiten el 80%-90% de los virus.
¿Cómo se SUPONE que se evitaba?: Se pueden hacer de dos maneras: usando gpedit.msc o seteando manualmente la sig. entrada del registro a 0xff:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoDriveTypeAutoRun
Yo prefiero esta última forma, ya que gpedit.msc no existe en las versiones Home Edition (cualquiera de las dos maneras hacen los mismo). La idea de esta entrada es que especifica en que tipos de dispositivos NO se interpretará los autorun.inf.
El problema es que esto no funciona; por ej, cuando uno hace doble click sobre el dispositivo en Mi Pc el tontito de explorer interpreta el autorun quieras o no.
Lo pueden verificar ustedes mismos, como yo lo hice a continuación (tengo XP Home actualizado):
Crean los siguientes archivos y los guardan en la raíz de un pendrive, cd, etc:
autorun.inf
Código:
[autorun]
open=virus.cmd
shell\Open=&Open
shell\Open\Command=virus.cmd
shell\Explore=&Explore
shell\Explore\Command=virus.cmd
virus.cmd
Código:
@echo off
echo hola, soy un virus y re rompo toda la maquina...
echo y a Microsoft no le importa.
pause
sacan el pendrive (de manera segura) y lo vuelven a poner. En ese momento, les tiene que aparecer un cartelito en la consola; si no, vayan a MiPc y hagan doble click enel icono del pendrive. Esto les va a pasar independientemente de lo que tengan en NoDriveTypeAutoRun. Imagenes que lo verifican:
¿Cómo se soluciona REALMENTE?: Bueno, hay que setear el NoDriveTypeAutoRun como puse antes y además instalar una actualización (parche entre nos). Para XP, windows 2000 y server 2003 esta actualización se debe llevar a cabo manualmente, no esta disponible en Windows Update. Vista y Server 2008 tienen una actualización automática que lo soluciona (después verifico). El update lo bajan siguiendo el link apropiado a partir de la siguiente página
http://support.microsoft.com/kb/953252
IMPORTANTE: Tienen que bajar la versión para su idioma; e.d el idioma que esta instalado en su sistema (seleccionar el apropiado en Change Language y apretar Change ) si no lo hacen, bajan el ejecutable incorrecto y la actualización falla.
Por ej, para XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=en
Cierren los programas corriendo y después de ejecutarlo, reinicien. Esto, entre otras cosas, les va a crear la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\HonorAutoRunSetting
con valor 1. El nombre podría haber sido: ReadNoDriveTypeAutoRunExplorerIdiot , pero prefirieron uno más corto y "honorable". Si por alguna razón (masoquismo, por ejemplo) quieren volver al viejo funcionamiento (e.d virus que se ejecutan desde pendrives) seteen esta entrada a 0. Ojo, que NoDriveTypeAutoRun sigue teniendo importancia, así que la tienen que configurar como deseen (yo le puse 0xFF, y es lo que recomiendo).
Comentario: Esta vulnerabilidad, al parecer, existe solo hace 9 añitos y es la forma más simple y difundida de esparcir malwares. Un aplauso para Microsoft !!!
Elforro.com