martes, 30 de octubre de 2007

Autorun como los grandes. Y de yapa Disk Knight

Ayer puse mi pendrive de 1Gb en la máquina de un cliente, y al intentar correr el hijackthis me apareció este cartelito:


Es el aviso de Disk Knight, un pseudovirus que dice protegernos de las cosas que el mismo hace: la ejecución de programas desde dispositivos móviles.

Sería una buena idea, si no fuera porque se instala sin permiso en el disco y en todas las unidades extraibles (pen drive, tarjetas de memoria, Mp3, cámaras etc.), les cambia el ícono y las opciones de autoarranque. Entonces pasa a ser una molestia.

La solución al problema es simple: matar el proceso knight.exe, entrar a la raíz del pendrive con vista de archivos ocultos, de sistema y protegidos (es fácil con VC u otro bajo DOS), y borrar el autorun.exe y el knight.exe.
Si tenemos dudas por si pudiera quedar algún rastro residente en nuestra máquina, podemos correr también este cleaner.

Aquí termina lo del truchovirus, pero no el post.

Ya en otras ocasiones le envidié a los virus de pendrive la capacidad para ejecutarse de varias maneras en unidades extraibles, por eso me guarde el autorun.inf y le dedique unos minutos.

Aquí lo tienen:



[autorun]

open=Knight.exe open
icon=Knight.exe,0
(el autorun.inf de siempre)
shellexecute=Knight.exe open
(Esta linea redunda, y pasa por arriba -overrides- de lo que esta en "open=")
shell=auto
(indica cual de las acciones es predeterminada. Ésta se ejecuta con un doble click en el pendrive desde Mi Pc)
action=Disk Knight(Protection Against Mobile Disk Viruses)
(Esto es lo que figura en el menu en XP SP2)
shell\auto=&Auto
shell\auto\command=Knight.exe open
shell\open=&Open
shell\open\command=Knight.exe open
shell\explore=E&xplore
shell\explore\command=Knight.exe open
shell\find=S&earch...
shell\find\command=Knight.exe open
shell\install=&Disk Knight
shell\install\command=Knight.exe open
(Items del menú contextual. Suplantan a los predeterminados y hasta donde probé no tienen límite de cantidad)


Luego de la investigación, me dispuse a arreglar el autorun de mi pendrive para incluir alguna de esas funciones, y lo dejé así:


[autorun]
open=..\BootCD\WinTools\autorun.exe open
icon=..\LupoPenSuite\asuite.exe,0
shellexecute=..\BootCD\WinTools\autorun.exe open
shell=explore
action=Hirens
shell\auto=&Hirens
shell\auto\command=..\BootCD\WinTools\autorun.exe open
shell\open=&Lupo
shell\open\command=..\LupoPenSuite\asuite.exe open
shell\explore=E&xplorar
shell\explore\command=..\LupoPenSuite\Apps\FreeCommander\freecommander.exe open
shell\find=J&ugar...
shell\find\command="..\LupoPenSuite\Games\Base\Portable Puzzles\8start.exe" open
shell\install=&PCrepair
shell\install\command=..\pcrepairsystem\dcotmenu.exe open


Esta configuración abre el menú de utilidades para windows del hirens desde la ventana de autorun y el comando del menu contextual "Hirens"; el freecommander en la raiz del pendrive con un doble click en Mi Pc y seleccionando "Explorar"; y agrega entradas de menú para el launcher de la Lupo Pensuite, el de los portable puzzles y el del PCrepairsystem.



De yapa tienen una colección de launchers portables para probar. Por mi parte, todavía no encontré uno que suplante a mi PStart. Have fun!

11 comentarios:

Apuromafo dijo...

http://www.google.com/search?hl=es&q=ariful.esmartweb.com&lr=

creo que el autor es el dueño de este googlepages..
yo diria que la ultima version es esta
http://deshiware.googlepages.com/Knight.zip

eso he visto en google dicen tb que tiene como 19--
jej
emm yap..

autorun o no..es posible quitarlo y eso es lo bueno..taskill tskill jeje
salu2 Apuromafo

Apuromafo dijo...

haha hay hasta en ingles
http://www.mikeyleung.ca/2007/08/07/disk-knight/

Anónimo dijo...

Muchas Gracias! Me ha sido muy útil!!

Fito Gorv dijo...

Gracias hermano.. era justo lo que buscaba.. increible como se pueden llegar y cambiar los comandos shell..

Apuromafo dijo...

mas interesante como desactivarlos ;)
http://www.hispasec.com/unaaldia/3503

saludos Apuromafo

Anónimo dijo...

Yo creo que lo mejor en estos casos es la vacuna que leí en el blog de coski (otro-geek-mas.blogspot.com): crear en todos nuestros pendrives la carpeta autorun.inf, para que los virus no puedan meter su autoarranque.

Anónimo dijo...

Mediocres, sigan jugando... yo sigo destruyendo.... ñejejejej

Anónimo dijo...

[AutoRun]
;YmALdhxQx
;EyOf
opEN=uyaol.pif
;lEIlpnFuOnYbtKDWdhCYBigUofuej PsuFKFSPexpXfOhONniQwRqKGft qFoOv
shell\explore\ComMand= uyaol.pif
;VwhHx
sheLL\opEn\dEFAult=1
;nKsmScgalpuslGFowUXe DHwR
Shell\open\command = uyaol.pif

;JVyDeGDbunjqXMuu
sHell\AutOPLaY\CoMmaNd=uyaol.pif
;

[486] dijo...

Pregunta Jcoreas:
"solo queria preguntarle
que si para hacer un cd autoejecutable, hago el autorun, y en el caso que quiero ejecutar unos archivos mp3, en la sentencia OPEN el archivo exe seria el del programa que abre los archivos mp3. y que si tanto el archivo autorun y el .bat solo los copio en la raiz del directorio del cd, y lo quemo con cualquier programa que lo pueda hacer. perdone la ignorancia, pero quiero armar un cd que se abra en cualquier medio ya sea pc o dvd para un evento evangelistico, gracias por su ayuda."

Jcoreas: el archivo autorun.inf va en la raíz del cd. Podés incluir en el mismo cd un programa para reproducirlo, hacer un bat que abra el programa con el playlist como parámetro, algo como:

@echo off
start winamp.exe playlist.m3u
exit

o directamente poner el playlist y abrirlo así

[autorun]
OPEN=start \Playlist.m3u

, que abre la lista con el programa que esté instalado.
Los dvd van a ignorar los archivos que no sean de audio, así que no creo que puedas obligarlo a seguir una lista de reproducción.

camilo dijo...

Buenas tardes, ando en un proyecto donde quiero ubicar un pdf o un swf dentro de una usb. Entregarlo a un cliente y que éste al insertarlo en un equipo le abra dichos archivos. He intentado con el autorun.inf pero no funciona, alguien sabe el por qué?. De antemano Gracias.

[486] dijo...

Camilo: Veo algunas dificultades en lo que querés hacer: La primera, que el autorun del pendrive no es tal: lo mejor que se puede lograr es que al insertar el pendrive nuestra opción predeterminada en el autorun salga al tope de la lista de acciones. En ese caso para abrir un pdf o un swf lo mejor es incluir en el pendrive el programa (como foxit, o un navegador portable como Opera, que trae el flash) y en el autorun abrirlo con el comando para que busque directamente el archivo.

El segundo problema es que la mayor parte de los virus de pendrive usan el autorun.inf para ejecutarse al hacer doble click (mirate el post aca arriba), con lo que muchos antivirus y protectores residentes te van a bloquear la ejecución (cuando no borrarte directamente el autorun).

Si igualmente querés hacerlo avisá como te fue!
Saludos.