viernes, 21 de agosto de 2009

Virus de pendrive... en pendrives, donde va a ser!

Hace algunos años, los tecnicos de pc tuvimos que empezar a lidiar con los virus. En un principio se trataba de cadenas de código autoreplicante, que se anexaban a los ejecutables y los "infectaban". En esa época los antivirus se encargaban de escanear y limpiar los ejecutables y, cuando las rutinas de deteccion descubrían el virus antes de que estuviera lista la rutina de desinfección, colocar el archivo en cuarentena esperando la cura.

Los mecanismos de infeccion eran azarosos para los que no andabamos por BBSs: el único modo era contagiarnos mediante algun diskette con archivos infectados, o un virus del sector de arranque. Cuando se popularizaron las grabadoras, quizas alguno haya llegado por un cd. Después vinieron los virus de macros en documentos de office, y luego la fauna de troyanos que conocemos ahora.

A mi siempre me interesaron los aspectos de ingeniería social en la distribución, es decir, aquellos que en vez de explotar vulnerabilidades del sistema se encargaban de explotar debilidades del usuario. Para nombrar un par, los archivos de extensión doble del tipo "miramisfotosentopless.jpg.scr" en el msn, y las páginas de falsos escaneos de disco como la que vimos aca me parecen ideas geniales.

Hace algún tiempo (dos o tres años aca en argentina, o desde que empece el blog) se popularizaron los discos extraibles en cualquiera de sus formas: pendrives, mp3, tarjetas de memoria etc, y los hacedores de virus observaron ese crecimiento con los ojitos brillantes por la emoción. Entonces se dedicaron a crear virus de pendrive.

Desafortunadamente para ellos, los diseñadores de pendrives y sistemas operativos ya no son como entonces: los discos extraibles no tienen autorun automático como los cds, y no se puede infectar el bootsector como en los diskettes. Es decir, que no hay manera de que el pendrive con virus infecte a la máquina sin intervención del usuario. Con solo enchufarlo no basta.

Y como cualquiera sospecharía de un archivo llamado "miraestevideocachondo.wmv.exe" en la raíz del disco (bueno, no cualquiera, seguro que algunos le harían doble click si se encontraran el pendrive tirado, pero digo cualquiera con dos dedos de frente, se entiende...), nuestros amigos tuvieron que buscar otras formas, principalmente de ingeniería social, para que el usuario ejecute el virus por si mismo en el uso normal del pen.

Detallo aqui los dos métodos que vi "in the field", con la esperanza de que mis lectores-técnicos de campo agreguen las joyas que hayan encontrado:

1) El viejo autorun.inf: Como ya vimos en este blog, es posible crear un autorun para asignar resultados específicos a las acciones sobre el pendrive. Así, un doble click al disco extraible desde Mi PC ejecuta sin preguntar el archivo que se indique en la linea open= o shellexecute= , mientras que si hacemos boton derecho sobre la unidad tendremos un menú que podemos personalizar a gusto. También se ejecuta la linea open= si aceptamos la accion predeterminada en el cuadro de dialogo de reproduccion automágica.

Usando este mecanismo, muchos virus de pendrive (la mayoría) se copian a la raiz del disco, y crean un autorun.inf oculto, que ejecuta el virus ante cualquier acción del desprevenido usuario. De estos vi también algunos que crearon una carpeta (oculta también) que pretendía pasar como una de sistema (recycler, por ejemplo) para dormir tranquilos ahi dentro.

El especimen mas raro que encontré de este tipo es uno que consistía en un autorun.inf solitario (sin ejecutable a la vista) ,de 140k. Al abrirlo, aparecía la maraña de caracteres especiales que uno ve cuando abre un binario con un editor de texto, con alguna cadena legible a lo largo del archivo. Me imagino que sería un combo autorun/virus, lo cual sería interesante para tratar de descubrir como corno ejecutas un .inf, o algún método para evitar el borrado del autorun, lo cual sería inteligente, o algun truco para hacerme creer eso, lo cual sería humillante. Elijan la que quieran.

2) La nunca bien ponderada falsa carpeta: Esta la vi ayer, y me parece genial. Una compañera de laburo/cliente le compro un Mp5 a la hija, y me lo trajo porque no podía cargarle música, ni sacar las fotos de adentro, y el antivirus saltaba cada vez que quería abrir una carpeta. A pesar de eso, el aparato funcaba. Cuando lo conecté encontré algo como esto:


El fucking virus había ocultado las carpetas reales, y había creado sendos ejecutables con el mismo nombre e icono! También había un ejecutable suelto y un autorun, para no dejar vector de ataque sin usar. El usuario entraba al aparato, y solo podía ver los ejecutables, por supuesto, sin las extensiones… lo cual es un excelente modo de hacer que cualquiera haga doble click sobre tu virus.

A pesar de la inventiva de los muchachos, hay que decir que cualquiera de estos métodos queda al descubierto cuando tenemos acceso al pendrive con vista de extensiones, archivos ocultos y de sistema; y que es posible (por ahora, al menos) explorar cualquier pendrive sin riesgo abriendo el explorador de windows a mano, y simplemente eligiendo la unidad con un click en el arbol de directorios. Por supuesto, en una máquina limpia! Porque teniendo control sobre la maquina host, cualquiera puede ocultarte lo que no quiera que veas.

Para terminar, les dejo una segunda recomendación: inmunicen su pendrive, y los de sus usuarios. No es necesario instalar nada, ni llevar un antivirus. Basta con seguir el método de CoskiBukowski, creando una carpeta en la raiz con el nombre autorun.inf, asi cuando ponemos el pendrive en una maquina con virus el maldito no puede crear su autoarranque, y el pendrive colecciona los ejecutables sin contagiar. Esto nos deja sin el bonito autoarranque, pero nos libera de revisar el pendrive cada vez que pasamos por una maquina sospechosa.

Fin. Enjoy!

18 comentarios:

Leo Coka dijo...

Muy buena nota. He presenciado varias veces el primer caso.
Te cuento que hace varios años, previo a la llegada y/o masificación de las grabadoras, los discos rígidos "grandes", internet, pendrives, etc, con un amigo viajamos para conseguir un par de juegos piratas que nos grabaron comprimidos/divididos en varios diskettes, y bastó con que el contenido de un sólo diskette haya sido modificado para echarlo a perder( al juego ) y notificarnos la existencia de la otra programación.

PD:Sí, hace algún tiempo había discos rígidos que almacenaban megabytes, "la red de redes" no existía #Aunque Ud. no lo crea..., y sí, la piratería ya existía desde tiempos inmemoriales.
Me pregunto si en los cassettes que tardaban de 30 minutos a 1 hora en la commodore para cargar un juego, tras esa espera ilusionada, no lograban cargarse... ¡Me excedí!
Saludos.

486 dijo...

Leo: justamente estaba pensando en esos tiempos. Tuve mi primer PC a los 20 años,en 1994: un 486, con 4Mb de ram y disco de doscientos y pico de megas. Y también me contagié por un virus de diskette, que si no vino con alguna copia pirata del doom vino con un diskette de animaciones porno (parecidas a lo que sería un gif animado de 100x100). Me acuerdo de que lo saque con una copia tambien pirata del fprot, que debe ser el unico antivirus que compre en mi vida.
En la commodore no tenía dataset, pero si un juego tardaba una hora en cargarse, algo andaba muy mal!

Claudio dijo...

pues esa solución esta digamos "obsoleta", a decir verdad, el virus también hace réplica de la carpeta "autorun.inf" a "autorun.inf.exe", una solución que encontré y que hasta ahora me ha servido de mucho es usar la utilidad de panda para crear un archivo "autorun.inf" pero que éste no pueda ser modificado, ni eliminado, ni mover, copiar o lo que sea, la aplicación se llama Panda USBVaccine, puedes encontrarlo aca: http://www.pandasecurity.com/spain/homeusers/downloads/register?CodigoProducto=99&TipoLead=2&TipoUsuario=11&Tipo=5&Ref=WWES-USBVACC-DES&Idioma=1&Country=ES&DocId=F58&sec=down

P.D.- debes contestar una encuesta, que no cuesta nada.

Me comentas como te fue. Salu2 desde Perú

[486] dijo...

Claudio: es cierto, la solucion es obsoleta desde que existe el método 2. Pero de todos los pendrives con virus que me crucé (muchos), solo encontré uno con este virus en particular. Además, el hecho de que el virus pueda replicar mi carpeta autorun no implica que pueda borrarla para poner su archivo de autoarranque, con lo que la solución es tan eficiente como la de Panda.
Para los virus del tipo 2, la solucion sigue siendo de sentido común: si veo carpetas en la vista de archivo y NO en el arbol de directorios... es que no son carpetas.

Roudy dijo...

He llegado al blog, gracias a la entrada de Guillermo en alt-tab que habla sobre el virus. Me he suscrito al feed. Buen blog, como este pocos. Un lector más. Saludos.

jomiro dijo...

un par de maneras que uso para desinfectar un pendrive ya infectado cuando no se puede abrir o te pide que escojas un programa para hacerlo es usar el winrar o en una pc con cualquier distribución de linux, así es muy fácil borrar el autorun.
saludos

Claudio dijo...

Tienes razón, aunque a decir verdad me topé con el virus que hace replica en varias usb, y siempre se daba en la U xD en la U de mi hermano, un dilema, por eso tomé como solución "adecuada" el crear el archivo "autorun.inf" ... De todas maneras ambos metodos funcionan. Salu2

Leo Coka dijo...

Jeje... no sé el tiempo que transcurría exactamente, pero el problema era que tras la espera, muchas veces, algo fallaba y era necesario volver a repetir el procedimiento.
No me comentaste si recibiste/observaste las búsquedas en google que te linkearon.
Saludos.

486 dijo...

Roudy: pase, y acomódese. Le aviso, de todos modos, que escribo bastante poco. Ya quisiera yo tener la productividad de Guillermo, manteniendo el nivel!
Jomiro: me ha pasado tener que borrar el autorun desde linux, y la verdad es que me confunde bastante...¿Cómo el sistema puede bloquear el acceso a un archivo que no está en uso, siendo yo el administrador del equipo? Si alguno sabe qué hace que me avise.

Anónimo dijo...

papa!!! te quiero sos muuy bueno TU HIJA (QUE SABE ESCRIBIR ) estoy en tu trabajo

Marcos9 dijo...

Hola 486 queria compartir con los colegas una gran solución que encontre para el virus del pendrive y cualquier otro, ademas de otras ventajas.
Cansado de escanear el pendrive despues de insertarlo en cabidades USB de dudosa limpieza (lease cualquier maquina que no sea la mia) lei por ahi que habia un programita que permitía bloquear cualquier intento de escritura, lo cual hacia el pendrive mas seguro contra los virus y los borrados accidentales de archivos. y asi fue que me acordé que algunas memorias de las camaras digitales traen la palanquita del Lock para que no se puedan borrar las fotos. y desde entonces confiando mas en una solucion por hard (que ningun soft pueda burlar) me compre una memoria SD y un lector USB con forma de pendrive y no te puedo explicar la tranquilidad que me da saber que mi pendrive ahora es inmune al mas feroz de los formateos y por supuesto tambien de los virus. solo lo desbloqueo en mi maquina para agregar o quitar algo. para sacar datos de una maquina infectada ahora uso mi anterior pendrive de 2GB, que ya no me importa si se infecta. Aunque igual tiene la capeta autorun.inf por las dudas.

CoskiBukowski dijo...

Marcos, yo también tengo SD y lector portatil, es copado.
También recuerdo que venían, o solían venir, pendrives con switch de "lock" antiescritura... lástima q ya no los hagan (al menos no los mas populares), siendo una cosa tan boluda de fabricar e implementar...

De cualquier manera, yo salgo con mi pen y lo meto en cualquier lado, sabiendo q cuando vuelva a casa, lo enchufo en Kubuntu y me cago de risa.

Saludos!

Marcos9 dijo...

si Cosky, en Kubuntu te cagas de risa, pero vos no te dedicas 100% al servicio tecnico de maquinas con Windows. yo por mas que lo intenté muchisimas veces, todavia no puedo dejar de tener alguna version de windows (XP, Vista o Seven (el que estoy usando ahora)). busqué de esos pendrives con la palanquita pero no consegui nada. hasta ahora la SD anda 11 puntos.

486 dijo...

Marcos: esta muy bueno el método, pero te perdés la diversión!
El hecho de que tantos virus usen el pendrive para expandirse hace que un pen con la carpeta autorun.inf sea también un buen buchon del estado de infección de la máquina.

Marcos dijo...

jajaja. puede ser que me pierda la diversión, pero la verdad no me causa ninguna gracia sacar bichos todo el día. y para saber el estado de infección de una máquina utilizo un método infalible. (Todas están infectadas hasta que demuestren lo contrario). Saludos!

Angel Sanz dijo...

Hola que tal? Soy Angel Sanz, Te interesa poner anuncios de texto en tus blog.
Puedes ganar hasta 50 euros por cada blog o web.

Le rogamos nos remita los blogs , para poder revisarlos
Saludos cordiales.


Angel
tel : 691533734 // España +34

Puedes contactar por mesenger si quieres:

angelsanz.comercial@hotmail.com


Puedes contactar por facebook si quieres :

angelsanz.comercial@hotmail.com



Tambien tenemos un sistema de referidos , que ganas una comision mensual
por cada pagina o blog del usuario que traigas , la comision de referidos es de 10 hasta 50 euros mensual por pagina o blog.

Anónimo dijo...

Hola.

¿A que te referís con no dejar un vector de ataque sin usar?

Eso nomas... nos vemos.

pki dijo...

Apliqué lo de la carpeta autorun.inf... muy efectivo. Saludos!