Los dispositivos removibles y transportables como los antiguos disquetes siempre han sido una buena herramienta para que los creadores de malware difundan sus programas dañinos y si bien con el advenimiento de Internet parecían haber caído en el olvido, aquellos móviles, como memorias flash y llaves USB, revitalizaron el problema.
La posibilidad de que el malware aproveche estos avances tecnológicos para obtener nuevos canales y medios de propagación, constituye una de las tendencias de este y los próximos años, ya que cualquier medio utilizado maximiza la cantidad de infecciones y con ello, las ganancias de los creadores de malware.
Los medios de almacenamiento masivo a través de conexiones del tipo USB, como los pendrives, las memorias y cualquier otro dispositivo removible, representan un punto vulnerable para cualquier sistema informático, debido a la masividad de su uso y facilidad de conexión. Por ello, requieren ser controlados y además deben conocerse las formas de infección utilizadas.
En el caso de la propagación a través de dispositivos USB, el malware se vale de un archivo llamado autorun.inf que se encarga de ejecutar un código malicioso (generalmente un archivo ejecutable) en forma automática cuando el dispositivo es insertado en la computadora.
Esta funcionalidad se encuentra habilitada por defecto y lo que hace el sistema operativo es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano (el autorun.inf). Si lo encuentra, ejecuta las instrucciones especificadas en el mismo.
Este archivo es cargado automáticamente (a menos que se indique lo contrario) cada vez que se conecta el dispositivo en el sistema y realiza las tareas que se establecen en cada una de sus líneas. Si entre ellas existe un comando para ejecutar un archivo ejecutable malicioso, el sistema será infectado.
A modo de ejemplo, se observa un archivo autorun.inf:
Este archivo se trata de un documento de texto en el que se indica que cuando el usuario intente explorar (shell\explore) o abrir (shell\open) el dispositivo, se ejecutará un archivo denominado bltkced.exe (este archivo cambiará con cada malware específico).
Entonces, es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí puede serlo y, en ese caso, este último es el código malicioso. Cuando un autorun.inf ejecuta un código malicioso es detectado por ESET NOD32 como INF/Autorun.
Hay una infinidad de malware que utiliza este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.
De la misma manera, cada vez que un nuevo dispositivo de almacenamiento masivo es insertado en la computadora comprometida, el malware se copia a sí mismo en el nuevo medio extraíble y así sucesivamente hasta infectar la máxima cantidad de computadoras posible. Por este motivo, debe llevarse a cabo el control del dispositivo o prevenir su ejecución automática.
La tendencia expresa claramente que la utilización de este tipo de dispositivos se incrementa rápidamente habiéndose convertido en uno de los medios más elegidos por los diseminadores de malware. Por ejemplo, esta metodología de infección fue utilizada para la propagación de la amenaza INF/Autorun que se encuentra entre los primeros lugares de las estadísticas de ESET Latinoamérica durante todo el 2008.
La facilidad en el aprovechamiento de los dispositivos móviles para propagar amenazas se ve reflejada en la gran cantidad de malware que son propagados a través de esta técnica, siendo sus principales especímenes los troyanos del tipo OnlineGames, orientado a obtener usuarios y contraseñas de jugadores online y del cual ESET Latinoamérica desarrolló un completo informe acompañado de un Video Educativo sobre su funcionamiento.
Es muy importante que los usuarios tomen conciencia del peligro que representan los dispositivos de almacenamiento removibles debido a la facilidad con la cual pueden disparar infecciones de cualquier tipo de malware. Estas amenazas se actualizan constantemente (varias veces al día) por lo que es fundamental tomar precauciones y llevar a cabo mínimas medidas de protección:
• En las organizaciones, es fundamental establecer políticas de seguridad claras con respecto al uso de dispositivos móviles y que los usuarios conozcan y respeten estas políticas.
• Limitar el acceso a estos dispositivos y registrar el uso de los mismos.
• En casos extremos se puede bloquear, por medio de políticas de grupo, de dominio o corporativas, el uso de estos dispositivos.
• Si se transporta información confidencial en estos dispositivos, debería permanecer cifrada para evitar su lectura en caso de extravío o robo del dispositivo.
• Prestar especial en el uso de estos dispositivos, ya que el traslado y la inserción en otros equipos pueden hacer que permanezca infectado durante cierto tiempo y con él se propague malware sin saberlo.
• Ya sea en el hogar o en las organizaciones, revisar con un antivirus con capacidades proactivas cualquier dispositivo que se conecte a la computadora para detectar amenazas conocidas y desconocidas, justamente por la gran cantidad de malware existente para estos medios.
Si bien la cantidad de variantes actuales de malware para medios removibles es muy significativa, conociendo el funcionamiento de estos dispositivos y con las recomendaciones mencionadas, es poco probable resultar infectado por este tipo de amenazas.
Fuente: www.esetuniversity.com
