lunes, 16 de marzo de 2009

Tools: Panda USB and AutoRun Vaccine (Free)

Panda Security, ha puesto a disposición de los usuarios Panda USB Vaccine, una solución de seguridad gratuita diseñada para bloquear el malware que se propaga a través de unidades extraíbles como llaves de memoria USB, CD/DVDs, reproductores MP3, etc.


Cada vez son más los ejemplares de malware, entre ellos el peligroso gusano Conficker, que se propagan mediante la infección de dispositivos y unidades extraíbles como llaves de memoria, reproductores MP3, cámaras de fotos, etc. La técnica utilizada por estos ejemplares es la siguiente:

El sistema operativo Windows utiliza el archivo Autorun.inf de las unidades extraíbles con el fin de saber qué acciones debe llevar a cabo cuando un nuevo dispositivo de almacenamiento externo, como una unidad USB o un CD / DVD, se inserta en el PC. Este archivo, ubicado en el directorio raíz de los dispositivos extraíbles, ofrece, entre otras cosas, la posibilidad de definir un programa que ejecute automáticamente parte del contenido del dispositivo extraíble cuando éste sea conectado a un PC. Esta funcionalidad está siendo utilizada por los ciberdelincuentes para propagar sus virus, mediante la modificación de ese fichero Autorun.inf con órdenes para que el malware que se ha copiado, por ejemplo, en una llave de memoria USB se ejecute automáticamente en cuanto ésta sea conectada a un PC. Así, ese PC quedaría infectado inmediatamente.

Para prevenir esto, Panda Security, a través de su división Panda Research, ha desarrollado Panda USB Vaccine un producto gratuito que permite llevar a cabo una doble protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la funcionalidad AutoRun, como de unidades y llaves USB individuales.

Vacuna de equipos: permite “vacunar” sus equipos para impedir que ningún archivo Autorun se ejecute independientemente de si el dispositivo en el que se encuentra (llave de memoria, CD, etc.) está infectado o no.

Vacuna de dispositivos USB: permite “vacunar” dispositivos extraíbles USB de manera individual, de tal modo que ningún archivo Autorun incluido en los mismos pueda ser una fuente de infección, ya que la herramienta los deshabilita, evitando así que puedan ser leídos, creados, modificados o suprimidos por un código malicioso.

Se trata de una herramienta muy útil, ya que no existe una manera sencilla de deshabilitar la opción de Autorun en Windows. Con esta herramienta, los usuarios podrán hacerlo de manera sencilla, logrando así un alto grado de seguridad respecto a las infecciones procedentes de dispositivos extraíbles.

Descarga


Fuente: research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx


Deshabilitar la funcionalidad autorun
- Para deshabilitar el autorun en Windows XP debemos ejecutar gpedit.msc desde Inicio/Ejecutar. En la nueva ventana abierta expandimos la carpeta ''Plantillas administrativas'' y luego hacemos clic sobre la carpeta ''Sistema''. Finalmente sobre la derecha de la ventana buscamos la directiva ''Desactivar reproducción automática'', le hacemos un doble clic y la configuramos marcando la opción ''Habilitada'' para ''Todas las unidades'' (el cambio también afectará a las unidades de CD/DVD).
- Evitar el autorun o ejecución automática cuando una memoria extraíble se conecta en el equipo, por ejemplo podemos presionar la ''tecla Shift'' mientras la conectamos.
- Deshabilitacion permanente: Se trata de Eliminar las subclaves en el registro de configuración de regedit, y “congelarlo”. Procedimiento:

1. Inicio -> Ejecutar -> regedit.
2. Buscar la siguiente clave del registro:

Windows XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Windows 2000:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints

3. Con el botón secundario del ratón, editar los PERMISOS de dicha clave.
4. Denegar el “control total” para todos los usuarios, incluyendo SYSTEM, nombre de PC, etc.
Aun cuando alguien tenga virus en un dispositivo como una memoria USB, de los virus que funcionan como autorun, este virus no será ejecutado. Dando tiempo al antivirus de escanear el dispositivo externo hasta su desinfección.

No hay comentarios: