PROTEGER CONTRA VIRUS USB

Los tiempos cambian, le tecnología cambia, y los virus también. 

Algunos de nosotros somos de la generación de los virus Michalangelo, el virus de la pelotita, el Omicron-PT, el Viernes-13, el Barrotes y una larga lista que causaron estragos en las computadoras de aquella época dotadas con el sistema operativo DOS. 

La vía de contaminación en aquellos entonces, eran los sectores de arranque (BOOT) y los sectores de arranque maestros (MBR) de las unidades de almacenamiento extraíble (los disquetes). Al no existir una red de comunicación como lo es hoy internet, la difusión de cualquier tipo de información se realizaba mediante disquetes. Los virus normalmente, en aquellos entonces, eran reivindicaciones sociales, ego's, o simplemente por el hecho de disfrutar dañando a terceros. 

Hoy en día los virus han mutado hacia nuevas formas, y vías de contaminación. Técnicamente son peores, y utilizan lenguajes de programación de más alto nivel, por lo que se necesitan menos conocimientos para crearlos, así como para eliminarlos. Aunque esto es largamente debatible porque también hay que tener en cuenta que el sistema operativo ha ganado en complejidad y nos complica dicha tarea. 

Vamos a analizar con detenimiento una de las últimas amenazas, las memorias Flash USB. Están siendo la vía de contaminación de nuevos virus, y por suerte, pocos de los creadores de antiguos virus sigue en activo o con ganas a días de hoy de dañar a la comunidad. Claramente este tipo de memorias han suplantado, y siguen haciéndolo, a la extinta disquetera. Microsoft añadió un sistema de 'revisión de contenido' de sus unidades lógicas, aparte de su integridad, comprobaba la existencia de ficheros como desktop.ini y autorun.inf. El primero destinado a cambiar la apariencia gráfica de la carpeta amarilla por defecto y el fondo de la misma entre otras cosas; y el segundo fichero lo que se debía hacer al introducir esa nueva unidad lógica en el sistema, el famoso autoarranque de discos ópticos. 


Esto ha propiciado la aparición de unos virus que se ejecutan sin nuestro consentimiento, por este motivo Windows Vista con su control tan restrictivo de permisos a usuarios pide permiso cada dos por tres. 


En primer lugar ¿cómo sé si he sido infectado por uno de estos virus? La mayoría de los virus que se contagian utilizando el autorun.inf de las unidades, lo que hacen es modificar unas llaves en el registro del sistema para que no podamos ver los ficheros ocultos o protegidos por el sistema. Así lo segundo que hace es copiar unos ficheros dentro de estas unidades, precisamente, marcados como ficheros del sistema y ocultos. Así no podremos verlos nunca. También saca una réplica en las papeleras de reciclaje, en los ficheros temporales de internet, y también se meten en la carpeta System32, mezclado como una dll. 

Como veis sacan patas por todos sitios, por lo que es difícil su desinfección. Si borras uno de ellos, el otro automáticamente lo replica. El ordenador es millonésimamente más rápido que nosotros, por lo que, por muy rápido que lo hagamos, siempre nos ganará. 

Vamos a comprobar si estamos infectados. 


Activamos Mostrar todos los archivos y carpetas ocultos, tal como se muestra en la imagen.


Desactivamos Ocultar archivos protegidos del sistema operativo y Ocultar extensiones de archivos para tipos de archivo conocido. Tal como se muestra en la siguiente imagen. 


Al abrir MI PC y C:, deberías ver ficheros ocultos del sistema operativo Windows, así que ni se te ocurra borrarlos. Como por ejemplo: NTDETECT.COM, ntldr, IO.SYS, etc...


En la imagen se muestra el contenido de la memoria flash usb, y señalada la presencia del fichero autorun.inf. 

Si está infectado de virus no veras los ficheros ocultos, puesto que si vuelves a entrar en las mismas ventanas de antes, verás como volvieron a su sitio original, impidiéndote ver los ficheros ocultos. En otros casos, si el virus no toca el registro para hacer estos efectos, veras los ficheros ocultos y si tienes un fichero autorun.inf oculto, estarás infectado. Claro que si no puedes entrar en la unidad C:, porque el autorun.inf te lo impide, tendrás que entrar con el Explorador de archivos, como se muestra en la imagen. 

Para reparar este problema que ha causado el virus (no poder visualizar los ficheros ocultos y protegidos por el sistema) tendrás que tocar la siguiente llave del registro del sistema (siempre teniendo en cuenta los riesgos que conlleva tocar el registro de Windows). 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 

- El valor CheckedValue (tiene que estar en dword y en valor 1)

Si abres con el bloc de notas el fichero autorun.inf veras donde está infectado el virus, tienes que proceder a borrar autorun.inf y el fichero donde esté ubicado. El problema es que si el ordenador está infectado también te volverá a infectar la llave.

Vamos a tomar medidas para parar esta amenaza.

Habilitar o deshabilitar la escritura en memorias Flash. Utilizaremos un software llamado USB WriteProtector. Para los más osados pueden crear una entrada en esta llave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies. La llave debe llamarse WriteProtect y se le debe asignar el valor 1 para proteger contra escritura o 0 para permitirla. Realizarlo con el registro del sistema supone sus riesgos, si no los conoces, hazlo mejor con el software recomendado. 

Desactivar el autorun.inf. Para deshabilitar/habilitar esta característica existe un software llamado Autorun Fix. Es sencillo, sólo tiene dos botones: Activar y Desactivar. Para realizarlo manualmente debes pulsar en Inicio - Ejecutar, escribir gpedit. Pulsa en plantillas administrativas - sistema, clic con el botón derecho sobre Desactivar reproducción automática, propiedades, haz clic sobre habilitada, selecciona todas las unidades, para deshabilitar el autorun.inf en todas las unidades. 

Proteger nuestra memoria flash. Todas las medidas que se han tomado es para intentar no infectar nuestro ordenador con una memoria flash. Pero cuando nuestra memoria flash la vayamos a utilizar en un equipo que no sea el nuestro, correrá el riesgo de infectarse. Para esto hay una utilidad llamada ElipenEXE. En realidad actua como un virus, graba en la llave un fichero autorun.inf y unos ficheros de sólo lectura. Cuando esta llave se conecta en cualquier computadora, este actúa como cualquier otro virus de autoarranque. Carga los ficheros de sólo lectura en memoria, por lo que están siendo utilizados en todo momento por Windows e impiden modificarlos y ser eliminados por otros virus. Es un software bastante curioso en su funcionamiento, ya que utiliza los mismos mecanismos de los virus para protegerse de ellos. 

Analizar y limpiar. Al conectar cualquier memoria Flash USB recomendaría primero analizar su contenido y limpiar en caso de presencia de autorun.inf. El problema es que si accedemos de forma manual (MI PC - Unidad, o algún método similar) corremos el riesgo de que el virus nos infecte. 

Un método sería pulsar en Inicio - Ejecutar, y escribir el comando del [letraunidad]:\autorun.inf <-- Dónde letra de unidad es la letra asignada al pen drive. Aunque antes de este paso recomendaría pulsar en Inicio - Ejecutar y escribir notepad [letraunidad]:\autorun.inf <-- Para poder ver qué ficheros más tengo que eliminar dentro de la unidad.

Otro método sería con la utilidad USB DISK SECURITY. Que se encarga de analizar y limpiar las unidades USB. 

Con todos estos pasos hemos dado un repaso completo a cómo protegernos de los virus de propagación usb/autorun. Es una responsabilidad de todos parar los virus, protegernos e informar a todas las personas que conozcamos. El mejor antivirus es uno mismo, ya lo decía Peter Norton: La seguridad no es una solución sino un estilo de vida; aunque acabaron montando con su nombre una empresa antivirus, menudo fiasco.