Vectores de ataque: Memorias USB
En este blog se ha hablado con anterioridad de códigos maliciosos propagándose usando las memorias USB. En esta ocasión pasaremos a describir las técnicas de ataque usadas en estos dispositivos:
Primera técnica: Dispositivo USB infectado que afecta al sistema.
El dispositivo USB que conectamos a nuestra máquina se encuentra infectado por un código malicioso y se ejecuta gracias a la reproducción automática de dispositivos que viene configurada por defecto en Windows. Este tipo de malware está diseñado para robar información sensible de la máquina infectada, información tal como contraseñas del sistema o de las aplicaciones usadas, contraseñas de correo o sitios webs como foros y banca electrónica, historiales de navegación, números de serie de los programas instalados en el sistema, etc. Por si esto fuera poco, muchos de estos códigos maliciosos crean ademas una cuenta de usuario con privilegios de administrador y un servicio de acceso remoto oculto que permite al creador del malware tomar el control de nuestro sistema.
Todo esto es posible gracias a una vulnerabilidad en Windows que permite la ejecución de aplicaciones directamente desde el dispositivo USB sin dejar rastro alguno. Esto unido a la ejecución por defecto que realiza Windows de estos dispositivos y a la gran cantidad de variantes de códigos maliciosos de este tipo que se lanzan cada día, hace que nuestro sistema se encuentre realmente vulnerable si no tomamos las medidas oportunas. Entre ellas se encuentran los siguientes consejos:
• Ir a inicio, ejecutar y escribir, gpedit.msc, y, en la ventana que se abre, seleccionar en Directiva Equipo Local > Plantillas de administración >Sistema > desactivar reproducción automática >clic derecho > propiedades. Después, marcar en habilitada y debajo seleccionar todas las unidades y aceptar los cambios, que sólo tendrán efecto cuando se reinicie el sistema.
• O modificar la siguiente clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbstor\start
Segunda técnica: Sistema infectado que afecta a la memoria USB
Esta técnica utiliza aplicaciones conocidas como USB Dumper que, una vez instalada en nuestro sistema Windows, copia toda la información sensible o susceptible de contener datos valiosos que pudiese haber en nuestro dispositivo USB, al disco duro de la máquina infectada. Versiones mas elaboradas de este tipo de malware son capaces de enviar esta información robada desde nuestro dispositivo al creador del código malicioso usando el servicio de envío de correo (SMTP) de la máquina infectada. Por último también son capaces de infectar nuestro dispositivo USB y así extender la infección a todas aquellas máquinas en las que lo conectemos.
Ante estas amenazas, resulta vital disponer de un antivirus actualizado y que sea capaz de reaccionar proactivamente ante las miles de variantes que aparecen cada día de estos códigos maliciosos.
Josep Albors
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.
Comentar
Lo siento, debes estar conectado para publicar un comentario.
El dia 20 de setiembre 2009 encontre qwue mi maquina tenia algo raro, todo USB que insertaba en ella salia con una carpeta con «icono» de papelera pero con nombre «PATH» y en el cual habia un archivo llamado «wauclt.exe»
asi mimso tenia su autoejecutable autorun.inf.
casualmente no hay info a cerca de este en ninfun portal web.
espero sus comentarios.
Apreciado Lino,
Puedes enviarnos cualquier muestra sospechosa de contener una infección usando el formulario de nuestra web:
http://eset.es/soporte/envio-muestras
Gracias por tu colaboración.