Posteado por: ntrrgc | Mayo 31, 2008

[Tutorial] Protege tu pen drive de los virus

Los pendrives son objetivo de muchos viruses recientes, debido a lo fácil, rápido y sigilosamente que pueden entrar. ¿Cómo protegerse de ellos? Es muy fácil, pero poca gente lo sabe, por eso escribí este tutorial.

Cómo se las ingenian los viruses (lee esto si no sólo quieres saber que hacer, sino que quieres saber PORQUÉ)

Windows tiene por defecto una opción de reproducción automática desde hace muchísimo tiempo, pero es en el XP SP2 donde decidieron hacerla compatible con los discos extraíbles (incluidas tarjetas y pendrives), y por suerte, con algunas limitaciones.

Para los que no lo sepan, esta función se configura en el archivo autorun.inf, en la raíz de la unidad, y es el típico que se suele ver en casi todos los CDs de programas o juegos.

Analizemos este autorun.inf con fines benéficos:

[autorun]
label=Pincho Moreto® libre de virus
icon=hard drive linux 1.ico
action=Abrir el menú de PortableApps
open=StartPortableApps.exe

La primera línea es necesaria y siempre es igual, el resto son opcionales.

La línea label especifica una etiqueta para la unidad. A diferencia de en la etiqueta del volumen, aquí se pueden escribir más de 11 letras y usar carácteres especiales.

La línea icon nos permite ponerle un icono al pendrive.

La línea action sirve para que al enchufar el pendrive, además de ver los archivos, reproducir con windows media, etc, no salga una opción personalizada. Si esta es elegida, se abrirá el programa puesto en la línea open.

Esto tiene muchísimos usos prácticos. El archivo autorun.inf tiene más parámetros. Por ejemplo, si en vez de usar open usamos shellexecute, podremos elegir que se abra cualquier archivo (no sólo ejecutables), y al hacer doble clic en la unidad de disco se abrirá directamente ese archivo.

Esto si es usado a menudo por los viruses, aunque también tiene sus buenos usos. Si hacemos clic con el botón derecho nos aparecerán dos opciones que ponen Reproducción automática. La que está en negrita abriría el programa indicado, y la otra sacaría el menú de reproducción automatica. Esto da un poco el canto, pero normalmente para abrir el pendrive simplemente haces doble clic sobre él.

Si creías que por hacer clic con el botón derecho y darle a abrir o a explorar estabas libre del virus te equivocas:

[autorun]
shellexecute=StartPortableApps.exe
shell\open\command=StartPortableApps.exe
shell\explore\command=StartPortableApps.exe

Nota: En los ejemplos pongo que se ejecute el menú de PortableApps, aunque tengas este archivo en tu ordenador NO es un virus. Escogí ese archivo por ser el primero que se me ocurrió para demostrar esto.

Siguiendo analizando como se las ingenia el virus… una vez abierto el programa (en este caso el virus) este se instala en el ordenador y se copia junto con el archivo autorun.inf a todas las unidades de disco. Una vez instalado en el ordenador, revisa periódicamente las unidades conectadas y les transmite el virus. Algunos no lo hacen siempre a todas para esconderse a sí mismos. Para que no sospeches, en el programa del virus tiene puesto que se abra la carpeta en una ventana nueva.

ATENCIÓN: Windows XP, a mi fe, no trae ninguna función para abrir una carpeta en la misma ventana, sino sólo en una nueva ventana. Si intentas abrir la unidad y se te abre en una ventana nueva, es muy probable que tengas un virus y que lo hayas abierto.

Para que al usuario vea archivos extraños, oculta y marca como archivo de sistema el virus y el autorun.inf.

Este es el caso del Virus Win31. No es un virus grave, si bien está hecho en Visual Basic Scripting, es algo curioso. Lo único que hace es instalarse, cambiar la barra de título del Internet Explorer y propagarse. Para los curiosos, lo pongo aquí. Descargar por MediaFire (sólo si sabes lo que haces). La contraseña es ‘pwd’.

Cómo borrar un virus en un pendrive si no lo hemos abierto todavía

La forma de entrar en el pendrive sin ninguna posibilidad de meter el virus es ir por Ejecutar o escribir la dirección en la barra de direcciones. Por ejemplo, si tu pendrive tiene la letra L:, para abrirlo clica en la barra de direcciones o ve a Inicio/Ejecutar y escribe L:\.

Lo más seguro es que no veas los archivos del virus porque estarán ocultos. Ve a Herramientas/Opciones de carpeta/Ver y marca Mostrar todos los archivos y carpetas ocultos y desmarca Ocultar los archivos protegidos por el sistema operativo (recomendado). Al desmarcar esta última te pide confirmación, dile que sí y haz clic en aceptar.

Ahora deberías ver los archivos del virus, abre el autorun.inf. Si has leído la parte anterior, ya sabrás como funciona. ;) Desde ahí puedes ver en qué archivo está exactamente el virus. Bórralo, y si está en una carpeta oculta, bórrala también, sobre todo si es una papelera de reciclaje. Sí has leído bien, hay un virus que crea una papelera de reciclaje dentro de la memoria, con nombre “Recycled” (la papelera de reciclaje auténtica se encuentra en “C:\Recycler\”). Si es el caso, borrala, porque FUNCIONA. Quiero decir, que si borras un archivo se quedará en la papelera del pendrive, por lo que te seguirá ocupando espacio sin que tu lo sepas.

Hay veces que no deja borrar la carpeta a la primera, prueba dos veces. Si sigues sin conseguirlo prueba con Unlocker.

Después borra el archivo autorun.inf. De lo contrario no te dejará entrar en tu pendrive, pues intentará abrir el programa que tiene configurado, pero al no encontrarlo te dará error.

Por último, si quieres ir sobre seguro, pásale el antivirus al pendrive entero, pues podría haberse incrustado en algunos archivos.

Así de fácil y rico-rico para toda la familia.

Si ya metistes la pata

¡Ay, majo! Ahí ya se complica la cosa, porque ahora ya no dominas al virus, sino el virus te domina a tí. Muajajajajaja…

Instala un antivirus mientras estés a tiempo, actualízalo y intenta sacar el virus. Si no puedes, tendrás que usar tu ingenio…

Por ejemplo, intenta entrar en modo a prueba de fallos con red. Si te ha dejado, prueba ahí a instalar el antivirus, actualizarlo y escanear el ordenador.

Más adelante publicaré algún artículo sobre quitar viruses.

Mejor prevenir que tenerse que rascar

¿Porqué me empeño en enseñarte cómo funcionan estos viruses? ¡Porque ahora entenderás bien cómo inmunizarte contra ellos!

La clave es el ya muy mencionado archivo autorun.inf: Cuando entra un virus casi siempre borra el archivo autorun.inf y coloca otro nuevo con el virus.

[autorun]
icon=hard drive linux 1.ico
label=Pincho Moreto® libre de virus

¿Qué te parece este autorun? Simplemente le pone un icono a la unidad y una etiqueta. Si no tienes iconos o no quieres poner niguno, la línea de icon, es prescindible. Ya sabrás bastante sobre todo lo que puedes poner en este archivo, así que decóralo a tu gusto. Además de que ponerle el icono y el nombre que tu quieras te da muchas opciones a la personalización.

Cuando el virus ataque a tu pendrive en un ordenador ajeno, borrará este archivo y lo sustituirá por el suyo, pero tú te darás cuenta rápidamente, pues ya no aparecerá el icono y en vez de la etiqueta que tu le has puesto (en mi caso Pincho Moreto® libre de virus) te aparecerá la etiqueta del volumen, o en su defecto, Disco extraíble. :D

Si quieres darle un poquito de gracia, ponle en la etiqueta del volumen (no en el autorun.inf, sino con botón derecho en la unidad y Propiedades) un nombre que te avise a primera vista y en pocas palabras, de que algo pasa en tu memoria, por ejemplo PUTO VIRUS.

Si enchufas tu pendrive y ves que no te sale el icono ni la etiqueta, para comprobar si es un virus escribe en Ejecutar o en la barra de direcciones L:\autorun.inf (L: en mi caso, tú escribe la letra que sea) y comprueba a donde lleva.

Si ves que es un virus, entonces actuarás como vimos en el apartado Cómo borrar un virus y después volverás a colocar el autorun correcto. Naturalmente, tendrás preparada una copia, para no volver a escribirlo; de lo contrario ya sabes lo que te toca. Incluso si tuvieras que hacer esto muy a menudo (como es mi caso) puedes hacer un fichero .bat que lo automatize.

Nota: El autorun.inf infectado casi siempre está marcado como sólo lectura, así que para repararlo, bórralo y escribe o copia el otro, o bien desmárcale la casilla de Sólo lectura (botón derecho y Propiedades).

Nota y disclaimer (importante): Esto no te hace totalmente inmune a los viruses, el virus podría escribir en el autorun.inf la línea shellexecute y dejar el resto intacto, pero esto nunca me ha ocurrido. Aún así no significa que no pueda ocurrir. Espero que esta información caiga en buenas manos. Malo sea que le haya dado la idea a más de uno… (Tú por si acaso, tén siempre un buen antivirus residente)

Suerte y espero que les sirva,

ntrrgc

P.D. ¡1493 palabras! Me lo he currao, ¿eh?

Escrito en Seguridad, Tutoriales | Etiquetas: , , , , , , ,

«
»

Respuestas

  1. [...] pinchomoreto Explore posts in the same categories: [...]

    Por: Proteccion de Pendrives USB Flash Disk contra Virus « Regalos Publicitarios Chile el Junio 23, 2008
    a las 2:30 am

  2. bueno, yo tube un virus que me ponia el icono de una carpeta en el usb, osea en MIPC e veia como una carpeta y creo una papelera en el pendrive y otra en C:/recycler
    ningun antivirus lo detectava y opte por borrarlo manualmente me fui a modo a prueba de fallos elimine la papelera nueva(te das cuenta cual es la original por la fecha en que fue creada) y configure la papelera de sistema para que ningun archivo valla a ella, osea se eliminen de una vez, a otra cosal es recomiendo que borren el autorun.inf y la papelera con un programa destructor de datos no con eliminar de windows y tambien que desactiven la opcion de restaurar sistema

    Por: Roger el Junio 26, 2008
    a las 4:05 pm

  3. muy bueno, felicitaciones y gracias.
    para abrir mi pendrive Kingston 4gb
    //igual al de la foto :)
    con Botón Derecho/Abrir. Tras muchos encuentros con el virus AdobeR.exe residente en la red de mi local de estudios.
    El virus lo borraba pero me dejo de abrir con doble click el pendrive, después de leer este post vi que todavía tenía el autorun.inf con la dirección a el. Lo remplace y listo.
    Te agradezco mucho!!

    Por: diezko el Agosto 11, 2008
    a las 1:08 am

  4. diezko, de nada pero ten cuidado, porque el método <> es inseguro. Basta con escribir una línea más en el autorun para que se infecte también con este comando. No es conocido este método por mucha gente pero existe.

    Por: ntrrgc el Agosto 11, 2008
    a las 10:34 am

  5. esta muy byeno el tutorial ami me sirvio pila

    Por: pablo el Agosto 23, 2008
    a las 11:29 pm

  6. Hola ntrrgc esta bueno tu aporte, aunque por ahi conozco uin metodo para q no se ejecuten los virus que es muy simple … nada mas es crear una carpeta vacia y protegida contra escritura llamada autorun.inf y listo… aunque se pegan los virus estos no se propagan. lo unico malo es que no puedes personalizar tu pendrive :( ….
    si alguno encuentra la forma de tener la usb personalizada con el autorun y que este sea inmune a que los virus te lo borren o que lo editen . pues coloquenlo aqui o mandenmelo al mail plis … XD

    sneyder988 (arroba) gmail (punto) com

    Por: Sneyder el Septiembre 11, 2008
    a las 4:32 pm

  7. Sneyder, está bien tu método, pues al crear una carpeta que se llama igual windows no deja crear un archivo con el mismo nombre. Si bien bastaría con que el virus borrara la carpeta, para esto se emplea un método distinto que para borrar un archivo, y como el método este es poco conocido es poco probable que lo tengan en consideración.
    Si quieres personalizar tu pen de todas maneras puedes hacer como mencioné un archivo bat que te repare el autorun.inf al llegar a casa de modo que sea clicar y ya, pero esto siempre requiere hacerlo a mano….

    Por: ntrrgc el Septiembre 11, 2008
    a las 8:17 pm

  8. HOLA!! muy buena la “guia” sobretodo lo de abrir la memoria desde ejecutar!! no se me habia ocurrido…
    pero podrias decirme como es el archivo .bat? para que repare el autorun! podra decirnos el codigo?…

    habria la posibilidad de crear un archivo .bat que se ejecute al conectar la memoria y que..no se, no permita la modificacion del archivo o algo asi??, no se es una idea mia!!

    Por: PROTOT¥PE el Noviembre 13, 2008
    a las 9:22 pm

  9. Respuesta a prototype:
    Si tienes problemas con un autorun infectado bórralo y punto.
    Lo del bat no se puede hacer xk imagínate k lo usara el virus, entonces sería imparable. (ya e echo la prueba y no se puede hacer esto sin modificar el dispositivo)

    Por: ntrrgc el Noviembre 23, 2008
    a las 11:23 am

  10. el icono del pen se cambio por una carpeta, y hace cosas raras al arrancar. como lo elimino?? viendo los archivos ocultos no sale nada….

    Por: jore el Febrero 7, 2009
    a las 10:26 pm

  11. >el icono del pen se cambio por una carpeta, y hace cosas
    >raras al arrancar. como lo elimino?? viendo los archivos
    >ocultos no sale nada….
    Primero quítalo de tu ordenador y luego ya te encargas del pendrive…
    Si no puedes ver los archivos ocultos casi fijo que lo tienes ya en tu ordenador (o el registro tiene secuelas de eso). Eso ya no te lo cuento porque es harina de otro costal… lo siento, pásale un antivirus.

    Nota para mi mismo: Escribir artículo para cuando los archivos ocultos no se pueden ver. Fecha: otro día.

    Por: ntrrgc el Marzo 13, 2009
    a las 4:36 pm


Dejar una respuesta






Su respuesta:

Categorías