Noticias

¡Adiós Autorun!

Hace poco, Microsoft lanzó una actualización que deshabilita parte de algunas funcionalidades autorun en los sistemas operativos anteriores a Windows 7. La actualización, denominada KB971029, está diseñada para Windows XP, Vista, Server 2003 y Server 2008. La función autorun se utiliza para iniciar procesos de instalación de forma automática desde CDs, DVDs y discos USB, así como otros dispositivos removibles.

Autorun funciona utilizando un archivo llamado autorun.inf que se encuentra en la raíz el sistema de archivos para discos removibles. Mientras que este es un proceso útil cuando se lo utiliza con recursos de confianza, como instaladores de programas en CD, hace mucho que es un portador exitoso de infecciones por discos regrabables.

Kaspersky pidió con frecuencia a Microsoft que desactivara este proceso, ya que cualquier cosa que instale programas o códigos de forma automática en un ordenador sin notificar al usuario puede ser y será utilizado de forma maliciosa. En el pasado hemos encontrado dispositivos para el consumidor que ya venían infectados desde la fábrica, y la función autorun se ha utilizado para propagar amenazas muy exitosas como Conficker (Kido). Esta lista les dará una idea de cuán seguido se utiliza “autorun” como portador de infecciones.

Las versiones antiguas de Windows, incluyendo Windows XP Service Pack 1 y anteriores, ejecutaban el programa de forma automática en un disco regrabable sin notificar al usuario. La versión XP Service Pack 2 y posteriores abría una ventana de forma automática cuando se insertaba el dispositivo, en la que se preguntaba al usuario si quería abrir el archivo ejecutable. De hecho, se podía seleccionar una casilla para realizar siempre la acción seleccionada. Los creadores de malware a menudo crean un archivo autorun.inf en dispositivos ejecutables cuando se ejecuta un programa malicioso, y esto extiende los vectores del ataque más allá de la propagación por Internet. Un disco USB compartido puede convertirse en una amenaza a una red que ni siquiera tiene acceso a Internet.

Con Windows XP Service Pack 2, y en Vista y Server 2008, se incluyó una nueva característica llamada Autoplay. La función Autoplay abre una ventana cuando se detecta un archivo autorun.inf y pide al usuario que seleccione una acción. Las opciones son instalar el programa, que abre el archivo ejecutable, o abrir la carpeta para ver los archivos que contiene. Aunque esto es mejor que abrir un ejecutable de forma automática sin el conocimiento del usuario, tampoco es seguro. Los usuarios más despreocupados están acostumbrados a seguir pulsando botones hasta que se abre el archivo, así que esto sólo alarga un poco más el proceso de infección. La actualización mencionada desactiva la función autoplay en medios regrabables como discos USB, pero la deja intacta para interactuar con CDs y DVDs.

Windows 7 deshabilita la función por completo de forma predeterminada en archivos regrabables externos. Este es un enfoque mucho más seguro, aunque hace que sea más difícil para el usuario promedio saber qué hacer a continuación cuando está tratando de instalar algo nuevo: siempre hay un forcejeo entre la seguridad y la facilidad de uso. Aunque felicitamos a Microsoft por al fin haber arreglado este problema, tomó demasiado tiempo. Se podría haber evitado un sinnúmero de infecciones, y Conficker se habría propagado mucho menos si se hubiera tomado esta medida antes.

¡Adiós Autorun!

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada