Otra infección en reproductor de música MP3 USB

El caso que analicé ayer involucraba un lindo regalo de navidad: un nuevo reproductor de mp3. Pero este regalo tenía más de lo que el dueño había pedido. El aparato estaba infectado con Worm.Win32.Fujack.aa. Todo indica que el aparato estaba infectado antes de que el usuario lo abriera.

Aunque esto sea desagradable, no es nada nuevo. Hubo casos de discos Maxtor infectados y Aleks publicó hace poco una entrada sobre la tarjeta de memoria Kingston infectada que había comprado.

Notificamos a la compañía sobre este incidente. Nos dijeron que hace unos meses se detectó una infección en parte de un lote de reproductores de mp3 y que ya habían tomado cartas en el asunto. El problema afectó sólo a este modelo: el Victory LT-200.

Me he dado cuenta de que mucha gente no entiende por completo el comportamiento de Windows con los dispositivos USB, así que creo que esta es una buena oportunidad para aclarar algunas dudas:
La mayoría del malware que se difunde por dispositivos extraíbles utiliza la función de ejecución automática de Windows. Windows busca archivos con el nombre de autorun.inf en el directorio principal de cualquier disco.

Si los encuentra, Windows analiza el contenido del archivo y actúa según la situación. En la mayoría de los casos el archivo tiene un comando que indica que un archivo debe ejecutarse de forma automática. Windows sigue estas instrucciones tanto en discos duros como en discos compactos.

Microsoft ha mejorado su seguridad desde XP/SP2, haciendo que Windows compruebe si el dispositivo está conectado a un puerto USB. Si lo está, Windows ignora los comandos en autorun.inf, pero muestra una ventana al usuario para que decida qué hacer. Esto es bueno, pero no es perfecto. En XP, Windows ejecuta automáticamente las instrucciones autorun.inf aunque el usuario abra el disco mediante el explorador.

Esto significa que aunque la infección no sea 100% automática, sigue siendo una gran amenaza.

La opción en negrita “auto” hace que Windows se ejecute de forma automática al pulsar dos veces sobre el disco.
Entonces decidí ver qué mejoras de seguridad había hecho Microsoft en Vista.

Como muestra la imagen, la acción predeterminada ha cambiado a “open” (abrir), así Windows sólo muestra el listado del directorio.

Una mejora bastante clara. Sin embargo, Vista también facilita al usuario la tarea de ejecutar setup.exe (Fujack.aa) de forma manual.

Aunque Vista es más seguro que XP, tiene como prioridad facilitar su uso a los usuarios. Sería interesante ver si Service Pack 3 para XP trae nuevas mejoras; espero que así sea.
Este caso es una muestra clara de que siempre se debe ser cuidadoso al manejar dispositivos de almacenamiento removibles, ya sean recién comprados o prestados de algún amigo o colega. Una de las mejores precauciones para evitar infecciones es asegurarse de que el escáner de virus esté activado. Por lo general, el envío de aparatos infectados desde la fábrica a las tiendas tarda un tiempo, así que es muy posible que los antivirus detecten el programa que está causando la infección.