Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Ver el tema anterior Ver el tema siguiente Ir abajo

Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  processnull el Jue Mayo 13, 2010 5:43 pm

1er Metodo.

Panda ha desarrollado USB Vaccine, una herramienta antivirus USB gratuita que permite evitar que se ejecute el autorun de los dispositivos que se conecten e impedir que se creen archivos autorun.inf en nuestros dispositivos USB. Recomiendo encarecidamente este metodo para proteger la autoejecucion en los usb.

Panda USB Vaccine: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/

2º Metodo.

Deshabilitar la ejecucion de los autorun.inf, crando un archivo.reg con el bloq de notas con este contenido ->

Código:
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
      @=" @SYS:DoesNotExist"

En algunas ocasiones, el valor no se agrega a la entrada asique habria que comprobarlo manualmente en la direccion y si el valor estuviera vacio, añadirlo manualmente introduciondo " @SYS:DoesNotExist"

3er metodo.

Tambien otro metodo es creando una carpeta con nombre "Autorun.inf" con atributos de solo lectura, y crear dentro de esta misma carpeta una segunda carpeta con nombre de "dispositivo" los cuales son reservados como : CON, COM1, PRN, LPT1 etc.... esto se logra creando el directorio usando las rutas del tipo UNC lo cual evita que sea borrado o modificado facilmente por cualquier malware. Un ejemplo de ello es gracias a este script facilitado por 0X0309



Código:
 @ECHO OFF
:: RDAP.CMD
:: REMOVABLE DRIVE AUTORUN PROTECTOR Version 12:44 14-03-2009
::
:: ONLY FOR RUN UNDER WINDOWS XP AND REMOVABLE DRIVE WITH FAT OR FAT32 FILESYSTEM.
::
:: AUTHOR: 0X0309
::
TITLE REMOVABLE DRIVE AUTORUN PROTECTOR
SETLOCAL ENABLEEXTENSIONS

VER | FIND /i " XP"*** >NUL
IF ERRORLEVEL -1 IF ERRORLEVEL 1 (
ECHO. SCRIPT ONLY FOR WINDOWS XP.
GOTO END
)

ECHO\Detecting removable drives . . .
SET "TXT=530054004F00520041"
FOR /F "DELIMS=\: TOKENS=0X3" %%^^ IN ('REG QUERY HKLM\SYSTEM\MOUNTEDDEVICES ^| FIND "%TXT%"') DO (
VOL %%^^: 8>NUL 1>&8 2>&1 && (
ECHO\Found removable drive %%^^:
CHKDSK %%^^: 0>NUL 2>&0 | FIND " FAT" >NUL
IF ERRORLEVEL 0 IF NOT ERRORLEVEL 1 (
IF EXIST %%^^:\AUTORUN.INF (DEL /F /Q /A %%^^:\AUTORUN.INF 7>NUL 1>&7 2>&1)
IF EXIST %%^^:\AUTORUN.INF (RD /Q /S \\?\%%^^:\AUTORUN.INF 6>NUL 1>&6 2>&1)
(MD \\?\%%^^:\AUTORUN.INF\...\) 5>NUL 1>&5 2>&1
(RD /Q /S \\?\%%^^:\AUTORUN.INF\...) 4>NUL 1>&4 2>&1
(CD.>\\?\%%^^:\AUTORUN.INF\NUL) 3>NUL 1>&3 2>&1
(MD \\?\%%^^:\AUTORUN.INF\...\%RANDOM%\...\ 9>NUL 1>&9 2>&1)
IF EXIST %%^^:\AUTORUN.INF (ECHO\The removable drive %%^^: was protected.)
) ELSE (ECHO. %%^^: IS NOT WITH FILESYSTEM FAT OR FAT32.)
)
)

:END
(0>NUL SET /P %%=Press a key to quit . . . )
PAUSE >NUL
GOTO :EOF



4to metodo.

Otra manera MUY interesante de bloquear totalmente nuestro autorun.inf, sin que nosostros mismos podamos sobrescribirlo es aprovechandonos de FAT32

hora, otra cosa a tomar en cuenta es que la mayoría de memorias USB tiene el sistema de archivos FAT o FAT32.


Ahora si revisamos a fondo la estructura del sistema de archivos FAT32, encontraremos cosas interesante.



Nota: Si deseas saber más sobre sistemas de archivos puedes leer los siguientes enlaces:
http://es.wikipedia.org/wiki/FAT
http://en.wikipedia.org/wiki/File_Allocation_Table


Algo muy interesante en el sistema de archivos FAT32 es un atributo que estoy seguro que la mayoría de nosotros desconocíamos: EL ATRIBUTO DE DISPOSITIVO, que es de uso interno solamente para el sistema Operativo y que no debería estar presente en un disco de manera normal, jejeje.






Este atributo designa a un dispositivo y no permite que el dispositivo en sí pueda ser modificado a nivel de dispositivo. Pero la pregunta es: ¿Se puede asignar este atributo a un archivo? ¿Cómo?


Como ya vimos, en linea de comandos o usando la shell del explorador no podremos asignar este atributo a los archivos. En este caso si podríamos asignar este atributo al archivo AUTORUN.INF, podríamos indicarle al sistema operativo que este archivo sería un dispositivo y por lo tanto no podría ser modificado ni borrado por ningún proceso usando la vía normal o común de escritura de archivos.


Aquí entra a tallar, el conocimiento extremo, el poder Geek o Hacker, jejeje.


Aquí con esta guía veremos cómo es posible que podamos crear un archivo autorun.inf con permisos de Dispositivo que contendrá cualquier cosa de modo que no pueda ser sobreescrito por ningún otro archivo de software malicioso y por nosotros mismos!


Para esto, usaremos un Editor Hexadecimal, en mi caso usaré uno de los mejores: WinHEX.


Procedamos


1. Formateemos nuestra memoria USB en formato FAT32.


















2. Crear el archivo autorun.inf. En este caso lo hice usando la línea de comandos, a la antigua y no por eso menos poderosa, jejeje.


H: Enter # en tu caso debes poner la letra de tu unidad
copy con autorun.inf
Enter
el texto que quieras y CTRL+Z y Enter











3. - Abrimos nuestro editor hexadecimal.



Luego seleccionamos la Opción “Tools”, “Open Disk”.

Seleccionamos nuestra unidad a Proteger.







Una vez abierto nuestra Unidad de memoria USB, vemos el contenido tal y como lo ve el Sistema Operativo. Vemos las estructuras del Boot Sector (Sector de Arranque), FAT1 y FAT2 (Tabla de asignación de archivos y copia), el Root Directory (Directorio Raíz donde se almacenan los nombres de los archivos, sus atributos, su tamaño y ubicación).


Nosotros vamos a trabajar directamente sobre el Directorio Raíz, pues ubicaremos la entrada correspondiente al archivo AUTORUN.INF que creamos previamente. Cabe recordar que en FAT32 cada entrada de archivo tiene designada los primeros 8 bytez para el nombre del archivo, los 3 bytes siguientes para la extensión y el byte en la posición 11 indica el atributo :





Al ubicarnos en el Directorio Raíz con nuestro editor hexadecimal al ubicar el byte 11 (Offset B) - en mi caso - vemos que tiene el atributo 0×20, que indica que es un archivo de almacenamiento.



Entonces lo que ahora haremos en escribir el valor 0×40 en lugar de 0×20 y con esto le atribuiremos el atributo de Dispositivo a nuestro archivo AUTORUN.INF.







Procedemos a guardar los cambios en la memoria USB, haciendo click en el ícono del Diskette .

Aceptamos…

Cerramos el programa WinHEX y vamos a nuestra memoria USB y la exploramos.


Tratemos ahora de editar el archivo dándole doble click, y veamos que sucede:



Ahora intentemos eliminar el archivo:









Intentemos cambiarle de nombre también:









Y vemos que no podemos hacer ningún tipo de cambio a este archivo. Entonces la idea es que ningún programa malicioso pueda crear su archivo AUTORUN.INF maligno en nuestra querida memoria USB.



Referencias:


http://en.wikipedia.org/wiki/File_Allocation_Table
http://es.wikipedia.org/wiki/FAT
http://www.x-ways.net/winhex/index-e.html
http://support.microsoft.com/kb/154997
http://milw0rm.com/papers/314


Espero que os sirva.

Un saludo.


Última edición por processnull el Vie Mayo 14, 2010 6:40 pm, editado 3 veces
avatar
processnull
Usuario Nivel 2
Usuario Nivel 2

Posts : 17
KCoins : 28
Reputación : 2
Fecha de inscripción : 12/05/2010

Advertencias 0


Ver perfil de usuario

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  Fitoschido el Jue Mayo 13, 2010 6:59 pm

Muy bien explicado, felicidades Smile

Aunque la culpa no sólo es del autorun.inf, sino también de las carpetas como RECYCLED, RECYCLER, MsoCache y demás por el estilo...

Saludos
avatar
Fitoschido
Colaborador
Colaborador

Posts : 258
KCoins : 373
Reputación : 1
Fecha de inscripción : 18/10/2009

Premios :
Staff


Ver perfil de usuario http://flavors.me/fitoschido

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  invisible_hack el Vie Mayo 14, 2010 4:28 pm

Está muy bien el aporte ^^

Peeeero....recuerda que, si no haces tú el tutorial, debes poner la fuente de donde lo sacaste...

https://foro.elhacker.net/hacking_basico/necesitas_una_contrasena-t254856.0.html

Un saludo.
avatar
invisible_hack
CoAdmin
CoAdmin

Posts : 496
KCoins : 814
Reputación : 7
Fecha de inscripción : 02/09/2009

Staff


Ver perfil de usuario http://www.elrincondeinvisible.blogspot.com

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  processnull el Vie Mayo 14, 2010 6:14 pm

Peeeero esk ese soy yo xD



un saludo.
avatar
processnull
Usuario Nivel 2
Usuario Nivel 2

Posts : 17
KCoins : 28
Reputación : 2
Fecha de inscripción : 12/05/2010

Advertencias 0


Ver perfil de usuario

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  invisible_hack el Vie Mayo 14, 2010 6:20 pm

Ahm...vale retiro lo dicho entonces... Rolling Eyes

Es que como no tienes el mismo nick pues logicamente pensé que no era de tu autoría...

De todos modos, recordad que podéis poner tutoriales y demás de cualquier lado, pero lo importante es que pongais los créditos y tal ^^
avatar
invisible_hack
CoAdmin
CoAdmin

Posts : 496
KCoins : 814
Reputación : 7
Fecha de inscripción : 02/09/2009

Staff


Ver perfil de usuario http://www.elrincondeinvisible.blogspot.com

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  r32 el Vie Mayo 14, 2010 6:26 pm

Buenas opciones de protección y muy bien explicado, paso a paso... Toda info es buena. +1

Un saludo Smile
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  processnull el Vie Mayo 14, 2010 6:28 pm

invisible_hack escribió:Ahm...vale retiro lo dicho entonces... Rolling Eyes

Es que como no tienes el mismo nick pues logicamente pensé que no era de tu autoría...

De todos modos, recordad que podéis poner tutoriales y demás de cualquier lado, pero lo importante es que pongais los créditos y tal ^^

na tranki, si me llaman mil nicks tambien pork me suelo cambiar bastante el nick, aunk si se me sigue es facil saber que nicks son mios xD... en fin es como cambiarme de calzoncillos jeje, aunk ahora parece que asiento un poco mas la cabeza con este nick. De todas formas fijate, que abajo del todo pongo referencias, de donde se saca la informacion. Por cierto ya que me recuerdas el post que hice ayi meto de paso el script de carlos. asi se completa mas el tema.



Un saludo Wink
avatar
processnull
Usuario Nivel 2
Usuario Nivel 2

Posts : 17
KCoins : 28
Reputación : 2
Fecha de inscripción : 12/05/2010

Advertencias 0


Ver perfil de usuario

Volver arriba Ir abajo

Re: Como proteger nuestros USB de infecciones con AUTORUN.INF y nuestro Equipo

Mensaje  Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.