miércoles, 20 de mayo de 2009

Qué es realmente el Autorun.inf

Durante mis clases sobre redes, entre mis alumnos salió el tema de seguridad informática. Y es casi imposible hablar de brecha de seguridad sin antes haber hablado de los virus.

Sabemos que los virus son programas que se auto reproducen, que infectan a las computadoras, y producen ciertos daños a nivel de software.

Lo que desconoce la mayoría de las personas, es que los virus entran en nuestras computadora a través de huecos de seguridad que existen en nuestro sistema operativo.

De los distintos huecos de seguridad del sistema operativo Windows (95, 98, Milenium, 2000 y XP), no ahí uno que afecte más que el famoso virus del autorun.inf

Empecemos por lo básico….

¿Que es realmente el Autorun.inf?

El autorun.inf realmente no es un virus, empecemos por aclarar ese punto, inclusive inicialmente fue creado para un propósito muy noble: decirle a las computadoras con Windows que ejecutar un programa automáticamente.

Caso de autorun.inf no malignos: Los programas instaladores desde CD o DVD (Office, Autocad, Adobe Suite, etc.), CD viejos de música.

Así que en un principio el autorun.inf es inofensivo y hasta práctico.

¿Pero que lo hace realmente maligno?

El autorun.inf, tiene un gran poder que hoy en día se le considera un agujero de seguridad y criadero de virus. Me explico:

El autorun, técnicamente hablando, es un simple archivo de texto, editable con cualquier editor ANSI (desde el edit.com de MS-DOS hasta el Bloc de nota de Windows), al cual solo es necesario quitarle las propiedades de oculto y de sistema para poder modificarlo.

autorun Para poder verlo, en el explorador de Windows, solo hay que colocar en las propiedades de carpetas, la opción de ver los archivos Ocultos y de sistema:

ocultos de sistema

Hasta el momento, solo tenemos un archivo de texto, que por defecto el Windows oculta, y que no puede ser eliminado por un usuario promedio.

Pero lo realmente peligroso de este archivo es que permite ejecutar cualquier programa de Windows, todo con esta instrucción:

[autorun]
open=setup.exe

¡Con un comando tan simple, y puede dañar toda la seguridad de un sistema operativo!

Dichas 2 líneas, lo único que hacen es ejecutar un archivo llamado setup.exe, en el mismo dispositivo que esta grabado el autorun.inf

Ahora, adelantémonos un paso mas, que pasaría si el setup.exe fuera un virus, y dicho virus se encuentra en el pendrive, junto con el autorun.inf

Pasaría que cada vez que introduzcamos el pendrive, se ejecuta el autorun.inf, e infecta a la computadora.

Soluciones

Para deshabilitar las funciones de la ejecución automática de forma selectiva, debe cambiar la entrada NoDriveTypeAutoRun en una de las siguientes subclaves de la clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\

En la siguiente tabla, se muestra la configuración de la entrada del Registro NoDriveTypeAutoRun.






















































ValorSignificado
0x1Deshabilita la reproducción automática en unidades de tipo desconocido.
0x4Deshabilita la reproducción automática en unidades extraíbles.
0x8Deshabilita la reproducción automática en unidades fijas.
0x10Deshabilita la reproducción automática en unidades de red.
0x20Deshabilita la reproducción automática en unidades de CD-ROM.
0x40Deshabilita la reproducción automática en discos RAM.
0x80Deshabilita la reproducción automática en unidades de tipo desconocido.
0xFFDeshabilita la reproducción automática en todos los tipos de unidades.

El valor de la entrada del Registro NoDriveTypeAutoRun determina para qué unidad o unidades se deshabilitará la funcionalidad de la ejecución automática. Por ejemplo, si desea deshabilitar la ejecución automática sólo para las unidades de red, debe establecer el valor de la entrada del Registro NoDriveTypeAutoRun en 0x10.

Si, por el contrario, desea deshabilitar la ejecución automática para varias unidades, debe agregar los valores hexadecimales correspondientes al valor 0x10. Por ejemplo, si desea deshabilitar la ejecución automática para las unidades extraíbles y de red, debe agregar 0x4 y 0x10, que es la adición matemática de 2 valores hexadecimales, para determinar el valor que se va a utilizar. 0x4 + 0x10 = 0x14. Por tanto, en este ejemplo, establecería el valor de la entrada NoDriveTypeAutoRun en 0x14.

El valor predeterminado de la entrada del Registro NoDriveTypeAutoRun varía en función del sistema operativo basado en Windows del que se disponga.

En la tabla siguiente, se enumeran estos valores predeterminados:


































Sistema operativoValor predeterminado
Windows Server 2008 y Windows Vista0x91
Windows Server 20030x95
Windows XP0x91
Windows 20000x95

Nota: Para lo que no entienda la nomeclarura 0x##, donde # es cualquier numero, el 0x indica que es un número hexadecimal, por lo tanto 0x91 se lee 91 Hexadecimal.

No hay comentarios: