PDF de programación - Nuevas vías de infección: Los USBs

Nuevas vías de infección: Los USBs



Indice



Nuevas vías de infección – Del disquete al USB............................................................ 3

La “consumerización“ abre nuevas brechas de seguridad ............................................ 3

Como se extiende este nuevo tipo de malware .............................................................. 4

Como lidiar con esta amenaza: Protección Preventiva con Panda USB Vaccine ............ 7

Confidential © Panda 2009

Page 2

Nuevas vías de infección: Los USBs



Nuevas vías de infección – Del disquete al USB


Hace mucho tiempo desde que la industria antivirus señalaba el disquette como la fuente principal
de infecciones entre varios pcs. En ese tiempo Internet no era mas que un concepto y el disquette
era la forma básica de transmitir información de un PC a otro. Los creadores de malware se
esmeraban, por tanto, en crear archivos maliciosos que pudieran residir en estos elementos de
modo que la infección se transportara de un PC a otro de un modo sencillo.


Actualmente los disquettes han dejado paso a los CDs y DVDs e Internet ofrece todo un mundo de
posibilidades para compartir información. Aun así, podemos observar un claro sustituto del
disquette como herramienta portátil para almacenar y llevar la información. Estos son los
dispositivos portables o USBs, que permiten almacenar una gran cantidad de información
permitiendo además transportarlos de forma sencilla debido a su cada vez menor tamaño.
Tal y como sucedió con los disquettes en su día, no ha hecho falta mucho tiempo para que
comience a aparecer malware que aprovecha las ventajas de estos dispositivos para crear
infecciones masivas que se distribuyen rápidamente y pasan desapercibidos a los programas de
seguridad.



La “consumerización“ abre nuevas brechas de seguridad

Según diversas consultoras de analistas, la consumerización es el proceso por el cual la
tecnología empresarial y de consumo se integran en una sola. La línea que separa los dispositivos
personales de los empresariales se difumina, lo que significa que los empleados usan cada vez
más aparatos tecnológicos de su vida cotidiana dentro de la empresa. Esto crea un riesgo de
seguridad por las posibles fugas de información crítica a través de dispositivos portables no
controlados por la misma (mp3, USBs, etc).



la

figura
Como se aprecia en
anexa,
la consultora Forrester
detecta la consumerización de los
departamentos de TI, que provoca
que sean los usuarios individuales
y no los departamentos de TI los
que adoptan tecnologías propias
para llevar a cabo sus tareas, con
lo que la decisión de compra de
viene
estos
derivado
tendencias
tecnológicas de
los empleados
(uso de wikis, blogs, etc). A este
movimiento Forrester
llama
“Populismo tecnológico”.

departamentos

lo

de

las

A pesar de que el problema de seguridad derivado de este nuevo movimiento sea la fuga de
información sensible de una empresa, los dispositivos portables también pueden suponer un
vector de entrada para la introducción y propagación de virus, troyanos, keyloggers y otros tipos
de malware. De hecho, durante 2009 muchos periódicos se han hecho eco de noticias de este



Confidential © Panda 2009

Page 3

Nuevas vías de infección: Los USBs

tipo, como por ejemplo la prohibición del uso de elementos portables en el departamento de
defensa de EEUU debido a la distribución del gusano agent.btz por diversas redes críticas del
departamento.

Por otro lado, los USBs están evolucionando rápidamente. Los nuevos sticks de memoria U3
permiten ejecutar software o diversas aplicaciones directamente desde el USB. La tecnología de
U3 está diseñada para aprovechar las ventajas de movilidad que ofrecen los USBs de modo que
el usuario pueda almacenar todos sus programas, contraseñas, preferencias etc en él sin
preocuparse de que tengan que estar instaladas en el PC. Estos sistemas se auto-activan por lo
que pueden ejecutar aplicaciones al ser conectados a un PC, lo que abre una nueva vía de
infección adicional a los creadores de malware.



Como se extiende este nuevo tipo de malware



Hoy en día, una gran mayoría de los PCs usan alguna de las múltiples versiones de sistemas
operativos Windows. De hecho, en el gráfico siguiente se muestra la tasa de penetración de cada
uno de los distintos sistemas operativos existentes y se ve que Windows posee la gran mayoría
del mercado, con un 73% de penetración del Windows XP.



95.

Para facilitar la instalación de
las diferentes aplicaciones, en
1995 Microsoft lanzó en toda
su familia de productos una
funcionalidad llamada Autorun,
que fue introducida junto con
su Windows
Esta
funcionalidad en su versión
básica, permitía que al insertar
un CD-ROM correctamente
configurado,
un
archivo de texto en el directorio
raíz llamado AUTORUN.INF y
siguiera las instrucciones allí
definidas para ejecutar un
programa.

buscara



Actualmente este AUTORUN.inf está incluido en la mayoría de los dispositivos portables para
conocer las acciones a realizar sobre cualquier USB o cd/dvd que se inserte en la máquina. El
autorun.inf es un archivo de configuración que permite definir qué programa debería ser ejecutado
automáticamente cuando se conecta el dispositivo.

Sin embargo hoy en día existen varias formas en las que un programa que es especificado en un
AUTORUN.INF puede ser ejecutado en un un modo mas o menos transparente para el usuario.
Por ejemplo:

- Autorun

- Autoplay: Se trata de una versión mejorada del AutoRun lanzada con el sistema operativo

Windows XP. En vez de que sea el dispositivo externo el que decida que programa
ejecutar, se intenta hacer partícipe al usuario de esa decisión mediante un menú de
opciones que se lanza al insertar el dispositivo.

Del mismo modo que con el Autorun tradicional, es posible incluir como opción el que
aparezca la aplicación que se desea ejecutar en el menú. Muchos tipos de malware usan

Confidential © Panda 2009

Page 4

Nuevas vías de infección: Los USBs

este sistema para propagarse sustituyendo el programa definido en el Autoplay por lo que
no es un medio totalmente seguro para evitar este tipo de infecciones.

Con Windows Vista este problema se agrava ya que el usuario puede configurar el
AutoPlay de modo que defina que, por defecto, un programa definido en el AUTORUN.inf
puede ejecutarse automáticamente. Eso permite a un USB infectado, ejecutarse en el PC
del usuario sin conocimiento de este.

- Ejecución desde el menú contextual del dispositivo al que se accede mediante el botón

derecho del ratón.

- Ejecución haciendo doble click sobre el icono de la unidad

Esto hace que existan una variedad de formas de invocar un ejecutable que se encuentre en el
autorun de cualquier dispositivo externo sin que se de un conocimiento del usuario.


Esta funcionalidad permite por tanto a un determinado malware poder infectar un dispositivo
externo realizando una copia del ejecutable en el mismo y modificando el archivo AUTORUN.inf
de modo que cada vez que un usuario conecte ese USB en otra máquina, Windows ejecute ese
archivo malicioso de forma silenciosa y sin que el usuario se de cuenta, por tanto, de que se ha
infectado.


Conficker - El primer aviso


Existen algunos tipos de malware que comienzan a beneficiarse del modo de funcionamiento de
los USBs y su modo de interactuar con el SO de Microsoft. Algunos ejemplos son W32/Sality,
W32/Virutas y también el conocido Conficker, el cual, además de extenderse aprovechando una
vulnerabilidad, lo hace también a través de los USBs.



Confidential © Panda 2009

Page 5

Nuevas vías de infección: Los USBs

Figura 1: Seguimiento de Conficker en el blog de PandaLabs



En la figura siguiente podemos apreciar la evolución de infecciones por malware de la familia
Autorun, esto es, aquel malware que como Conficker, se aprovecha del Autorun para propagarse.
Como se puede apreciar, en Abril de 2008 se comienza a ver una tendencia creciente del número
de infecciones relativas a este nuevo tipo de malware.

Figura 1: Evolución de las infecciones por malware de la familia Autorun


Otro ejemplo de un gusano que se propaga por el usb es el llamado AutoKitty.A, que se propaga
realizando copias de sí mismo en todas las unidades disponibles del sistema, tanto mapeadas
como extraíbles. Además, crea un archivo AUTORUN.INF en el directorio raíz de todas las
unidades para conseguir que el gusano se ejecute cada vez que se acceda a alguna de ellas.



Confidential © Panda 2009

Page 6

Nuevas vías de infección: Los USBs


Por otro lado, el llamado SillyFD-AA no sólo se auto instala en los sistemas y coloca mensajes en
Internet Explorer sino que instala un autorum.inf en cualquier memoria portátil, como USB o
disquetes de forma que con conectar un USB infectado en un ordenador la infección está
garantizada.


Como lidiar con esta amenaza: Protección Preventiva
con Panda USB Vaccine



Tradicionalmente para paliar este problema la solución mas utilizada ha sido la de incluir una