Sobre INF/Autorun
Febrero 6, 2008 11:21 amHace un tiempo nuestro laboratorio viene notando una clara confusión en torno a lo que realmente constituyen los archivos Autorun.inf, donde la confusión radica básicamente en si este archivo es o no un código malicioso.
La realidad es que existen muchas aplicaciones que si bien no son desarrolladas precisamente con ánimo malicioso son aprovechadas a tal efecto debido a las características y funcionalidades que ofrece.
Un claro ejemplo de ello son las herramientas de Administración remota donde muchas de ellas fueron creadas para facilitar los trabajos de mantenimiento de diferentes plataformas sin la necesidad de tener acceso físico a los equipos, pero que pueden ser utilizadas por usuarios maliciosos para violar la seguridad de los sistemas.
El mismo criterio puede ser utilizado para los archivos Autorun.inf, pero con la diferencia de que por sí solos no constituyen una amenaza, ya que simplemente son archivos de texto plano sin formato utilizados para realizar una acción en forma automática en sistemas Windows.
Sin embargo, es justamente esta característica la que hace que dichos archivos sean utilizados con fines maliciosos por los creadores de malware, ya que de esta manera pueden infectar un sistema informático con el sólo hecho de insertar una unidad extraíble en el equipo.
ESET NOD32 Antivirus y ESET Smart Security detectan de forma genérica a los códigos maliciosos que aprovechan esta funcionalidad bajo el nombre de INF/Autorun, siendo la vía de propagación más explotada por esta metodología de infección los dispositivos de almacenamiento USB.
En tal sentido, se debe tener claro que las acciones llevadas a cabo por las diferentes soluciones de ESET de detectar y eliminar esta amenaza se fundamenta, como con cualquier malware, en bloquear la actividad del código malicioso; es decir, del archivo ejecutable (malware) que se encuentra asociado al archivo Autorun.inf.
Veamos un ejemplo concreto que despejará aún más las dudas:
Por lo general, estos códigos maliciosos se diseminan con atributos de oculto, es por ello que la mayoría de las veces pasan totalmente desapercibidos ante los ojos de los usuarios que al conectar el dispositivo activan las acciones de ejecución maliciosas que se encuentran especificadas en el archivo Autorun.inf (que también suele tener atributos de oculto).
Miremos más de cerca el contenido de un archivo Autorun.inf utilizado por un malware:
En la imagen, observamos el contenido del archivo Autorun.inf, en cuyo caso, la amenaza está dada por el archivo ejecutable “RunDll32.exe”, por lo que el software de seguridad eliminará este archivo. Al quedar solamente el archivo Autorun.inf no constituye ninguna amenaza, ya que su archivo asociado “RunDll32.exe” ya no existe.
Durante los últimos meses este tipo de código malicioso ha alcanzado altísimas tasas de infección y, como lo adelantamos en las tendencias para este año, aparentemente continuará bajo este camino. De hecho, nuestro servicio de Alerta Temprana ThreatSense.Net nos viene indicando hace varios meses que INF/Autorun forma parte del top ten del total de las amenazas más detectadas mensualmente, lo cual demuestra y deja en evidencia que muchas veces no se toman en serio las medidas básicas de seguridad tendientes a prevenir las infecciones.
Por lo tanto, es muy importante tener en cuenta medidas básicas como actualizar cotidianamente nuestra solución de seguridad, ya sea en forma manual o en forma programada. Pueden aprender cómo configurar soluciones de ESET para que realice tareas programadas en “Exploración desatendida con ESET Smart Security”. Tanto ESET NOD32 como ESET Smart Security comparten la misma modalidad de configuración para este fin.
Algunas otras contramedidas son: configurar las opciones de carpeta para poder visualizar archivos con atributos de oculto, extensiones de archivos, etc. En el artículo “Ingeniería Social aplicada al malware” pueden encontrar más información relacionada a las acciones más comunes que en este sentido realiza el malware actual y las medidas de protección que nos ayudarán a prevenir potenciales infecciones.
Jorge
Promedio: 4.83
3-2-2010 a las 12:26 pm
[...] El INF/Autorun conserva el segundo puesto con el 7,37 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo. Si quiere saber más acerca de INF/Autorun puede visitar: http://blogs.eset-la.com/laboratorio/2008/02/06/infautorun/ [...]
1-2-2010 a las 5:15 pm
[...] INF/Autorun Porcentaje total de detecciones: [...]
8-1-2010 a las 12:03 pm
[...] El INF/Autorun conserva el segundo puesto con el 7,58 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo. Más información de INF/Autorun visite: http://blogs.eset-la.com/laboratorio/2008/02/06/infautorun/ [...]
2-11-2009 a las 12:49 pm
[...] 2. INF/Autorun [...]
31-10-2009 a las 1:26 pm
[...] INF/Autorun Porcentaje total de detecciones: [...]
19-9-2009 a las 10:42 pm
[...] INF/Autorun Porcentaje total de detecciones: [...]
31-8-2009 a las 9:34 am
[...] la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el [...]
28-7-2009 a las 9:20 pm
Hola Edgar B.L.:
Simplemente elimina los archivos indicados y luego reinicia en modo prueba de fallos y scanea tu sistema completo.
Cristian
28-7-2009 a las 6:36 pm
Hola:
Tengo instalado el NOD 32, esta actualizado al 28-07-09, sin embargo aun tengo un troyano: Win32/Flystudio.NDP el cual no puedoo no sé eliminar. Tambien cuando introduzco una USB memory, aparece el mensj:
CODIGO MALICIOSO DETECTADO
ARCHIVO: G:\AUTORUN.INF
CODIGO MALICIOSO: INF/Autorun.gen (Troyano)
Descripción: “Suceso ocurrido en un archivo modificado por la aplicación C:\WINDOS\system32\XP-37C4F45D.EXE. El archivo ha sido movido a la carpeta de cuarentena.”
También abre las páginas:
http://saELiMINADO.cn/f/f.bmp
web[ELiMINADO].cn
ysq[ELiMINADO].cn
Que tengo que hacer?
Gracias de antemano
16-1-2009 a las 8:32 pm
Hola Diego:
Esto puede deberse a que el malware se encuentre activo en memoria. Te recomiendo una scaneo profundo con ESET NOD32 de todo el sistema y el reinicio inmediatamente después para terminar el proceso activo y con ello la infección.
Cristian
16-1-2009 a las 1:57 pm
Hola,
Tengo problemas con este virus, y cada vez que voy a ejecutar alguna opcion en windows me aprece que no se encuentra el archivo rundll32.exe, pero en el directorio Windows aparece.
27-11-2008 a las 12:26 pm
Hola Ronal, eso sucede porque el malware esta intentando propagarse.
La recomendación es arrancar el sistema en modo a prueba de fallos y realizar una exploración profunda con el antivirus actualizado sobre cada una de las unidades, incluidos los dispositivos de almacenamiento extraíbles.
Saludos.
Jorge
26-11-2008 a las 5:32 pm
tengo insytalado el eset nod32 pero el mensaje de autorun.inf me sale constantemente cualles son los pasos para deliminar este problema