Vacuna Windows y las unidades extraíbles

Escrito por Adonay en 10 Octubre 2009.

Una de las particularidades de Windows® es su atracción por lo inseguro. Algunas de las cosas que aparentemente facilitan la vida al usuario, no son más que enormes fallos. No hablo de los "fallos de seguridad", que van tratando de solventar con varios parches por semana; hablo más bien de una cuestión de "fallos de mentalidad". En cualquier caso: fallos. Errores que a estas alturas deberían estar más que indentificados y, por supuesto, suprimidos.

Un sistema Windows recién instalado cuenta con numerosos lugares por donde cualquier objeto/persona malintencionado puede hacer daño. Los primeros usuarios que se crean en el sistema tienen roles de administrador y carecen de contraseña, todas las unidades tienen el sistema de ejecución automático habilitado, no se muestran las carpetas ocultas, viene habilitada para todas las unidades la restauración del sistema, no se muestran las extensiones de los archivos conocidos, etc, etc, etc...

Aprovechando las particularidades anteriores, existen unos cuantos troyanos que se propagan de oficina en oficina, de casa en casa, hospedados en las llaves y discos usb. Simplemente con conectar la unidad al puerto usb, el pc es infectado de manera difícilmente reversible y empieza la odisea.

1. La máquina es infectada por uno de estos troyanos introduciendo una llave usb.
2. El sistema, a través del proceso explorer.exe se conecta a un servidor de IRC por su puerto 6667 y pasa a convertirse en el usuario de una sala de chat.
3. Abriendo una conversación con este "nuevo invitado" se pueden escribir los comandos que serán ejecutados directamente en el pc atacado.

A partir de este momento se puede decir con total claridad que estamos con el culo al aire. Nuestro pc y nuestra privacidad están a merced de las ideas de los tarados que se dedican a extender botnets con muy diferentes intenciones. A sacarles partido para diferentes causas; normalmente estas redes son vendidas a los spammers. Teniendo la "puerta abierta" se pueden instalar otras tantas aplicaciones malintencionadas y ocultas por lo que las posibilidades en cuanto a sus intenciones, varían mucho.

Con este sistema innumerables universidades, centros de trabajo, hogares y establecimientos diversos están siendo víctimas actualmente de una extensión proporcional a dicho peligro. En el ejemplo de las universidades, se trata de máquinas que están todo el día encendidas, máquinas que los atacantes han aprovechado para convertir en nuevas máquinas atacantes.

De esta forma, en la universidad de la India, ayer descubrí una de estas redes. Habiendo sido atacado en numerosas ocasiones el servidor de una empresa donde trabajo, me preguntaba quien tendría tanto interés en acceder a él... En un día, 4 ips diferentes habían intentado más de 150 logins a través de terminal server con nombres de usuario tales como administrator, admin, y el que más me sorprendió: administrador. Nunca lo habían probado en español, estos cada día saben más. -Voy a mirar quien es- pensé. Israel, la India, Rusia, Dinamarca... De ahí eran las 4 ips... Quería dejarles un mensajito así que accedí a través del terminal server (un WinNT 2000) con "admin" y "pass", en el de la India. Los demás eran todos Windows 2003. -Qué raro- seguí pensando... Mi inicio de sesión en el terminal server del atacante indio no hizo más que ejectuar gran cantidad de ataques automatizados a través de archivos .bat utilizando listas de ips. Mi boca no podía cerrarse y no podía mirar nada más que el escritorio en el que me encontraba...

Estaba flipando, había entrado en el servidor y estaba atacando yo mismo a mi propio servidor y a otros cientos... El colmo... Salí cagando leches y tomé medidas. Pero la primera medida debería haber sido tomada en su día, para prevenir que una máquina de la empresa fuera infectada con un troyano de esta clase a través de la memoria usb de un trabajador. Probablemente al momento la oficina entró a formar parte de una lista de IPS atacables y desde entonces todos esos intentos vienen hechos de manera automática...

De la mano de Panda Security nos llega una pequeña y sencilla aplicación, que no por ello deja de ser útil y eficaz. Se trata de USBVaccine, vacuna que limpiamente se encarga de cambiar los valores del registro para la prevención de ejecución automática de todos los dispositivos de Windows, CDs y DVDs. Además crea un archivo llamado autorun.inf en la raíz de las unidades externas tales como llaves usb y discos duros, imposibilitando su borrado o sustitución por los de todos esos malwares que pretenden aprovecharse de esta gran ocasión que les brinda el gigante de Redmon.