Utilidades‎ > ‎

Sobre virus en memorias USB

En este apartado se intenta dar solución a diversos problemas que surgen en las memorias USB con relación a los virus informáticos.

Si usted conoce algún problema y su solución, no dude en comunicarnoslo. Así podremos aumentar la información a disponibilidad de todo el mundo.

Puntos de interés:
1.- Introducción.
2.- Casuística.



1.- Introducción

Desde hace algún tiempo hemos dejado de usar los disquetes para traer y llevar información de un ordenador a otro sustituyendolos por diverso tipos de dispositivos y conexiones en red. Entre estos dispositivos los sustitutos más naturales son las memorias USB.
En la epoca de los disquetes estos podían ser un foco de infección, caso que se da ahora con dichas memorias.

Las infecciones de virus y de sotfware tipo malware pueden producirse de diversas formas, pero en las memorias USB la más extendida, por lo que hemos podido apreciar en el Instituto y en parte de la sociedad cercana, viene producida por un tipo de malware que hace uso de un fichero llamado "autorun.inf" que se inicia cuando introducimos la memoria en el puerto USB y se carga en el equipo.

Cuando autorun.inf se inicia llama a algún otro fichero ejecutable ( .exe ) que contiene el malware y, resumidamente,  se desencadena todo el proceso de infección.

¿De donde viene este fichero autorun.inf?
Primero decir que este fichero en su uso normal no tiene ningún tipo de peligrosidad, es más, ¿quién no ha introducido un CD o DVD y éste ha arrancado un interface gráfico para navegar por los distintos contenidos del CD o DVD? Bueno, pues el encargado de realizar el inicio es nuestro querido fichero autorun.inf.
Claro está que se han aprovechado de esta característica para difundir malware en una herramienta de uso común y altamente extendida.

Frente a esta situación unas recomendaciones básicas, disponer de un antivirus actualizado, así como mantener actualizados, también, el sistema operativo y los programas que usemos, sobre todo los de propósito general como los lectores de archivos PDF, navegadores web, reproductores de flash, clientes de correo, etc.

Otra recomendación y no menos importante es crear un usuario limitado para realizar el trabajo diario (elaborar documentos, navegar por la web, ...) y dejar el usuario administrador para las labores de mantenimiento del equipo (instalar/desintalar programas, actualizaciones, ...)

A continuación se describen una serie de casos relacionados con las memorias USB y este tipo de virus o malware que afecta sobre todo a través del fichero autorun.inf y sus posibles soluciones.




2.- Casuística

Caso1: Memoria USB que ha sido desinfectada por un antivirus y ya no se puede acceder a su contenido.

  Problema: Despues de desinfectar la memoria USB con el antivirus, no se puede abrir la unidad donde está situada la memoria USB y, por tanto, no puedo acceder a su contenido.

  Solución:
esta situación, muy típica por otra parte, se da cuando el antivirus elimina los ficheros de virus pero nos queda un fichero llamado autorun.inf en la raiz de la memoria USB (leer punto 1 de introducción).

Este fichero producido por una infección tiene como características:
  • Pertenecer al sistema, ser oculto y de solamente lectura.
    (¡ojo! no confundir con un fichero autorun.inf visible y correcto. Leer introducción).

  • Por tanto, no podremos verlo a simple vista, y si algún virus nos ha modificado las opciones del registro de Windows tampoco nos servirá hacer uso de la opción ver archivos ocultos (en una carpeta --> herramientas | opciones de carpeta | ... ; o pregunte a algún alumno de 4º de ESO de Informática).
La solución consiste en borrar el fichero autorun.inf, pero ¿cómo lo hacemos si no podemos verlo?

Para eliminarlo procederemos de la siguiente manera:

  1. Pinche su memoria USB

  2. Desde el icono Mi PC anote en que unidad se cargó la memoria USB. (por ejemplo F:).

  3. Vaya al botón de Inicio y despues selecione ejecutar.

  4. Escriba "cmd" (sin comillas) y pulse aceptar. Aparecerá la consola de comandos (aquello del MS-DOS).

  5. Para Situarnos en la unidad de la memoria USB, escriba su nombre, por ejemplo: F: y pulse intro.

  6. Escriba: attrib y pulse intro. Se listarán los ficheros con sus características. Si aparece algo como:

               A    SHR    autorun.inf

    --> nos encontramos con el problema que estamos descibiendo (perfecto, no se preocupe)
    fichero de sistema (S), oculto (H, hidden) y de solamente de lectura (R, read only).

    Anote los nombres de los ficheros con extensión .exe que tengan las mismas características que "autorun.inf".
    Por ejemplo: A SHR fx.exe  --> Posibilidad de virus.

    En principio no debería aparecer ningún .exe por haber sido eliminados por su antivirus.

  7. Escriba:  attrib -S -H -R autorun.inf y pulse intro.
    (Esta instrucción modifica las características del fichero convirtiendolo a un fichero que no sea del sistema, sea visible (no oculto) y de lectura-escritura).

  8. Escriba dir y pulse intro. --> Lista las carpetas y sus archivos. Ahora debe aparecer el fichero autorun.inf

  9. Ya se puede eliminar el fichero autorun.inf, pero es interesante ver su contenido antes del borrado.
    Para ello, podemos escribir el comando: write autorun.inf y pulsar intro. Esta instrucción nos abrira el fichero autorun.inf con el programa wordpad. Dentro del fichero podremos comprobar la llamada para cargar los ficheros ejecutables ( .exe ) de malware, por ejemplo: fx.exe
    Cierre el documento de worpad.

  10. Escriba: del autorun.inf  --> Esto borrará el fichero autorun.inf

  11. Si anoto otros ficheros con extensión .exe y características SHR, debería comprobar si contienen virus.
    Si usted no los grabo o su nombres son extraños (fx.exe, c2e.exe,...) seguramente sean virus. Una forma de comprobarlo, ya que en este caso su antivirus no los habría reconocido, sería acceder a la página www.virustotal.com y cargar el fichero según se indica. para ello, primeramente debemos cambiar las características del fichero actuando como hemos visto en el paso 7º)
        -->   attrib -S -H -R  nombreFichero.exe

  12. Si es virus, eliminarlo con "del" -->  del nombreFichero.exe

  13. Cerrrar la ventana de comando (MS_DOS) y expulsar la memoria USB. Al volver a introducirla ya debería funcionar correctamente.

NOTA:
    Esta situación también puede darse en las unidades de los disco duros de los ordenadores. Lo vimos en un portatíl de una compañera, donde el antivirus elimino los ficheros .exe de malware, pero dejo el autorun.inf en la unidades C: y D:
    La solución fue la vista anteriormente.