miércoles, 10 de septiembre de 2008

desactivar el autorun en windows xp

hola amig@s
estoy aqui nuevamente pero ahora con una solucion a un pequeño problema que ultimamente
andamos sufriendo los usuarios de software propietario ;)

Resulta que ultimamente hay muchos de estos virusillos que se ejecutan por medio del llamado
autorun que es gatillado cuando introducimos nuestro pendrive en la maquina.

Esta modalidad ya existia desde windows 9x donde grlte. se usaba para ejecutar algun contenido en los cdroms, etc. Pero es recien en este tiempo en el que el uso masivo de pendrives y la consecuente movida de informacion de una pc a otra, lo que ocasiona que millones de ordenadores se infecten.

Estos archivos se encuentran en la raiz del pendrive, y por lo gral funcionana asi
introducimos nuestro pendrive (contaminado) el windows xp revisa el pendrive en busca del autorun lo encuentra y este ejecuta una secuencia de comandos que activa un o unos virus que tenga almacenado dentro.

Como sabran los virus no se pueden autojecutar, siempre necesitan de un gatillo, es eso lo que hace el autorun. Ahora si, cuando se gatilla el virus fuimos, porque toma control de la maquina y la predispone a infectar tantos pendrives y discos pueda aparte de otros daños como hacer mas lenta, espiar nuestros archivos, e inclusive robarla y ocultarla o cifrarla y pedir un rescate por esta.

Bueno, la presente solucion funciona para equipos que no hayan sido contaminados aun,
nos vamos al menu inicio y seleccionamos la opcion ejecutarescribimos gpedit.msc
y luego pulsamos el boton aceptar


deberia desplegarse un programa que es para edicion de politicas de grupo:

buscamos en el lado izquierdo la carpeta que dice plantillas administrativas que es sub carpeta de configuracion del equipo.

dentro de esa subcarpeta buscamos una que dice sistema

la seleccionamos

y en el lado derecho buscamos una opcion que dice Desactivar reproducción automática

la seleccionamos y le damos doble click

seleccionamos la opcion que dice habilitada y en el combo box mas a la derecha le decimos que sean todas las unidades , por ultimo click en aceptar


y cierran pulsando Aceptar y todo listo
ahora conectan su pendrive y no aparecera mas el escaneo que le hace el sistema en busca del autorun

ahora unos tips extras mas para que puedan hacer una pequeña limpieza a sus pendrives encaso de que esten infectados
ojo, no me hago responsable de ninguna forma por ningun daño directo o indirecto que puedas hacer al equipo

con el comando cmd
te vas a la unidad que pertenece a tu pendrive
por lo general es f: o g: o h:
entonces tendrias algo como
F:\>
para ver los archivos ocultos ejecutamos el comando
dir /ah
la opcion a es para atributos y la h es de hidden (oculto)
con eso obtendremos un listado de archivos ocultos en nuestro pendrive
de ese listado tendriamos que poder diferenciar archivos/carpetas que no deberian estar alli

por ejemplo si encontramos algo como
RECYCLER
que nos indica que hay un directorio o carpeta llamado recycler, deberia llamarnos la atencion, ya que en el pendrive cuando le damos borrar a un archivo no nos pregunta si queremos enviarlo a la papelera, sino que directamente pregunta si queremos eliminarlo es por ello esa carpeta no deberia estar alli!.

ahora para borrar un directorio
usamos el comando rd (remove directory)
pero si lo usamos a secas
rd recycler
nos dira que hay archivos dentro y no se que cosas mas
para ello usamos la opcion silencioso y sin confirmaiones(q) y (s)que borra todos los archivos dentro y directorios
rd recycler /q /s
ahora para todos los archivos que nos parezcan sospechosos
usamos el comando del abreviatura de delete(borrar)

del archivo.ext /ah
nos borrara un arhivo, si es que el archivo es oculto y no esta indicado como del sistema, pero como los creadores del virus por lo gral le ponen esos atributos, al tratar de borrarlo nos dira
permission denied (permiso denegado)
tendremos que usar la opcion f (force)
del archivo.ext /ah /f

observacion usamos ah porque es un archivo oculto

algunos archivos que suelo encontrar en pendrive y que suelo borrar son
csrcs.dll
knight.exe
NTRun.exe o .com
autorun.inf

eso es todo por este post, espero les parezca interesante y no olviden hacer siempre un backup (copia de seguridad o respaldo) de sus informaciones importantes


5 comentarios:

  1. Gracias Pablito!!! me fue super util!! ^_^

    ResponderEliminar
  2. Gente.. NOO.... repito.. NO! desactiven el autorun, porque un virus les va a entrar cuando le hagan doble clk. al icono de la unidad o cuando presionen el boton derecho y elijan "abrir" o cuando elijan la opcion "explorar".. esta última sinceramente me sorprendió.. la unica manera (que he visto hasta ahora) de abrir un pendrive o CD sin que entre un vicho es elegir la opcion "Abrir Carpeta para ver Archivos" que solamete aparece en una ventanita automáticamente cuando insertamos un pendrive o CD y tenemos activada la opcion autorun.. por eso. NO desactiven el autorun.. cualquier cosa mi e-mail es 123yoyque@live.com.ar

    ResponderEliminar
  3. Entiendo mi amigo anonimo, pero te pregunto, que te parece mejor?
    - que se te infecte automaticamente la maquina cuando insertas el pendrive, o
    - que se te infecte cuando das el doble click desde 'Mi Pc'.

    porque te pregunto esto?, porque al no ejecutarse el autorun, tienes chance, de decirle a tu antivirus que escanee el pendrive antes de entrar a este con el explorador de windows.

    aparte si no lo encuentras puedes hacer lo que mencione antes, entrar con la consola de windows (cmd.exe) ir hasta la unidad del pendrive y buscar los archivos ocultos, y lo que te parezcan peligrosos los borras (o no, depende de ti).

    Entiendo tu propuesta de no desactivar dado que el riesgo sigue estando, solo que este riesgo es menor ya que no es automatico, y por tanto, tienes una chance de librarte de una infeccion molesta

    ResponderEliminar
  4. Como respuesta al anónimo yo diría que no entre en crisis nerviosa, la idea de desacticar el autorun es muy muy buena y te digo (por si no lo sabes) que existe otras formas de evitar que un virus nos ataque y combinandolas con desactivar el autorun es perfecta. Una forma de evitar esto es entrar en mi pc y en la barra donde dice unidad x: o disco estraíble x: simplemente borra eso y escribe la letra de tu usb le das enter y de esta forma nada se activa

    ResponderEliminar