Eliminar Autorun
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Eliminar Autorun as PDF for free.
More details
- Words: 1,356
- Pages: 10
GUÍA PARA DISMINUIR LAS PROBABILIDADES DE INFECCIÓN DEL VIRUS “AUTORUN.INF” Como es bien sabido, este virus utiliza lo medios extraíbles de almacenamiento para su propagación. Memorias USB, Celulares, Cámaras digitales, PSP (PlayStation Portable), Tarjetas de memoria (SD, Memory Stick, Compact Flash, XD, etc) y en algunos casos CD-ROM que hayan sido grabados en una PC contaminado. ¿Qué hace este tal virus AUTORUN.INF? Pues en su interior tiene el código para llamar ciertos ejecutables que se encuentran ocultos en unas carpetas camufladas como si fueran del sistema. El ejecutable se apodera del SHELL de la máquina, la hace parte del sistema e infecta cualquier unidad extraíble que se conecte para infectar otros equipos. Las carpetas ocultas que se encuentran son: SYSTEM, DRIVER, RECYCLER. Estas carpetas tienen en su interior otra carpeta con números similares a estos S-1-5-21-1482476501-1644491937-682003330-1013. El icono de la carpeta es una papelera de reciclaje como la que está en el escritorio de nuestras PC’s. Al hacerle doble clic nos muestra “siempre” el contenido de nuestra papelera. El virus redirecciona esta carpeta para que no vean el contenido real. Es esta una de las razones de porqué el antivirus (cualquiera que sea) no detecta los archivos, por ende, se detecta el AUTORUN.INF para que no ejecute la orden. Hasta ahí muy bien, pero… ¿porqué se siguen infectando los equipos? Pues la respuesta es simple. POR WINDOWS… cualquier CD-ROM o memoria extraíble que se inserte en el equipo va a activar la “REPRODUCCIÓN AUTOMÁTICA” si ese recuadro en que están las opciones para ver imágenes, escuchar música, ver video o simplemente explorar los archivos (ver imagen 01).
El AUTORUN.INF se aprovecha de la agilidad de los usuarios para ejecutar su comando, al fin y al cabo autorun es ejecución o reproducción automática…
Listo primera solución: DESACTIVAR REPRODUCCIÓN AUTOMÁTICA. Cómo: Nota: Esta opción es para aplicarla en cada estación de trabajo en Windows Xp y como administrador de equipo local. 1. En Windows Xp, Inicio – Ejecutar y digitamos GPEDIT.MSC (Comando para administrar las directivas grupales del equipo y/o los usuarios en la estación de trabajo) 2. Luego seleccionar: Configuración del equipo – Plantillas administrativas – Sistema y seleccionamos Desactivar reproducción automática. (ver imagen 02)
3. Allí damos doble clic para habilitar la directiva, pero hay que tener en cuenta los detalles, por defecto se deshabilitaría la reproducción en las unidades de CD-ROM, pero también nos interesa que se detenga en las demás unidades extraíbles, por tal motivo seleccionamos TODAS LAS UNIDADES y así se aplica a todo (incluyendo unidades ZIP o disquetes). damos clic en aceptar. (Ver imagen 03) NOTA: La opción deshabilitada quiere decir que la directiva de grupo no se ejecuta, Habilitada se aplica la directiva y no configurada es manual.
Esta opción NO evita la infección del virus, sólo diminuye la probabilidad de infección. Esta configuración no funciona sola. Pues existe otra método para ejecutar el AUTORUN.INF sin pasar por la reproducción automática. La otra forma de ejecución de este código es por MI PC. Si, cuando el usuario hace clic en inicio - mi PC aparecen las unidades físicas, lógicas, ópticas, y extraíbles que hay en el computador (ver imagen 04) y al hacer doble clic en una de ellas que esté infectada, se ejecuta el AUTORUN.INF.
Bueno, si se desactiva el explorador, ¿cómo harán los usuarios para explorar los archivos y carpetas? Bueno, el usuario siempre puede explorar los archivos por varias partes, pero los que hacemos el soporte y el mantenimiento solo queremos que ellos se vayan por una y por eso se la vamos a colocar. Listo segunda solución: DESACTIVAR MI PC y CREAR UNA RUTA DE EXPLORACIÓN DE ARCHIVOS. Cómo: Nota: Esta opción es para aplicarla en cada estación de trabajo tanto en Windows Xp como Windows Vista y como administrador de equipo local. 1. Clic derecho sobre Inicio, seleccionar propiedades. (ver imagen 05).
2. En personalizar seleccionamos, opciones avanzadas y donde aparezca mi PC, seleccionamos No mostrar este elemento.(ver imagen 06). Así sacamos del menú de inicio el icono de MI PC.
3. Ahora que el icono no está, nos vamos para el escritorio y hacemos clic derecho – nuevo – acceso directo (ver imagen 07).
4. Vamos a buscar en Disco local (C:) – Windows, un archivo llamado Explorer.scf este es un archivo de comandos del explorador de Windows. Es normal que Windows XP y Vista, traigan este archivo para cargar los comandos cuando se presionan los atajos de teclado o se escribe Explorer en ejecutar del menú de inicio. Bueno, este archivo se diferencia del otro Explorer que existe en la misma carpeta por 2 cosas, (1). El icono es una carpeta amarilla con una lupa y (2). la extensión al seleccionar el archivo es .scf y no .exe. (ver imagen 08)
5. Hacemos clic en siguiente, le escribimos el nombre de MI PC, clic en finalizar y tenemos el icono del explorador en el escritorio, el cual al hacerle doble clic no nos muestra las unidades como el anterior sino que me permite ver el árbol de las carpetas que existe en el disco. (ver imagen 09). En caso de que se desee cambiar el icono se puede hacer y colocar el que trae MI PC por defecto, la pantalla lcd azul. NOTA: Esta opción también se puede hacer en Windows Vista, pero los comandos de “Explorer.scf” muestran las unidades. Se puede copiar el archivo de Windows Xp en Windows Vista y no hay problema y muestra las carpetas del sistema.
VUELVO Y ACLARO, ESTAS OPCIONES NO IMPIDEN LA INFECCIÓN DEL VIRUS “AUTORUN.INF” PERO SI DISMINUYEN LA PROBABILIDAD DE EJECUCIÓN DE SU CÓDIGO E INFECCIÓN DEL EQUIPO. ES NECESARIO CREAR CONCIENCIA EN LOS USUARIOS DE QUE SIEMPRE SE DEBE VACUNAR UNA UNIDAD EXTRAÍBLE ANTES DE USARLA. NOTA: Si es Administrador de Red o Dominio, puede aplicar la directiva de grupo a todos las estaciones de trabajo creando una política de grupo en el active directory para que se ejecute sin necesidad de configurar equipo por equipo. Esto lo explicaré en otro documento. Bueno, todo esto es para evitar la infección Pero… ¿y si el equipo ya está infectado? Pues se deben verificar varias cosas. 1. Si el administrador de tareas está bloqueado. 2. Si el menú ejecutar no está en el menú de inicio. 3. El command de DOS no ejecuta. 4. No tiene permitido ver los archivos ocultos ni del sistema. 5. No deja entrar al registro del sistema (regedit). 6. La conexión en internet no funciona o no carga las páginas.
Si es alguno de los anteriores, hay 2 soluciones. 1. Formato completo 2. Iniciar con un Live Cd de Linux o Windows para eliminar los virus manualmente. Buscar autorun, recycler, system, ckor, amvo, kavo, drv32.exe, ise32.exe, iuhi64.exe. Una vez eliminados desde el Live CD, se reinicia el equipo a modo a prueba de fallos y se utilizan 2 archivos que se adjuntan en la carpeta (antivirus.vbs y mata recycler.vbs) estos archivos son código de Visual Basic Script que busca los demás virus, limpia el registro (regedit) y vuelve a habilitar archivos ocultos. Como el SHELL y algunos servicios de Windows se ven afectados, es probable que el sistema operativo saque algunos errores. Hacer copia de seguridad y reinstalar sistema operativo. Si el caso es que ninguna de las 6 opciones están correctas, solo es necesario correr los 2 archivos de visual basic y hacer los procedimientos para deshabilitar reproducción automática y la del explorador de Windows. Para Windows Vista, la reproducción automática se desactiva desde el panel de control – “Reproducir un CD u otros archivos multimedia” en Hardware y Sonido. Desactivar la casilla de verificación de “usar la reproducción automática para todos los medios y dispositivos” Clic en guardar y listo. (ver imagen 10)
Bueno, espero que con esta guía se disminuya significativamente el ataque del “AUTORUN.INF”, no es definitiva la solución pero favorece a que se pueda controlar la infección de las máquinas. En breve haré la guía para crear la política de grupo para desactivar reproducción automática y desactivar Mi PC del menú de inicio. Suerte y a trabajar!!!! Elaborado por: Walter Barrera – Jefe Sistemas Salle Bello.
El AUTORUN.INF se aprovecha de la agilidad de los usuarios para ejecutar su comando, al fin y al cabo autorun es ejecución o reproducción automática…
Listo primera solución: DESACTIVAR REPRODUCCIÓN AUTOMÁTICA. Cómo: Nota: Esta opción es para aplicarla en cada estación de trabajo en Windows Xp y como administrador de equipo local. 1. En Windows Xp, Inicio – Ejecutar y digitamos GPEDIT.MSC (Comando para administrar las directivas grupales del equipo y/o los usuarios en la estación de trabajo) 2. Luego seleccionar: Configuración del equipo – Plantillas administrativas – Sistema y seleccionamos Desactivar reproducción automática. (ver imagen 02)
3. Allí damos doble clic para habilitar la directiva, pero hay que tener en cuenta los detalles, por defecto se deshabilitaría la reproducción en las unidades de CD-ROM, pero también nos interesa que se detenga en las demás unidades extraíbles, por tal motivo seleccionamos TODAS LAS UNIDADES y así se aplica a todo (incluyendo unidades ZIP o disquetes). damos clic en aceptar. (Ver imagen 03) NOTA: La opción deshabilitada quiere decir que la directiva de grupo no se ejecuta, Habilitada se aplica la directiva y no configurada es manual.
Esta opción NO evita la infección del virus, sólo diminuye la probabilidad de infección. Esta configuración no funciona sola. Pues existe otra método para ejecutar el AUTORUN.INF sin pasar por la reproducción automática. La otra forma de ejecución de este código es por MI PC. Si, cuando el usuario hace clic en inicio - mi PC aparecen las unidades físicas, lógicas, ópticas, y extraíbles que hay en el computador (ver imagen 04) y al hacer doble clic en una de ellas que esté infectada, se ejecuta el AUTORUN.INF.
Bueno, si se desactiva el explorador, ¿cómo harán los usuarios para explorar los archivos y carpetas? Bueno, el usuario siempre puede explorar los archivos por varias partes, pero los que hacemos el soporte y el mantenimiento solo queremos que ellos se vayan por una y por eso se la vamos a colocar. Listo segunda solución: DESACTIVAR MI PC y CREAR UNA RUTA DE EXPLORACIÓN DE ARCHIVOS. Cómo: Nota: Esta opción es para aplicarla en cada estación de trabajo tanto en Windows Xp como Windows Vista y como administrador de equipo local. 1. Clic derecho sobre Inicio, seleccionar propiedades. (ver imagen 05).
2. En personalizar seleccionamos, opciones avanzadas y donde aparezca mi PC, seleccionamos No mostrar este elemento.(ver imagen 06). Así sacamos del menú de inicio el icono de MI PC.
3. Ahora que el icono no está, nos vamos para el escritorio y hacemos clic derecho – nuevo – acceso directo (ver imagen 07).
4. Vamos a buscar en Disco local (C:) – Windows, un archivo llamado Explorer.scf este es un archivo de comandos del explorador de Windows. Es normal que Windows XP y Vista, traigan este archivo para cargar los comandos cuando se presionan los atajos de teclado o se escribe Explorer en ejecutar del menú de inicio. Bueno, este archivo se diferencia del otro Explorer que existe en la misma carpeta por 2 cosas, (1). El icono es una carpeta amarilla con una lupa y (2). la extensión al seleccionar el archivo es .scf y no .exe. (ver imagen 08)
5. Hacemos clic en siguiente, le escribimos el nombre de MI PC, clic en finalizar y tenemos el icono del explorador en el escritorio, el cual al hacerle doble clic no nos muestra las unidades como el anterior sino que me permite ver el árbol de las carpetas que existe en el disco. (ver imagen 09). En caso de que se desee cambiar el icono se puede hacer y colocar el que trae MI PC por defecto, la pantalla lcd azul. NOTA: Esta opción también se puede hacer en Windows Vista, pero los comandos de “Explorer.scf” muestran las unidades. Se puede copiar el archivo de Windows Xp en Windows Vista y no hay problema y muestra las carpetas del sistema.
VUELVO Y ACLARO, ESTAS OPCIONES NO IMPIDEN LA INFECCIÓN DEL VIRUS “AUTORUN.INF” PERO SI DISMINUYEN LA PROBABILIDAD DE EJECUCIÓN DE SU CÓDIGO E INFECCIÓN DEL EQUIPO. ES NECESARIO CREAR CONCIENCIA EN LOS USUARIOS DE QUE SIEMPRE SE DEBE VACUNAR UNA UNIDAD EXTRAÍBLE ANTES DE USARLA. NOTA: Si es Administrador de Red o Dominio, puede aplicar la directiva de grupo a todos las estaciones de trabajo creando una política de grupo en el active directory para que se ejecute sin necesidad de configurar equipo por equipo. Esto lo explicaré en otro documento. Bueno, todo esto es para evitar la infección Pero… ¿y si el equipo ya está infectado? Pues se deben verificar varias cosas. 1. Si el administrador de tareas está bloqueado. 2. Si el menú ejecutar no está en el menú de inicio. 3. El command de DOS no ejecuta. 4. No tiene permitido ver los archivos ocultos ni del sistema. 5. No deja entrar al registro del sistema (regedit). 6. La conexión en internet no funciona o no carga las páginas.
Si es alguno de los anteriores, hay 2 soluciones. 1. Formato completo 2. Iniciar con un Live Cd de Linux o Windows para eliminar los virus manualmente. Buscar autorun, recycler, system, ckor, amvo, kavo, drv32.exe, ise32.exe, iuhi64.exe. Una vez eliminados desde el Live CD, se reinicia el equipo a modo a prueba de fallos y se utilizan 2 archivos que se adjuntan en la carpeta (antivirus.vbs y mata recycler.vbs) estos archivos son código de Visual Basic Script que busca los demás virus, limpia el registro (regedit) y vuelve a habilitar archivos ocultos. Como el SHELL y algunos servicios de Windows se ven afectados, es probable que el sistema operativo saque algunos errores. Hacer copia de seguridad y reinstalar sistema operativo. Si el caso es que ninguna de las 6 opciones están correctas, solo es necesario correr los 2 archivos de visual basic y hacer los procedimientos para deshabilitar reproducción automática y la del explorador de Windows. Para Windows Vista, la reproducción automática se desactiva desde el panel de control – “Reproducir un CD u otros archivos multimedia” en Hardware y Sonido. Desactivar la casilla de verificación de “usar la reproducción automática para todos los medios y dispositivos” Clic en guardar y listo. (ver imagen 10)
Bueno, espero que con esta guía se disminuya significativamente el ataque del “AUTORUN.INF”, no es definitiva la solución pero favorece a que se pueda controlar la infección de las máquinas. En breve haré la guía para crear la política de grupo para desactivar reproducción automática y desactivar Mi PC del menú de inicio. Suerte y a trabajar!!!! Elaborado por: Walter Barrera – Jefe Sistemas Salle Bello.
Related Documents
Eliminar Autorun
May 2020 15
Autorun
November 2019 18
Diet Autorun
July 2020 12
Mematikan Autorun
April 2020 13
Eliminar Drm.docx
April 2020 15