Este dispositivo vino a sustituir al disco flexible, el cual nunca evoluciono para ofrecer una mayor capacidad de almacenamiento más allá de los 1.4M. Sin embargo, al igual que su predecesor, este dispositivo se esta convirtiendo en un nueva fuente de transmisión de virus. Hace poco me encontraba en un lugar  que cuenta con varios locales para la  venta de artículos electrónicos y me llamo la atención uno de los letreros en uno de los locales. En el letrero se encontraba escrito: “Se vacunan USBs”.

En los últimos meses me he encontrado con varios de estos dispositivos infectados, algunos no permiten el acceso a la unidad desplegando el mensaje que el acceso es negado. Otros permiten el acceso, pero el usuario no puede ver sus archivos de imágenes. Algunos más cargan ejecutables dentro del sistema, que después llevan a cabo otro tipo de operaciones dentro del sistema, por ejemplo borrar los archivos que se encuentran en el escritorio del sistema del usuario.

Entre los nombres de virus que utilizan este dispositivo para propagarse se encuentran Amvo, Avpo, Kavo, AdobeR.exe, Ravmon, Copy, Host, Svchost, etc. El principio de propagación es simple. El usuario introduce su dispositivo USB en una computadora infectada o con la infección activa. El sistema copia en el dispositivo USB archivos relacionados con la infección, estos archivos cuentan con los atributos ocultos y sistema activos. El primer atributo impide que los usuarios vean los archivos. En caso de que el usuario los encuentre por otros métodos,  la segunda opción despliega un mensaje que indica que si se borran los archivos es posible que el sistema deje de funcionar correctamente (este es el mensaje típico que aparece cuando uno borra un archivo del sistema).

Los nombres de los archivos varían de acuerdo al tipo de infección, pero en la mayor parte de los casos encontraremos un archivo de nombre autorun.inf que permite la propagación del virus. Cuando uno inserta el USB infectado en un sistema sano, este último se vuelve un vector de propagación para todos los dispositivos USB que se conecten a él. Hasta este momento hemos hablado de dispositivos USB, pero el método de propagación aplica tanto a dispositivos de memoria, como a cámaras digitales, discos duros externos etc.

Entre las variantes encontramos el virus denominado USBWormA.  Es un gusano que se propaga haciendo copias de si mismo sobre dispositivos de almacenamiento móviles como llaves USB. Copia dos archivos, autorun.inf y more.exe. El primero manda llamar el segundo. El gusano modifica el archivo desktop.ini para cambiar la apariencia de los directorios Windows, para después desplegar el mensaje “^_^Hello, I’m a hot body, but I am very cool^_^”. También intenta copiarse en el sistema, con nombres aleatorios y de insertarse en el archivo autorun.inf para poder ejecutare cada vez que el usurario presione el botón derecho sobre un elemento.

El elemento clave en todo el ciclo de propagación es el archivo autorun.inf. Dicho archivo es usado en los CDs y DVDs y se encuentra en el directorio raíz el dispositivo. El archivo presenta la siguiente sintaxis:

[autorun]
open=Nombre.extension
label=Etiqueta_Unidad
action=texto
action=descripción_acciones_a_llevar_a_cabo
icon=nombreicono.ico
shellexecute=archivo_no_ejecutable
shell\identificador_opcion_menu=texto_a_mostrar
shell\identificador_opcion_menu\command=comando_a_ejecutar

Un caracter “;” al principio de la línea sirve como comentario. La línea que comienza con open asigna la ruta del archivo que se desea ejecutar. En la línea de icon se especifica el icono que se mostrará para identificar a la unidad. Las palabras reservadas label y action permiten definir un texto que se despliega debajo del icono. La opción  shellexecute permite abrir archivos no ejecutables y que no se pueden ejecutar directamente. Con shell\identificador se definen las diferentes opciones a desplegar cuando un usuario presiona el botón derecho del ratón, y este se encuentra sobre el icono que representa al dispositivo.

Un ejemplo de código que se encontró en un dispositivo usb  infectado es el siguiente:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\default=1

Este archivo ejecutara el programa ise32.exe que se encuentra almacenado dentro del mismo usb en la carpeta de reciclado, (recycler). El archivo ise32.exe tiene por objetivo el impedir el acceso a la unidad usb.
 Entre las medidas a tomar para evitar infectarse de este tipo de virus, esta el deshabilitar la opción de autoejecución de los dispositivos móviles. Hay que tomar en cuenta que varias aplicaciones (en especial el itunes) desplegaran un mensaje de activación de esta característica cada vez que un CD se inserte en la computadora y se quiera escuchar.

Ahora bien, ¿que pasa si nuestro USB ya esta infectado? En este caso se puede recurrir a alguno de los locales para que vacune el USB, o uno mismo lo puede vacunar. Una de las primeras recomendaciones que uno encuentra es formatear el USB, lo cual borrará tanto los archivos malignos como nuestra información. Por lo cual hay es necesario respaldar la información contenida dentro del dispositivo antes de formatearlo. Hay que tener cuidado que entre los archivos respaldados no se encuentren los archivos malignos.

Algunas personas han desarrollado algunos scripts para vacunar los USBs, los cuales funcionan bien, pero no se puede garantizar que lo harán para todos los tipos de virus. Otra forma de eliminar estos archivos es a través de la línea de comandos de Windows, tecleando lo siguiente

attrib -s -h -r C:/autorun.inf
del C:/autorun.inf /f /q /a

El primer comando elimina los atributos de sistema y de sólo lectura del archivo autorun.inf. El segundo lo elimina del directorio, con la opción /f se forza el borrado, la opción /q evita el pedir confirmación y la opción /a indica que el archivo cuenta con atributos. El borrado del archivo también se puede hacer desde el explorer del sistema operativo, pero hay que habilitar la opción que nos permite ver los archivos ocultos y hacer caso omiso del mensaje de alerta de que se esta borrando un archivo del sistema. En algunos casos el virus dentro del USB deshabilita esta opción haciendo imposible el habilitar la opción desde el explorer, por la que la opción de la línea de comandos es una buena alternativa. Es importante tomar en cuenta que solo se esta borrando el archivo autorun.inf, no así el archivo del virus, tan solo estamos eliminando el medio de transmisión no el virus en sí. Para eliminarlo es necesario conocer el nombre de este, inspeccionando el archivo autorun.inf y borrarlo siguiendo los pasos anteriores.

La cantidad de información que se puede almacenar en este tipo de dispositivos (hasta 8 Gbytes) y el tamaño de estos los convierten en un excelente instrumento para el intercambio de información. Sin embargo, las mismas características los convierten en un buen elemento de transmisión de malware. Hay que tener cuidado donde insertamos los dispositivos USB y tener al día nuestros antivirus. Recordemos que fue con los discos flexibles que se empezó con la propagación de virus, aparentemente no aprendimos la lección y ahora son los dispositivos USB los portadores.