Seguridad‎ > ‎Windows‎ > ‎

AutoRun

AutoRun y AutoPlay (Reproducción automática) son componentes del sistema operativo Microsoft Windows que determinan qué acciones toma el sistema cuando una unidad es montada.

AutoRun fue introducido con Windows 95 para facilitar la instalación de aplicaciones por parte de usuarios no técnicos y reducir el costo de las llamadas al soporte técnico de software. Cuando se introduce apropiadamente un disco compacto en un lector de CD-ROM configurado, Windows detecta la inserción y comprueba el contenido de un archivo especial que contiene un conjunto de instrucciones. Las aplicaciones comerciales normalmente con estas instrucciones inician la instalación de su software desde el CD-ROM. Para maximizar la probabilidad de éxito de la instalación, AutoRun también se ejecuta cuando se accede a la unidad en el Explorador de Windows (o "Mi PC").

Hasta la introducción de Windows XP, el término AutoRun es usado por los desarrolladores y el término AutoPlay es usado por los usuarios finales para referirse a la misma característica de Windows. Sin embargo, esto cambia con la llegada de Windows XP, que presenta una nueva característica también denominada AutoPlay, pero que reemplaza el concepto anterior y lo hace diferente del AutoRun. El AutoPlay consiste en un menú contextual que es presentado al usuario con la inserción un medio extraíble y le permite escoger una acción.

Nota: Aunque este artículo se centra en Microsoft Windows, se informa que el concepto de autorun y autoplay también se encuenta disponible en GNU Linux.

[AutoRun]

AutoRun, una característica del Explorador de Windows (en realidad, de shell32.dll) introducida en Windows 95, que permite a medios y dispositivos ejecutar programas mediante el uso de comandos listados en un archivo llamado autorun.inf ubicado en el directorio raí­z del medio.

Se utiliza principalmente para ejecutar instaladores de aplicaciones en los CD-ROM. El archivo autorun.inf también especí­fica un icono que representa visualmente el dispositivo con el Explorador, junto con otras funciones avanzadas.

[AutoPlay]
AutoPlay es una característica introducida en Windows XP que examina medios y dispositivos extraí­bles (unidades flash) insertados, a partir de contenidos tales como archivos de imágenes, música o ví­deos, y que muestra una ventana de diálogo que permite escoger opciones tales como lanzar una aplicación para reproducir o mostrar el contenido, examinar el directorio raíz del medio o si existe un archivo autorun.inf que está configurado para ejecutar un programa, lanzar dicho programa.

[Estructura de un archivo autorun.inf]
La estructura y las configuraciones que puede contener un archivo autorun.inf variarán dependiendo del dispositivo en el que se encuentre y la versión de Microsoft Windows que lo lea. Detalles.

Básico: [AUTORUN]
OPEN=setup.exe
ICON=icono.ico
Con opciones: [AUTORUN]
OPEN=setup.exe
ICON=icono.ico
SHELL\INSTALL=&Instalar...
SHELL\INSTALL\COMMAND=setup.exe


[Seguridad]
Las características de autorun y autoplay pueden ser usadas para ejecutar sin o con el consentimiento del usuario (usando ingeniería social) programas maliciosos. Por ejemplo, con estas caracteristícas habilitadas un programa malicioso puede ser ejecutado al introducir un cd-rom en la unidad lectora, o al hacer doble clic en el icono de un disco duro en Mi PC, o al escoger en el AutoPlay de las unidades flash la opción "Usar el programa proporcionado en el dispositivo".

Medidas de seguridad:
  • Mantener presionada la tecla SHIFT cuando recién se introduce o monta la unidad. Esto es para evitar el autorun y autoplay.
  • Nunca hagamos doble clic sobre el icono de dichas unidades, o hacer clic derecho sobre ellas y seleccionar en el menú contextual la opción Abrir o Explorar. Al menos que nuestro sistema tenga ciertas configuraciones que se detallan más adelante. Para ver el contenido de estas unidades podemos hacer lo siguiente:
  1. Menú Inicio, Ejecutar (o WinKey + R) y escribir la letra de nuestra unidad seguida de dos puntos, y presionar enter.
  2. Ir a Mi PC o al Explorador de Windows y escribir en la barra de direcciones la letra de nuestra unidad seguida de dos puntos, y presionar enter.

[Deshabilitar completamente la característica de autorun]

Para deshabilitar la característica de autorun completamente es necesario modificar el registro de Windows.
El siguiente registro lo hace:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Esto trae como consecuencia la deshabilitación completa del autorun y por extensión del autoplay, para todos los tipos de unidades. Esto es lo más recomendable.

[Deshabilitar el autoplay y la ejecución de programas del autorun]
La siguiente opción conservará el icono que se encuentre configurado en un archivo autorun.inf, pero deshabilitará el AutoPlay y la ejecución de programas. Para que funcione correctamente, primero debemos instalar la actualización KB953252 o de lo contrario nos veremos afectados por un fallo que permite ejecutar programas cuando accedemos a las unidades desde Mi PC al hacer doble clic sobre las unidades, o acceder al menú contextual y luego haciendo clic en abrir o ejecutar. El fallo se produce con archivos autorun.inf como el siguiente:

[autorun]
open=malware.com
shellexecute=malware.com
shell\open\Default=malware.com
shell\open\Command=malware.com
shell\explore\Command=malware.com

Luego de instalar el parche, podemos utilizar el siguiente registro:
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Nota: El registro HKEY_LOCAL_MACHINE se aplica a todo la máquina local (todas las cuentas de usuario), en cambio HKEY_CURRENT_USER se aplica solamente a la cuenta de usuario actual. Si existe un valor en HKEY_CURRENT_USER y existe uno en HKEY_LOCAL_MACHINE se utiliza el valor de HKEY_LOCAL_MACHINE y se ignora el de HKEY_CURRENT_USER.

Sería bueno trabajar con una cuenta limitada, así se evita que un programa pueda cambiar el valor de HKEY_LOCAL_MACHINE.

Nota: Si el equipo se une a un dominio de Active Directory está configuración es reseteada a sus valores por defecto.

El contenido del valor de tipo dword es una suma en hexadecimal de los siguientes valores:

0x1

Deshabilita Autoplay en unidades de tipo desconocido.

0x4

Deshabilita Autoplay en unidades removibles.

0x8

Deshabilita Autoplay en unidades fijas.

0x10

Deshabilita Autoplay en unidades de red.

0x20

Deshabilita Autoplay en unidades CD-ROM.

0x40

Deshabilita Autoplay en unidades RAM..

0x80

Disables Autoplay on drives of unknown type.

0xFF

Deshabilita Autoplay todos los tipos de unidades.


[Uso de ingeniería social en el AutoPlay de las unidades removibles]
En en el AutoPlay existe una opción llamada "Abrir carpeta para abrir archivos", que puede ser suplantada usando el siguiente archivo autorun.inf

[autorun]
;inicio
open=malware.com
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Abrir carpeta par ver archivos
action=@malware.com
;fin

En la imagen puede verse que la opción verdadera queda más abajo, y la falsa queda como primera opción. La opción verdadera dice: usar Explorador de Windows, en cambio la falsa dice: usar el programa proporcionado en el dispositivo.

ċ
RDAP.CMD.txt
(2k)
sirdarckcat elhacker.net,
15 nov. 2009 5:14
Comments