¿Cómo conectarse desde casa a Infomed?

Si se accede a través del 78314949 se debe configurar el acceso telefónico con los siguientes datos:
Suponiendo que su dirección electrónica es obshab@infomed.sld.cu
usuario: obshab Palabra clave: su palabra clave
Servidor de correo entrante: pop3.sld.cu Servidor de correo saliente: smtp.sld.cu

Dos causas fundamentales de esta situación fueron el gran intercambio de información y de aplicaciones a través de los disquetes, así como las facilidades que brindaba el Sistema Operativo DOS de Microsoft, el más usado, de que un virus de este tipo se propagara hacia los disquetes que posteriormente se emplearan en las PCs afectadas.

Si a lo anterior añadimos la alta probabilidad de que las computadoras fueran reiniciadas accidentalmente con uno de estos soportes de almacenamiento colocado en la unidad de lectura/escritura (también conocida como torre de floppy), y que muchas personas ignoraran que un disquete sólo requería estar formateado para ser portador de un virus, independientemente de que contuviera o no información y programas, no es de extrañar la efectividad que lograron los autores de estos códigos maliciosos en la difusión de sus creaciones.

Para colmo, era frecuente que el disco duro de una computadora fuera revisado y descontaminado por un producto antivirus, pero los disquetes engavetados no y ocurrían con frecuencia “re-infecciones”.

Ya han trascurrido poco menos de 20 años y la situación comienza a repetirse pero de una manera más sofisticada. Los servicios que se brindan a través de INTERNET constituyen actualmente la plataforma de comunicación más empleada en el intercambio de información pero no son pocas las ocasiones en que necesitamos utilizar soportes de almacenamiento, que portamos personalmente, para transportarla.

En esas situaciones, los más recurridos en la actualidad son: Discos Compactos, Discos Externos y las cada vez más populares Memorias Flash USB. Estas últimas por su fácil transportación y creciente capacidad de almacenamiento (1GB equivale aproximadamente a 1000 disquetes de 1,2 MB), así como la incorporación de otras atractivas funcionalidades (reproducción de música) que se le adicionan, las han convertido en las preferidas.

Versiones del Sistema Operativo Windows permiten que con sólo insertar uno de estos medios de almacenamiento puedan tomar el control ficheros ejecutables presentes en ellos, por lo que los creadores de códigos malignos han considerado esta opción como una vía nada despreciable para llegar y comprometer un número importante de computadoras.

Con ese objetivo, en la mayoría de las ocasiones, estos códigos ejecutados automáticamente se copian hacia el disco duro, se instalan como procesos en memoria, crean las condiciones para tomar el control cada vez que la computadora sea reiniciada y se copian hacia los dispositivos removibles de almacenamiento que sean colocados en las unidades de disquete y se conecten a través de los puertos USB.

Para su ejecución automática crean un fichero nombrado autorun.inf que salvan en el directorio raíz del soporte, en el que incluyen comandos que “ordenan” al Sistema Operativo la ejecución de su código, el cual generalmente se encuentra en un fichero ejecutable almacenado dentro de la propia flash. Por tal motivo, al editar el fichero .inf, es frecuente observar éstas órdenes a continuación de la etiqueta [autorun]:

[autorun]

open=setup.exe
o
open = Start =Inicio.html
o
shellexecute =Inicio.html
o
shell\open\Command=WScript.exe .\autorun.vbs
o
shell\explore\Command=WScript.exe .\autorun.vbs

No obstante, no siempre que esto suceda es señal de que la flash está “infectada”. Aún cuando esta facilidad es empleada en los discos compactos, es menos frecuente en las memorias flash que generalmente utilizamos para estos fines, por lo que su presencia nos puede resultar sospechosa. Cada cual debe tener una idea de lo que contiene éste fichero, si está presente en la memoria que generalmente emplea. Si por ejemplo normalmente no existe y aparece uno nuevo o el existente es modificado, entonces es posible que sí se trate de una infección.

Al igual que como sucedió con los disquetes, los usuarios en muchas ocasiones desconocen este peligro y son usuales las “re-infecciones” .

El problema es que en la mayoría de las ocasiones esta acción es tardía, pues, como comentamos, al colocar la flash el sistema comprueba la presencia del fichero autorun.inf y si existen los permisos correspondientes no vacila en ejecutar las órdenes contenidas en él.

Sin embargo, aún cuando pueda resultar molesto existe una variante de deshabilitación del autorun haciendo modificaciones en los registros, específicamente en los valores: NoDriveAutoRun y NoDriveTypeAutoRun, siempre y cuando se tengan permisos de administrador del sistema.

El primer valor relaciona las unidades de almacenamiento por letras, tal y como generalmente trabajamos con el Explorador, ejemplo A para la disquetera, C para el disco duro, D para el Disco compacto y E para una flash:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

El bit menos significativo del dato a colocar en el valor corresponde a la letra A:, el Segundo a la B, el tercero a la C: y así sucesivamente, por lo que la combinación 101, desactivaría a las unidades referenciadas con las letras A y C, quedando en este caso:

Valor Tipo Dato
NoDriveAutoRun REG_DWORD 0x00000005

La desactivación por esta vía tiene como inconveniente que debe ser realizado el cambio cada vez que se agreguen nuevas o eliminen ya existentes, pues la letra asignada a la unidad puede variar.

La segunda variante realiza la desactivación del autorun según el tipo de la unidad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

En este caso, los bits en el dato representan los diferentes tipos de soportes y si su valor es 1 indica que ese tipo de unidad tendrá la opción de autorun deshabilitada.

Por ejemplo en Windows NT4, 2000 y XP:

Valor Tipo Dato
NoDriveTypeAutoRun REG_DWORD 0x00000091 indica que el autorun en
cualquier unidad de red
está deshabilitado

0x00000095 indica que el autorun en
cualquier unidad de red
y unidad removible
como flash y disquete
está deshabilitado

0x000000B5 indica que el autorun
en cualquier unidad de
red, unidad removible
y unidad de disco
compacto está
deshabilitado

Las modificaciones de los registros se pueden realizar con el auxilio del REGEDIT.EXE, herramienta que para tales fines se distribuye con el Sistema Operativo.

Pasos:
1) Localizar el valor No Drive Type Auto Run y seleccionarlo con el botón izquierdo del ratón. (fig. 1)

Fig. 1 Seleccionar Valor NoDriveTypeAutoRun.

2) Seleccionar la opción Modificar, con el auxilio del botón derecho del ratón. (fig. 2)

Fig. 2 Opción Modificar.

3) Modificar el valor sustituyéndolo por el valor 0x00000095:

Fig. 3 Modificar el valor.

4) Aceptar la modificación.

En Windows 95, 98 y Me, los valores son iguales, no así el formato, por lo tanto hay que tenerlo en cuenta.

Por esta vía la dificultad es que la desactivación es por tipo de unidad por lo que sucederá lo mismo en todas las que pertenecen a un mismo tipo de unidad.

Cualquiera de los dos métodos desactivará el autorun en la unidad o unidades seleccionadas. Para más información se puede consultar el sitio: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autorun/autoplay_intro.asp.

Sin embargo esto no es suficiente, la PC todavía puede ser “infectada” cuando se acceda a la flash a través del Explorador !!!!!!!!!!!!!

Para revisar la flash con esta aplicación son necesarias dos condiciones:

1) Tener en cuenta que algunos creadores de programas malignos ocultan al fichero autorun.inf de modo que no se pueda acceder a él con el auxilio del Explorador. Por lo tanto una medida para evadir esta situación es tener activa la opción de poder observar ficheros y carpetas ocultos. Para ello, una vez ejecutada esta aplicación, seleccionar Herramientas en el menú principal. (fig. 4)

Fig. 4 Opción Herramientas en el menú principal del Explorador

Dentro de ella seleccionar Opciones de carpeta (fig. 5)

Fig. 5 Opciones de carpeta en Herramientas

Seguidamente, en la pleca Ver, activar la opción Mostrar todos los archivos y carpetas ocultos. (fig. 6)

Fig. 6 Activar Mostrar todos los archivos y carpetas ocultos.

Dado que el fichero que contiene realmente el código maligno puede ser un ejecutable con nombre de un archivo de sistema, también es recomendable visualizarlo con el Explorador. Con este objetivo, en la propia ventana, se deben desactivar las opciones: Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivos para tipos de archivo conocido.

Fig. 7 Desactivar las opciones Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivos para tipos de archivo conocido

2) Acceder a su contenido desde la ventana izquierda del Explorador. (fig 8)

Fig. 8 Acceder al contenido de la flash a través de la opción Carpetas, Mi PC, Disco extraíble

Teniendo en cuenta estas medidas es posible limitar la activación de un programa maligno que utilice como vía de propagación su ejecución automática al colocar una flash “infectada” en el puerto USB de una computadora.

Es prudente recordar que para ver el contenido de un fichero .bat es necesario abrirlo con la opción de Editar del menú, que se despliega utilizando el botón derecho del ratón, teniendo el fichero seleccionado, pues la opción de Abrir lo ejecuta.

Lo anterior no impedirá que se pueda ejecutar, a petición del usuario cualquier fichero ejecutable, por ejemplo con un doble clic.

Por supuesto que un programa antivirus centinela, activo en la computadora, es una opción más sencilla para prevenir su ejecución, algo similar sería revisar el soporte con el componente identificador/descontaminador, pero no podemos olvidar que generalmente el antivirus debe estar actualizado y a su vez reconocerlo, es decir, tener incluida en su base de firmas la correspondiente al código maligno, lo que no siempre sucede.

Los reportes recibidos por la empresa de Consultoría y Seguridad Informática SEGURMATICA, demuestran que el hecho de que exista una protección tecnológica en la frontera entre la red local de una empresa e INTERNET, no puede hacernos pensar que un código maligno no pueda entrar con nosotros en un medio de almacenamiento empleado fuera de ésta o que sencillamente nos entregue un cliente. No descartemos tampoco a las laptops, notebooks u otros dispositivos informáticos también portátiles.

Las computadoras internas, la mayor proporción, si no están protegidas se pueden transformar en una amplia plataforma de propagación. Basta con que una de ellas sea comprometida para que toda una red pueda quedar posteriormente a disposición de un atacante.

Es importante recordar que uno de los ardides más empleados por los creadores de los programas malignos es la copia de sus códigos hacia archivos con icono de carpeta con nombres atractivos con la finalidad de engañar a los usuarios para tentarlos a ejecutar un doble clic sobre ellos. Este es un ejemplo de ingeniería social.

Mantener la vigilancia en la frontera es una necesidad, pero las medidas internas son de vital importancia, y allí todos los usuarios de la Informática somos responsables, no nos confiemos, no bajemos la guardia. Las modas cambian, antes eran disquetes, ahora dispositivos más pequeños pero con mayor capacidad, hagamos lo posible porque la situación no se repita.