GUÍA PARA DISMINUIR LAS PROBABILIDADES DE INFECCIÓN DEL VIRUS

“AUTORUN.INF”

Como es bien sabido, este virus utiliza lo medios extraíbles de almacenamiento

para su propagación. Memorias USB, Celulares, Cámaras digitales, PSP
(PlayStation Portable), Tarjetas de memoria (SD, Memory Stick, Compact Flash,
XD, etc) y en algunos casos CD-ROM que hayan sido grabados en una PC
contaminado.

¿Qué hace este tal virus AUTORUN.INF?

Pues en su interior tiene el código para llamar ciertos ejecutables que se
encuentran ocultos en unas carpetas camufladas como si fueran del sistema. El
ejecutable se apodera del SHELL de la máquina, la hace parte del sistema e
infecta cualquier unidad extraíble que se conecte para infectar otros equipos.
Las carpetas ocultas que se encuentran son: SYSTEM, DRIVER, RECYCLER.
Estas carpetas tienen en su interior otra carpeta con números similares a estos
S-1-5-21-1482476501-1644491937-682003330-1013. El icono de la carpeta es
una papelera de reciclaje como la que está en el escritorio de nuestras PC’s. Al
hacerle doble clic nos muestra “siempre” el contenido de nuestra papelera. El virus
redirecciona esta carpeta para que no vean el contenido real. Es esta una de las
razones de porqué el antivirus (cualquiera que sea) no detecta los archivos, por
ende, se detecta el AUTORUN.INF para que no ejecute la orden.

Hasta ahí muy bien, pero… ¿porqué se siguen infectando los equipos?
Pues la respuesta es simple. POR WINDOWS… cualquier CD-ROM o memoria
extraíble que se inserte en el equipo va a activar la “REPRODUCCIÓN
AUTOMÁTICA” si ese recuadro en que están las opciones para ver imágenes,
escuchar música, ver video o simplemente explorar los archivos (ver imagen 01).

El AUTORUN.INF se aprovecha de la agilidad de los usuarios para ejecutar su

comando, al fin y al cabo autorun es ejecución o reproducción automática…
Listo primera solución: DESACTIVAR REPRODUCCIÓN AUTOMÁTICA.
Cómo:
Nota: Esta opción es para aplicarla en cada estación de trabajo en Windows
Xp y como administrador de equipo local.
1. En Windows Xp, Inicio – Ejecutar y digitamos GPEDIT.MSC (Comando para
administrar las directivas grupales del equipo y/o los usuarios en la estación
de trabajo)
2. Luego seleccionar: Configuración del equipo – Plantillas administrativas –
Sistema y seleccionamos Desactivar reproducción automática. (ver
imagen 02)

3. Allí damos doble clic para habilitar la directiva, pero hay que tener en
cuenta los detalles, por defecto se deshabilitaría la reproducción en las
unidades de CD-ROM, pero también nos interesa que se detenga en las
demás unidades extraíbles, por tal motivo seleccionamos TODAS LAS
UNIDADES y así se aplica a todo (incluyendo unidades ZIP o disquetes).
damos clic en aceptar. (Ver imagen 03)
NOTA: La opción deshabilitada quiere decir que la directiva de grupo no se
ejecuta, Habilitada se aplica la directiva y no configurada es manual.
Esta opción NO evita la infección del virus, sólo diminuye la probabilidad de
infección. Esta configuración no funciona sola. Pues existe otra método para
ejecutar el AUTORUN.INF sin pasar por la reproducción automática.
La otra forma de ejecución de este código es por MI PC. Si, cuando el usuario
hace clic en inicio - mi PC aparecen las unidades físicas, lógicas, ópticas, y
extraíbles que hay en el computador (ver imagen 04) y al hacer doble clic en una
de ellas que esté infectada, se ejecuta el AUTORUN.INF.
Bueno, si se desactiva el explorador, ¿cómo harán los usuarios para explorar los
archivos y carpetas?

Bueno, el usuario siempre puede explorar los archivos por varias partes, pero los
que hacemos el soporte y el mantenimiento solo queremos que ellos se vayan por
una y por eso se la vamos a colocar.

Listo segunda solución: DESACTIVAR MI PC y CREAR UNA RUTA DE

EXPLORACIÓN DE ARCHIVOS.
Cómo:
Nota: Esta opción es para aplicarla en cada estación de trabajo tanto en
Windows Xp como Windows Vista y como administrador de equipo local.
1. Clic derecho sobre Inicio, seleccionar propiedades. (ver imagen 05).
2. En personalizar seleccionamos, opciones avanzadas y donde aparezca mi
PC, seleccionamos No mostrar este elemento.(ver imagen 06). Así
sacamos del menú de inicio el icono de MI PC.
3. Ahora que el icono no está, nos vamos para el escritorio y hacemos clic
derecho – nuevo – acceso directo (ver imagen 07).

4. Vamos a buscar en Disco local (C:) – Windows, un archivo llamado

Explorer.scf este es un archivo de comandos del explorador de Windows.
Es normal que Windows XP y Vista, traigan este archivo para cargar los
comandos cuando se presionan los atajos de teclado o se escribe Explorer
en ejecutar del menú de inicio. Bueno, este archivo se diferencia del otro
Explorer que existe en la misma carpeta por 2 cosas, (1). El icono es una
carpeta amarilla con una lupa y (2). la extensión al seleccionar el archivo
es .scf y no .exe. (ver imagen 08)
5. Hacemos clic en siguiente, le escribimos el nombre de MI PC, clic en
finalizar y tenemos el icono del explorador en el escritorio, el cual al hacerle
doble clic no nos muestra las unidades como el anterior sino que me
permite ver el árbol de las carpetas que existe en el disco. (ver imagen 09).
En caso de que se desee cambiar el icono se puede hacer y colocar el que
trae MI PC por defecto, la pantalla lcd azul.
NOTA: Esta opción también se puede hacer en Windows Vista, pero
los comandos de “Explorer.scf” muestran las unidades. Se puede
copiar el archivo de Windows Xp en Windows Vista y no hay problema
y muestra las carpetas del sistema.
VUELVO Y ACLARO, ESTAS OPCIONES NO IMPIDEN LA INFECCIÓN DEL
VIRUS “AUTORUN.INF” PERO SI DISMINUYEN LA PROBABILIDAD DE
EJECUCIÓN DE SU CÓDIGO E INFECCIÓN DEL EQUIPO. ES NECESARIO
CREAR CONCIENCIA EN LOS USUARIOS DE QUE SIEMPRE SE DEBE
VACUNAR UNA UNIDAD EXTRAÍBLE ANTES DE USARLA.

NOTA: Si es Administrador de Red o Dominio, puede aplicar la directiva de grupo

a todos las estaciones de trabajo creando una política de grupo en el active
directory para que se ejecute sin necesidad de configurar equipo por equipo. Esto
lo explicaré en otro documento.

Bueno, todo esto es para evitar la infección Pero… ¿y si el equipo ya está

infectado? Pues se deben verificar varias cosas.
1. Si el administrador de tareas está bloqueado.
2. Si el menú ejecutar no está en el menú de inicio.
3. El command de DOS no ejecuta.
4. No tiene permitido ver los archivos ocultos ni del sistema.
5. No deja entrar al registro del sistema (regedit).
6. La conexión en internet no funciona o no carga las páginas.
Si es alguno de los anteriores, hay 2 soluciones. 1. Formato completo 2. Iniciar
con un Live Cd de Linux o Windows para eliminar los virus manualmente. Buscar
autorun, recycler, system, ckor, amvo, kavo, drv32.exe, ise32.exe, iuhi64.exe. Una
vez eliminados desde el Live CD, se reinicia el equipo a modo a prueba de fallos y
se utilizan 2 archivos que se adjuntan en la carpeta (antivirus.vbs y mata
recycler.vbs) estos archivos son código de Visual Basic Script que busca los
demás virus, limpia el registro (regedit) y vuelve a habilitar archivos ocultos.

Como el SHELL y algunos servicios de Windows se ven afectados, es probable

que el sistema operativo saque algunos errores. Hacer copia de seguridad y
reinstalar sistema operativo.

Si el caso es que ninguna de las 6 opciones están correctas, solo es necesario

correr los 2 archivos de visual basic y hacer los procedimientos para deshabilitar
reproducción automática y la del explorador de Windows.

Para Windows Vista, la reproducción automática se desactiva desde el panel de

control – “Reproducir un CD u otros archivos multimedia” en Hardware y Sonido.
Desactivar la casilla de verificación de “usar la reproducción automática para
todos los medios y dispositivos” Clic en guardar y listo. (ver imagen 10)
Bueno, espero que con esta guía se disminuya significativamente el ataque del
“AUTORUN.INF”, no es definitiva la solución pero favorece a que se pueda
controlar la infección de las máquinas.

En breve haré la guía para crear la política de grupo para desactivar reproducción
automática y desactivar Mi PC del menú de inicio. Suerte y a trabajar!!!!

Elaborado por: Walter Barrera – Jefe Sistemas Salle Bello.