Sugerencias

[Kikesan]

Hola,

Después de pensarlo he decido postear la siguientes sugerencias acerca de Mx One:

1a.- Detección genérica de la carpeta RECYCLED:

Como sabemos uno de los indicios de que nuestra USB está infectada es que aparece una carpeta llamada RECYCLED la cual contiene dentro una carpeta de un nombre aun más largo y dentro de esta hay un archivo malicioso.
El objetivo de mi comentario es que Mx One elimine de manera genérica esta carpeta en el USB, considerando que diario aparecen muchísimas variantes de malware y que de este modo se puede ahorrar mucho trabajo en la realización de las firmas ya que se matan muchos virus de un solo tiro.

2a.- Bloqueo (inmunización) del Autorun.inf:

Esto no creo que requiera de explicación ya que sólo se trataría de crear un autorun.inf protegido para que no pueda ser eliminado, modificado, etc. y así proteger nuestra USB y otras computadoras de la autoejecución de los virus que hacen uso de este archivo.
Hay que tomar en cuenta que esto último sacrificará el uso del ícono seleccionado en la instalación de Mx One.


Espero sus comentarios y la opinión de Red Mx por su puesto.

Saludos.

[Red Mx]

La primera opcion es buena aun que hasta que punto ?

y la segunda opcion para eso esta Stop Run y proximamente 2 aplicaciones nuevas con ese fin.

[Kikesan]

La primera opción yo la considero buena puesto que se tiene una primer línea de protección bastante amplia ya que si Mx One no detecta esos virus elimina la carpeta (o puede solicitar que esos archivos sean movidos a cuarentena) y asunto arreglado bye virus jeje.

En cuanto a la segunda me gustaría que Mx One ya trajera de forma nativa esa opción.

Saludos.

[gsoft]

De todas formas, la segunda no es muy fiable, ya que algunos virus fuerzan los atributos del autorun para modificarlo.

La mejor solución sería incluir en Mx One la opción para desactivar el Autorun en todas las unidades:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

En el valor NoDriveTypeAutorun, colocar FF (que en decimal es 255.)

[Christian010]

De todas formas, la segunda no es muy fiable, ya que algunos virus fuerzan los atributos del autorun para modificarlo.

La mejor solución sería incluir en Mx One la opción para desactivar el Autorun en todas las unidades:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

En el valor NoDriveTypeAutorun, colocar FF (que en decimal es 255.)

Gsoft, la inmunizacion de USB no funciona con un archivo en el USB, funciona con una carpeta llamada "autorun.inf" que dentro de si tiene otras carpetas con nombres de variables de windows, por lo que no puede ser borrada desde windows (aunque si creada,unlocker y otros 5 programas son los unicos que pueden borrarla de momento).



De momento no hay virus que logre borrarla y la forma de borrar la inmunizacion es algo que pocos saben

salu2 

[gsoft]

Autorun.inf? En serio? Yo hasta con Shift+Delete puedo borrar uno sin problemas.

En este caso, la función de alterar el registro sería esencial para el módulo guardián, ya que no todas las PCs a las que se conecte una USB tienen permisos de admin listos (e.g. un cibercafé.)

Además, autorun.inf es un archivo similar a un INI, no una carpeta ;]
EDIT: Por lo que veo en ese screenshot, aparentemente tienes un virus que crea una carpeta autorun.inf... El verdadero autorun.inf de sistema posee un ícono de INI, y es, en efecto un archivo.
Con DOS debe ser posible borrar esa carpeta, quitando los atributos, y haciendo un batch con taskkill si es necesario.

Desactivar AutoRun en windows, esencialmente no protege las USB, sino las computadoras en las que se conecta.

Está claro que autorun también permite asignar iconos a un dispositivo, pero no es la gran cosa. Un simple archivo con "Run=xyz.exe" puede ser el golpe fatal.

En conclusión, utilizar una PC con autorun desactivado nunca será contaminada automáticamente al insertar una USB infectada.
NOTA: No es lo mismo el archivo autorun.inf de sistema que una carpeta llamada autorun.inf.

De momento no hay virus que logre borrarla y la forma de borrar la inmunizacion es algo que pocos saben

Tal inmunización es un candado en una bolsa de papel (al igual que cualquier otra.) Si existen ejecutables corriendo en la carpeta, prueba haciendo un archivo .bat así:

Código:

L:\
taskkill xyz.exe (reemplazar con el archivo ejecutándose, si es necesario)
del xyz.exe (reemplazar con el archivo ejecutándose, si es necesario)
attrib -s -r -h autorun.inf
rd autorun.inf
pause

Prueba ejecutando el batch para ver qué sucede.

Saludos!

[Christian010]

.

[Christian010]

Gsoft, te explicare las cosas


1-La carpeta no la creo un virus, la hice yo mismo con un programa
2-Una vez creada la carpeta en el USB el virus no puede crear el archivo "autorun.inf" porque la ruta de acceso ya la ocupo la carpeta.
3-No se puede borrar desde cmd xD
4-Esto lo que hace es asegurar que tu USB no va infectar la compu de alguien mas

Es cierto no es lo mismo la carpeta al archivo de sistema, pero por la forma en que trabaja windows la carpeta ocupa:

H:\autorun.inf

y el arhcivo autorun.inf por la forma en que trabaja windows tiene que ocupar

H:\autorun.inf

pero no puede porque windows no puede borrar esa carpeta porque ya existe y dentro de ella hay carpetas con nombres de variables que windows no puede borrar de forma nativa tales como:

aux,nul,prn y com 1

[gsoft]

@Christian: Ah, ya veo, utilizas el truco de las "carpetas misteriosas", que por alguna razón Windows no puede procesar. Además de PRN, COM, AUX y NUL había otras. Extraño que ni siquiera Vista solucione este "problema".

Bastante ingenioso!

[Christian010]

si asi es  que bueno que ya nos entendemos, veras que crear estas carpetas cuesta trabajo y eliminarlas esta aun mas cañon, por lo que esta inmunizacion es casi inmortal

salu2 

[gsoft]

Muy bueno, pero ya gané con el CMD.exe

Te mando el batch que usé por PM, si quieres colócalo aquí =P

[Christian010]

muy bien gsoft  pero mejor que nadie sepa que nos quedamos sin inmunidad

salu2 

[gsoft]

Exacto, por eso te lo mandé en un MP jeje XD

Excelente tip, sin embargo. Esta puede ser una muy buena función si se agrega a Mx One.

[Christian010]

asi es, este sistema tiene muchas ventajas, puedes crear una carpeta llamada "recycler" y adios a el molesto virus que usa esa carpeta, ademas que si algun diseñador de malware logra tirarse la defensa solo bastaria con crear mas carpetas "imborrables" dentro de las carpetas "imborrables", como no ocupan espacio y se crean rapidamente las posibilidades de mejorar la seguridad de este sistema son infinitas

salu2