USBDumper: el enemigo está ahí fuera

Enviado por admin el 3. Junio 2007 - 17:44.

Antes de seguir avanzando por el curioso mundo de las aplicaciones que podemos dar a nuestras -cada día más baratas y más capaces- llaves USB, he querido presentar a los lectores de Kriptópolis una de sus principales debilidades, para que no piensen que "todo el monte es orégano" y se lancen a "pincharlas" alegremente en cualquier PC.

Por eso quería presentar hoy USBDumper, que al menos desde hace un año es uno de los mayores peligros que acechan al usuario despreocupado de llaves USB...

USBDumper es una pequeña utilidad capaz de correr en cualquier PC bajo Windows y que -atención- realiza una copia del contenido de cualquier llave USB que se inserte en el sistema. Para remate, es muy sencilla de utilizar y su operación es totalmente silente. Incluso existe ya una versión mejorada (USBDump2) que dispone de un interfaz gráfico y algunas funcionalidades extra aún más peligrosas (inyección de macros en documentos Word y Excel, selección de extensiones a copiar y posibilidad de arrancar automáticamente un ejecutable dado tras la inserción de una llave). Se trata de la versión que he utilizado para este artículo.

Tras descargar USBDumper dispondremos del código fuente, así como de un directorio bin donde reside el ejecutable para Windows, de 152 KB. Al hacer doble clic sobre él, llegamos a la pantalla de configuración:

 

 

Basta indicar en qué directorio queremos que USBDumper deposite los contenidos capturados de las llaves USB que se inserten. Tras pulsar Start se arranca un proceso que, cuando se inserte una llave, copiará todo su contenido al directorio indicado. El funcionamiento es silente, aunque no oculta su presencia al administrador de tareas.

Veamos lo que ocurre al insertar en un ordenador que está corriendo USBDumper una llave USB que contiene un fichero denominado clave.txt:

 

 

Como podemos comprobar, USBDumper ha creado automáticamente una nueva carpeta denominada 200763 (formato año-mes-día). ¿Adivináis su contenido?

 

 

Exacto: nuestro delicado fichero conteniendo nuestra clave.

No hará falta insistir en el peligro que USBDumper representa. Procurad tenerlo en cuenta y preveniros reservando algún espacio en la llave para vuestros datos sensibles, que habrán de permanecer siempre cifrados. Si es posible, en vez de utilizar el sistema operativo del ordenador ajeno, arrancar desde un LiveCD o desde vuestra propia llave.

En próximas entregas veremos otras utilidades que os ayudarán a tomar muy en serio este consejo.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Impresionante.

Enviado por anónimo el 3. Junio 2007 - 18:20.

Impresionante. Para que luego digan que los linuxeros somos peligrosos :P

Antivirus

Enviado por anónimo el 3. Junio 2007 - 18:40.

Hola

Interesante artículo. Lo probé y mi Avira (www.freeav.com) detecto inmediatamente la ejecucion de un troyano, dandome la opcion de denegar acceso, borrar o ignorar... ¿será efectivo sólo en equipos sin antivirus?, ¿a alguien con antivirus le saltó alguna advertencia?

Saludos

AVG no

Enviado por anónimo el 3. Junio 2007 - 18:42.

En AVG no salta la alarma, pero sí saltaba con la versión 1.

McAffe VirusScan 7.0.0

Enviado por anónimo el 4. Junio 2007 - 1:12.

Si lo detecta como troyano, con la version de las definiciones: 5043

Hace un año me cree un ejecutable

Enviado por anónimo el 3. Junio 2007 - 19:30.

Hace un año me cree un ejecutable oculto para hacer lo mismo para hacerme copias de seguridad de mi usb y tener sincronizado todo. No tardé más de 30 minutos en hacerlo. Corre oculto, autoarranque y se instala con un click... y eso que no he estudiado informatica... soy de letras... asi que tened cuidado... si yo he podido... imaginate lo que hay x ahí suelto.

Virus de los USB

Enviado por siilex el 3. Junio 2007 - 21:27.

Gracias por el aviso.

Por cierto, el otro día me encontré en vivo con una nueva técnica de infección, (quizá vieja, pero no comentada aquí), que es tan simple como copiar un archivo "Autorun.inf" al USB cuando se conecta.

Éste peligro se ve aumentado por la manía de los SO actuales de autoejecutar por defecto cualquier medio, ocultar por defecto esos archivos, y por la desaparición en los USB actuales del botón de "protección de escritura" que existía hace poco.

Hay en la red informes de webs que se aprovechan de navegadores vulnerables para instalar malware que infecta los USB.

Comento este hecho porque, aunque seguramente ya es conocido, puede serle útil a alguien.

Hay que ver, tantos años, para acabar teniendo los mismos o peores problemas que con los disquetes !!!

Salut.

 

me lo vas a decir a mi...

Enviado por anónimo el 3. Junio 2007 - 23:35.

El otro día me colaron un virus de esos los de reprografía de la facultad en el pendrive. Menos mal que lo metí en Linux la primera vez y vi el autorun.inf. Además creo es de los que sólo se replican.

Mantener los USBs siempre encriptados

Enviado por Format c el 4. Junio 2007 - 0:10.

A mis anteriores motivos por los que cifrar SIEMPRE los datos de los USB les sumo el comentado en este acertado articulo.

Riesgos derivados de no cifrar el usb:

- el descarado usbdumper este ..y utilidades varias similares,archivos *.bat y otras lindezas...

- la correilla del usb que se puede romper y al sacar el pañuelo para sonarte los mocos se te puede caer.

- te pueden robar la cartera y el usb

- te puedes olvidar las llaves con tu usb-llavero al lado del tu taza vacía de café en el bar..

- te lo puede quitar tu hermana mientras te duchas y hacerle una copia rápida

- se lo dejas a un compañero para que copie no se que presentacion o informe y de paso se copia todas las fotos de tus vacaciones

Muchos USB traen un disco con software para cifrar, etc.. en mi caso utilizo TrueCrypt ( que para mayor gloria es totalmente portable) en una carpeta y un contenedor encriptado donde depositas y trabajas los datos..

Con esto se reducen un poco los riesgos.

Saludos

 

Ojo incluso con TrueCrypt

Enviado por anónimo el 4. Junio 2007 - 12:31.

Incluso aunque utilices TrueCrypt, te puedes infectar al montar el disco encriptado en una máquina desconocida. Igual que se intercepta el montaje de un dispositivo USB, se puede interceptar el montaje del volumen encriptado que, desde ese momento, es accesible "en claro" a cualquier aplicación que esté ejecutándose en esa máquina con permisos de administrador, por ejemplo.

funcionamiento

Enviado por anónimo el 4. Junio 2007 - 2:19.

Vale, muy bonito pero la idea es saber EN QUE SE BASA el troyano para saber que has insertado un USB (tipo mass-storage o disco scsi) y copiar el contenido ¿? tal vez intercepta alguna llamada al sistema ? o busca algo en registro ?

Se agradecerá cualquier comentario técnico al respecto.

saludos.

P.D.: por cierto es C++ o VB el programa ?

1234siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
2 + 3 =
Resuelve esta sencilla operación e introduce el resultado.