[CSIRT-Antel-Anuncios] Mas sobre Conficker...

[anuncios en csirt-antel.com.uy]

Hola a todos,

acabo de ver dos posts sobre la des-habilitación del Autorun (Si no les
suena porque esto es importante, miren la alerta
http://www.csirt-antel.com.uy/principal/alertas/CA-AL-01-0109)

Aparentemente los mecanismos "tipicos" de deshabilitacion del Autorun no
son 100% efectivos, y en algunos casos pueden permitir la ejecucion de
código arbitrario pesar de haberse seguido los pasos recomendados.

El paso definitivo seria aparentemente seguir lo recomendado por la
gende UNAM (ver http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5694)

Para desactivar por completo el Autorun en Microsoft Windows, active la
siguiente clave de registro:

      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]

      @="@SYS:DoesNotExist"

Para asignar dicho valor, realice lo siguiente:

   1. Copie el texto anterior
   2. Pegue el texto en el Bloc de Notas (Notepad)
   3. Guarde el archivo como autorun.reg
   4. Abra la carpeta donde guardó el archivo
   5. De doble clic en el archivo para importarlo al registro de Windows

Microsoft podría almacenar en la caché información del Autorun de
dispositivos previamente montados en el equipo a través de la clave de
registro MountPoints2. Se recomienda reiniciar Windows después de haber
realizado los cambios al registro reiniciar el sistema operativo para
que cualquier información guardada en la caché sea reinicializada y así
pueda ser ignorado el archivo Autorun.inf. Otra alternativa podría ser
eliminar la siguiente clave de registro:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Mas referencias (en inglés) aqui:
http://www.us-cert.gov/cas/techalerts/TA09-020A.html

slds

Carlos Martinez
CSIRT ANTEL