Antes de seguir avanzando por el curioso mundo de las aplicaciones que podemos dar a nuestras -cada día más baratas y más capaces- llaves USB, he querido presentar a los lectores de Kriptópolis una de sus principales debilidades, para que no piensen que "todo el monte es orégano" y se lancen a "pincharlas" alegremente en cualquier PC.
Por eso quería presentar hoy USBDumper, que al menos desde hace un año es uno de los mayores peligros que acechan al usuario despreocupado de llaves USB...
USBDumper es una pequeña utilidad capaz de correr en cualquier PC bajo Windows y que -atención- realiza una copia del contenido de cualquier llave USB que se inserte en el sistema. Para remate, es muy sencilla de utilizar y su operación es totalmente silente. Incluso existe ya una versión mejorada (USBDump2) que dispone de un interfaz gráfico y algunas funcionalidades extra aún más peligrosas (inyección de macros en documentos Word y Excel, selección de extensiones a copiar y posibilidad de arrancar automáticamente un ejecutable dado tras la inserción de una llave). Se trata de la versión que he utilizado para este artículo.
Tras descargar USBDumper dispondremos del código fuente, así como de un directorio bin donde reside el ejecutable para Windows, de 152 KB. Al hacer doble clic sobre él, llegamos a la pantalla de configuración:
Basta indicar en qué directorio queremos que USBDumper deposite los contenidos capturados de las llaves USB que se inserten. Tras pulsar Start se arranca un proceso que, cuando se inserte una llave, copiará todo su contenido al directorio indicado. El funcionamiento es silente, aunque no oculta su presencia al administrador de tareas.
Veamos lo que ocurre al insertar en un ordenador que está corriendo USBDumper una llave USB que contiene un fichero denominado clave.txt:
Como podemos comprobar, USBDumper ha creado automáticamente una nueva carpeta denominada 200763 (formato año-mes-día). ¿Adivináis su contenido?
Exacto: nuestro delicado fichero conteniendo nuestra clave.
No hará falta insistir en el peligro que USBDumper representa. Procurad tenerlo en cuenta y preveniros reservando algún espacio en la llave para vuestros datos sensibles, que habrán de permanecer siempre cifrados. Si es posible, en vez de utilizar el sistema operativo del ordenador ajeno, arrancar desde un LiveCD o desde vuestra propia llave.
En próximas entregas veremos otras utilidades que os ayudarán a tomar muy en serio este consejo.
no me funciona
anónimo25 Enero 2009 - 2:02pm
instalo el usbdumper 2.2 hasta hay bien ,lo abro le doy a la carpeta que quiero que me grabe todo del pendrive y le doy a star,bueno luego ingreso un pendrive en el ordenador y mi sorpresa es que cuando me meto en la carpeta dondew se supone que se a guardado toda la informacion del pendrive me encuentro una carpeta con unos numeros y esta totalmente vacia por que?luego saco el pendrive meto otro y me sale la una ventana de error y tengo que cerrar el programa.por favor ayudenme necesito ayuda
Accion y reaccion
anónimo3 Noviembre 2008 - 8:47pm
Yo digo que en informatica, al igual que las leyes de la fisica (Newton) hay accion y reaccion... Cual es el programa o antivirus o lo que sea que se puede instalar en la USB para evitar estas cosas????
Saludos
probado
anónimo11 Mayo 2008 - 6:20am
probado y comprobado, muy bueno y malo a la vez !!!
reprobado
anónimo11 Octubre 2008 - 6:47am
lo probe y si funciono, pero siempre ingresa la pantalla de inicio del usbdumper que te coloca la direccion donde se copiara tu backup del usb, hay forma que esto tampoco aparezca y se cargue todo automaticamente en segundo plano?
regedit
anónimo2 Abril 2008 - 9:14pm
para que el programa se ejecute al momento de iniciar windows (proceso de inicio) solo tienes que hacer lo siguiente te vas a ejecutar y escribes regedit buscas la siguiente cadena key_local_machine-- software--microsoft--windows--current version--run en el panel de la derecha creas un nuevo valor alfanumerico clic derecho nuevo valor alfanumerico luego le das al valor clic derecho modificar e introduces la ruta donde esta el .exe por ejemplo
C:\windows\system32\nombre del programa.exe
espero haberte ayudado si alguna cosa me escribes suerte....
Un favor
anónimo11 Octubre 2007 - 12:34am
alguien me puede decir de donde me puedo bajar el usbdumper v2.2...
¿Google?
anónimo14 Mayo 2008 - 2:14pm
Googlea, googlea
Tengo una pregunta
Ozeo29 Junio 2007 - 6:59pm
Tengo una pregunta, para los que entendais del tema. Como se puede hacer, para que cada vez que se inicie Windows, este el proceso activo, es decir, no haya que activarlo manualmente?? Porque habia pensado hacer un *.bat para que ejecutara el exe, pero siempre entraría a la pantalla de configuracion... y yo de esto no se mucho... Alguien me echa una mano?
Gracias y un saludo.
consulta
anónimo10 Junio 2007 - 9:45pm
hola a todos, mi consulta es la siguiente.
este programilla posee la funcionalidad de activarlo y desactivarlo cuando yo quiera?.
cuando el programa este instalado en mi pc y yo quiero utilizar mi propio pendrive, ¿como desactivo este programa?, porque, para que hacer una copia de mis propios archivos.
gracias.
Cuando quieras
Ozeo29 Junio 2007 - 6:57pm
Cuando quieras desactivarlo, abre el administrador de tareas y te cargas el proceso...
Hola.
anónimo5 Junio 2007 - 6:08pm
Hola.
Yo utilizo mi USB solamente para llevar a revelar fotos. Lo entrego en la tienda de fotos y alli, delante de mi, copian los archivos. Corre mi USB riesgo de infección?
Cómo puedo evitar que me contagien?
Saludos
Yo tengo un problemita con mi USB
anónimo4 Junio 2007 - 6:40pm
Pues de esas cosas que no tuve en cuenta fue meter mi USB en un café internet y lo primero que sucedio fue reiniciar el PC y como estoy de vacaciones no tengo mi pc con linux, entonces donde metia mi usb reiciaba todo ordenador, entonces instale ubuntu 7.04 y adivinen que sucede en él: Pues también se reinicia y no se que hacer, bueno si se, no utilizarlo.
Cualquiera que me ayude para recupar mi usb, estare super agradecido.
rcbonil
Probado
Fenix4 Junio 2007 - 5:15pm
Tengo un Kingston DataTraveler II con un programa de cifrado (Kingston SecureTraveler) que actúa en una partición oculta y he hecho la prueba con las dos versiones de USBDumper.
Los dos han copiado los datos de la partición "normal", pero no los de la partición oculta. También he usado el antivirus ClamWin (lo tengo en la partición oculta) para que analizara la memoria y no ha detectado nada.
En fin, me quedo relativamente tranquilo.
La version linux
anónimo4 Junio 2007 - 3:10pm
La version linux esta muy buena, la pregunta es con un usb de 2GB, el trabajo que tendria que hacer con el usb puesto debera superar un X tiempo, para poder copiar todo el contenido, ni hablar de uno de 4Gb, creo que es el unico inconveniente de este metodo, ya sea para linux / windows
Aca tenemos un video explicativo
anónimo4 Junio 2007 - 3:09pm
http://www.youtube.com/watch?v=2pb-rC8CFp4
jaog
La clave
anónimo4 Junio 2007 - 2:55pm
La clave, Crear una partición extra en ext3 en el pendrive y usar algún explorador de este tipo de ficheros fuera de tu casa, a lo UFS explorer, y en tu casa el típico ext2 ifs driver, http://www.fs-driver.org/ , para las pocas veces que uses windows.
Tambien puede ser el cazador cazado.
anónimo4 Junio 2007 - 1:28pm
Metiendo algunos ejecutables malignos con nombres sugerentes en el USB.
Versión Linux
anónimo4 Junio 2007 - 11:51am
Como ya se ha dicho muchas veces, los que compran Windows obtienen un sistema absolutamente vacío y si luego quieres hacer cualquier cosa, por sencilla que sea, tienes que descargar e instalar programas de terceras partes. Linux, en cambio, lo trae todo de serie.
Por ejemplo, para hacer algo parecido en Ubuntu hay que añadir a /etc/udev/rules.d/80-programs.rules la línea
KERNEL=="sd*[0-9]", ACTION=="add", RUN+="/usr/local/bin/backusb"
Y en backusb se guarda el comando para hacer backups de usb. Uno sencillo (que no siempre funcionará):
#!/bin/bash
tar -czf /var/backup/`date +%d%m%Y-%H%M`.tar.gz /dev/sda1
Linux rulez!
PD: El objetivo de este comentario es que seamos conscientes de que un sistema comprometido es inseguro por naturaleza, da igual el SO que ejecute.
tengo una duda
anónimo6 Junio 2007 - 2:20am
Oye, amigo, yo uso SuSE 10.2. Agrege la primera linea al archivo 80-programs.rules pero no como "guardar el comando" en la direccion "/usr/local/bin/backusb".
¿Se guarda dentro de un archivo de texto? ¿Con que nombre? Disculpa las molestias.
forma de protección
anónimo4 Junio 2007 - 10:12am
¿No hay manera de proteger tu USB?, por ejemplo, llevar algún tipo de software dentro del usb que te avise cuando pase algo por el estilo
Los de los AV...
anónimo4 Junio 2007 - 9:14am
Como acaban de decir creo que poco importa el antivirus del sistema, si es el propio sistema quien te está robando la cartera...
AV
anónimo4 Junio 2007 - 8:41am
La web oficial de este programa que no conocia es http://www.valgasu.org/ (a parte, hay mas programas interesantes en dicha web)
Interesante resultado por parte de los AntiVirus. Pero lastimosamente, la seguridad no depende del ordenador sino la que TU ofrezcas a tu propio "mechero que se conecta a la tele blanca". He subido el ejecutable a VirusTotal, y esta es la conclusion:
http://www.virustotal.com/vt/es/resultadof?ee8728cf8b2857c2f5721b522248e59e
Este es el resultado completo de analizar el archivo "USBDumper2.exe" que VirusTotal ha recibido el día 04.06.2007 a las 08:22:30 (CET).
Antivirus Version Actualización Resultado
AhnLab-V3 2007.5.31.2 04.06.2007 no ha encontrado virus
AntiVir 7.4.0.29 03.06.2007 no ha encontrado virus
Authentium 4.93.8 23.05.2007 no ha encontrado virus
Avast 4.7.997.0 04.06.2007 no ha encontrado virus
AVG 7.5.0.467 03.06.2007 no ha encontrado virus
BitDefender 7.2 04.06.2007 Application.Spy.Usbdump.A
CAT-QuickHeal 9.00 02.06.2007 no ha encontrado virus
ClamAV devel-20070416 04.06.2007 no ha encontrado virus
DrWeb 4.33 04.06.2007 no ha encontrado virus
eSafe 7.0.15.0 03.06.2007 no ha encontrado virus
eTrust-Vet 30.7.3688 03.06.2007 no ha encontrado virus
Ewido 4.0 03.06.2007 no ha encontrado virus
FileAdvisor 1 04.06.2007 No threat detected
Fortinet 2.85.0.0 02.06.2007 no ha encontrado virus
F-Prot 4.3.2.48 01.06.2007 no ha encontrado virus
F-Secure 6.70.13030.0 04.06.2007 no ha encontrado virus
Ikarus T3.1.1.8 04.06.2007 no ha encontrado virus
Kaspersky 4.0.2.24 04.06.2007 no ha encontrado virus
McAfee 5044 01.06.2007 no ha encontrado virus
Microsoft 1.2503 04.06.2007 no ha encontrado virus
NOD32v2 2305 01.06.2007 no ha encontrado virus
Norman 5.80.02 01.06.2007 no ha encontrado virus
Panda 9.0.0.4 03.06.2007 no ha encontrado virus
Prevx1 V2 04.06.2007 no ha encontrado virus
Sophos 4.18.0 01.06.2007 no ha encontrado virus
Sunbelt 2.2.907.0 30.05.2007 no ha encontrado virus
Symantec 10 04.06.2007 no ha encontrado virus
TheHacker 6.1.6.129 04.06.2007 no ha encontrado virus
VBA32 3.12.0 03.06.2007 no ha encontrado virus
VirusBuster 4.3.23:9 03.06.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 04.06.2007 Riskware.Spy.USBDumper
Información adicional
Tamaño archivo: 155648 bytes
MD5: 60b3df25e39a04236e85cf39204f64b4
SHA1: b3bb0b85f1a1de78e2595d8487eea5cef0680e98
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=60b3df25e39a04236e...
Todo eso está muy bien
anónimo4 Junio 2007 - 9:10am
pero no sirve de nada.
El programa se ejecuta en el "host" y basta decirle al antivirus "adelante" para que se instale.
Además el antivirus que puedas tener en el pen no sirve de gran cosa, porque no puede detectar un servicio que corre en el host.
Por eso mismo
anónimo4 Junio 2007 - 9:19am
Por eso mismo, que no importa si los AV lo detectan o no, el caso es que TU mismo te has de cubrir las espaldas, pero es muy dificil. Imaginemos que protegemos nuestros datos con TrueCrypt... ¿algo impide que un programa X copie TODO el contenido de cada nueva unidad creada? Es decir, lo mismo que hace este programa, pero escribiendo un par de lineas mas en el codigo.
Lo unico que podemos hacer, si somos suficientemente paranoicos, es tener en el pendrive cotidiano, cosas relevantes y, en caso de tener algo cifrado NUNCA descifrarlo en un ordenador no confiable.
En efecto
admin4 Junio 2007 - 9:29am
>> en caso de tener algo cifrado NUNCA descifrarlo en un ordenador no confiable.
Ésa es la clave!
Algo parecido
anónimo4 Junio 2007 - 8:11am
Hace un año con el final del curso, unos de clase hicimos algo por el estilo, para robarle al profesor el examen final y nos salio perfecto. No recuerdo bien lo que hicimos pero se que era con esta herramienta. Es muy practica pero hay que usarla bien...
vaya
anónimo5 Junio 2007 - 12:57pm
¿Fuisteis vosotros?
¡Por fin os he pillado! ¡Bandarras!
La paciencia es la madre de la ciencia... detectivesca
funcionamiento
anónimo4 Junio 2007 - 3:19am
Vale, muy bonito pero la idea es saber EN QUE SE BASA el troyano para saber que has insertado un USB (tipo mass-storage o disco scsi) y copiar el contenido ¿? tal vez intercepta alguna llamada al sistema ? o busca algo en registro ?
Se agradecerá cualquier comentario técnico al respecto.
saludos.
P.D.: por cierto es C++ o VB el programa ?
Ideas para hacerlo
FraMe4 Junio 2007 - 10:59am
Se me ocurren unas cuantas formas de hacerlo, en función de los "silenciosos" que queramos ser, y del tiempo que queramos tardar.
Las dos primeras es usando directamente las funcionalidades de la Win32API: rápido y sencillo. Es decir, nos hacemos una aplicacioncilla, que usando una de estas dos funciones: SHChangeNotifyRegister o RegisterDeviceNotification ( la que usan en esta aplicación ), para informarnos de este tipo de eventos. La idea, básicamente, viene a ser poco más o menos la misma, estas funciones, en rollito callback, lo que hacen es decirle al sistema que cuando el evento del que hemos pedido notificación "suceda", nos envíe un mensaje diciéndonos "eh, que ha pasado" ( como los programadores no tienen sentido del humor, usan nombres de constantes feos ), con lo cual nosotros podemos emprender la acción que queramos. Ventajas: la idea es sencilla. Desventajas: necesitas una aplicación más ejecutándose.
La tercera forma, es un poco más complicada, pero tiene sus ventajas. Consite en utilizar la técnica de "dll preload" para suplantar las llamadas a diferentes funciones de la API de win32, y poder hacer lo que queramos antes de que la función en cuestión ocurra. Hay un texto interesante que documenta esta técnica, http://fy.chalmers.se/~appro/nt/DLL_PRELOAD/. Otra forma de hacer algo bastante parecido es con una dll que cree un WideHook a una función que nos interese. ¿Qué funciones nos puede interesar interceptar?. Cualquiera que tenga que ver con el listado de ficheros ( o con la propia notificación que use explorer, que imagino será RegisterDevice... ). Ventajas: No vas a tener un proceso en memoria dando la chapa, a la par que es bastante elegante. Desventajas: Es más complicado de hacer, aunque yo lo haya contado aquí como que son dos patadas, hay que ponerse a hacerlo. Además como hagas suplantes una función "muy usada", y hagas "muchas cosas", el rendimiento se te va a deteriorar bastante.
La cuarta forma, complica el proceso hasta el infinito: creando un driver que haga esta tarea o directamente intentando jugar con el usbstor.sys, que es el driver que se encarga de la gestión de dispositivos de almacenamiento usb. Vaya por delante: poderse se puede hacer, ahora, dolor de cabeza te va a producir, con la ventaja que si consigues sustituir ( yo personalmente no me veo programándolo ) el usbstor.sys por un wrapper propio, además de haber adquirido unas capacidades notabilísimas como programador de sistemas win32
Un saludo.
No hay que ser un gurú
anónimo4 Junio 2007 - 9:08am
Te descargas el código fuente y lo ves.
Mantener los USBs siempre encriptados
Format c4 Junio 2007 - 1:10am
A mis anteriores motivos por los que cifrar SIEMPRE los datos de los USB les sumo el comentado en este acertado articulo.
Riesgos derivados de no cifrar el usb:
- el descarado usbdumper este ..y utilidades varias similares,archivos *.bat y otras lindezas...
- la correilla del usb que se puede romper y al sacar el pañuelo para sonarte los mocos se te puede caer.
- te pueden robar la cartera y el usb
- te puedes olvidar las llaves con tu usb-llavero al lado del tu taza vacía de café en el bar..
- te lo puede quitar tu hermana mientras te duchas y hacerle una copia rápida
- se lo dejas a un compañero para que copie no se que presentacion o informe y de paso se copia todas las fotos de tus vacaciones
Muchos USB traen un disco con software para cifrar, etc.. en mi caso utilizo TrueCrypt ( que para mayor gloria es totalmente portable) en una carpeta y un contenedor encriptado donde depositas y trabajas los datos..
Con esto se reducen un poco los riesgos.
Saludos
Ojo incluso con TrueCrypt
anónimo4 Junio 2007 - 1:31pm
Incluso aunque utilices TrueCrypt, te puedes infectar al montar el disco encriptado en una máquina desconocida. Igual que se intercepta el montaje de un dispositivo USB, se puede interceptar el montaje del volumen encriptado que, desde ese momento, es accesible "en claro" a cualquier aplicación que esté ejecutándose en esa máquina con permisos de administrador, por ejemplo.
Virus de los USB
siilex3 Junio 2007 - 10:27pm
Gracias por el aviso.
Por cierto, el otro día me encontré en vivo con una nueva técnica de infección, (quizá vieja, pero no comentada aquí), que es tan simple como copiar un archivo "Autorun.inf" al USB cuando se conecta.
Éste peligro se ve aumentado por la manía de los SO actuales de autoejecutar por defecto cualquier medio, ocultar por defecto esos archivos, y por la desaparición en los USB actuales del botón de "protección de escritura" que existía hace poco.
Hay en la red informes de webs que se aprovechan de navegadores vulnerables para instalar malware que infecta los USB.
Comento este hecho porque, aunque seguramente ya es conocido, puede serle útil a alguien.
Hay que ver, tantos años, para acabar teniendo los mismos o peores problemas que con los disquetes !!!
Salut.
me lo vas a decir a mi...
anónimo4 Junio 2007 - 12:35am
El otro día me colaron un virus de esos los de reprografía de la facultad en el pendrive. Menos mal que lo metí en Linux la primera vez y vi el autorun.inf. Además creo es de los que sólo se replican.
Hace un año me cree un ejecutable
anónimo3 Junio 2007 - 8:30pm
Hace un año me cree un ejecutable oculto para hacer lo mismo para hacerme copias de seguridad de mi usb y tener sincronizado todo. No tardé más de 30 minutos en hacerlo. Corre oculto, autoarranque y se instala con un click... y eso que no he estudiado informatica... soy de letras... asi que tened cuidado... si yo he podido... imaginate lo que hay x ahí suelto.
Antivirus
anónimo3 Junio 2007 - 7:40pm
Hola
Interesante artículo. Lo probé y mi Avira (www.freeav.com) detecto inmediatamente la ejecucion de un troyano, dandome la opcion de denegar acceso, borrar o ignorar... ¿será efectivo sólo en equipos sin antivirus?, ¿a alguien con antivirus le saltó alguna advertencia?
Saludos
McAffe VirusScan 7.0.0
anónimo4 Junio 2007 - 2:12am
Si lo detecta como troyano, con la version de las definiciones: 5043
AVG no
anónimo3 Junio 2007 - 7:42pm
En AVG no salta la alarma, pero sí saltaba con la versión 1.
Impresionante.
anónimo3 Junio 2007 - 7:20pm
Impresionante. Para que luego digan que los linuxeros somos peligrosos :P