29 de enero de 2010

Quitando el virus herss

Hemos tenido una plaga del virus herss en los ordenadores del instituto. Al principio sólo afectaba a algunos departamentos, y aunque el antivirus que nos proporciona consellería (mcafee) lo detecta y elimina del pendrive, se ve que en algún momento en el que el antivirus aún no estaba cargado se infectó mi ordenador.
El virus desactiva el antivirus e impide que se actualice. Además no permite que se vean los archivos ocultos ni de sistema, incluso aunque marquemos esas opciones del Explorador de Windows [Herramientas>Opciones de carpeta>Ver>Motrar todos los archivos y carpetas ocultos y desmarcar Ocultar archivos protegidos del sistema operativo] no hace efecto. También introduce en cada unidad un fichero autorun y una copia del virus oculto. Esto hace que en el caso de los pendrives sea muy fácil infectar otro ordenador.
Para eliminar el herss he seguido las instrucciones del blog de labspunk, adaptándolas un poco. Voy a poner todo el proceso que he seguido aunque algunos pasos en realidad no son del todo útiles pero ayudan a entender el problema.
  1. Lo primero que hay que hacer es desactivar "Restaurar Sistema", ya que guarda ahí una copia y aunque lo consigamos eliminar volvería a infectarnos si usamos esa herramienta. Se desactiva haciendo clic con el botón derecho en Mi PC, entrando en propiedades y en la pestaña del Restaurar Sistema.
  2. Abrimos una ventana de interfaz de comandos (Ejecutar>cmd) . Saldrá una ventana negra, con un texto similar a "C:\Documents and settings\Usuario>". Ahí escribimos "cd .." y pulsamos Enter 2 veces, hasta que nos ponga "C:\>".
  3. Cuando estemos ahí escribimos "attrib". Esta orden permite ver todos los archivos, con sus atributos, incluyendo los ocultos y de sistema. Es la única forma de ver estos archivos si tenemos el virus ya que ni en el explorador de windows ni con la orden dir se nos mostrarían (también podríamos usar algún otro programa como 7zip que sí que nos enseña los ocultos).
  4. Veremos que en el listado de archivos nos aparecerá un "autorun.inf" que llevará delante las letras SHR (S de sistema, H de oculto o hidden, y R de solo lectura o read only). Habrá más archivos ocultos, entre ellos el del virus que puede tener varios nombres con números y letras mezclados (en mi caso 9b9w3.exe). Para saber el nombre del virus podemos leer el fichero autorun escribiendo "edit autorun.inf". En una de las líneas nos indicará "open=nombre del virus" (en mi caso "open=9b9w3.exe").
  5. Es necesario borrar esos dos ficheros. Lo primero es desocultarlos con la orden "attrib -s -r -h nombrearchivo". Debemos poner los 2 nombres de archivos "autorun.inf" y "9b9w3.exe" o el nombre que tenga nuestro virus. En ese momento aparecerán en el explorador de windows y podremos borrarlos con suprimir.
  6. Aquí llega el primer problema: si el virus está activo, a los 10 ó 20 segundos volverán a crearse esos dos ficheros ocultos que acabamos de borrar. Eso se debe a que hay otra copia del virus en memoria, que se arranca automáticamente, y que es necesario borrar. Está en los ficheros temporales del usuario.
  7. Abrimos otra vez la ventana de interfaz de comandos (cmd). Nos vamos al directorio temporal escribiendo "cd configuración local" y luego "cd temp" (llegaremos a c:\documents and settings\usuario\configuración local\temp>). Escribiendo "attrib" veremos muchos ficheros, algunos ocultos, entre ellos herss.exe, cvasds0.dll y cvasds1.dll. Son los que tenemos que eliminar. Primero cambiamos sus atributos con "attrib -s -r -h nombrearchivo" y luego los borramos por ejemplo con la orden "del nombrearchivo". Es posible que alguno de los archivos dll no se deje (en mi caso el que acaba en 1, en el del blog comentado antes el que acababa en 0). De todos modos no es problemático. Si ahora borramos los 2 ficheros de C: (pasos 4 y 5) veremos que no vuelven a aparecer. También deberíamos eliminar el autorun y el virus del resto de discos si los tuviéramos, así como de los pendrives.
  8. Ahora tenemos que quitar del registro la ejecución automática del fichero herss.exe. Para eso abrimos el registro (ejecutar regedit), y vamos abriendo carpetas hasta llegar a la cadena "[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]". Ahí pondrá en una línea cdoosoft = “%Temp%\herss.exe”. Esta línea la tenemos que borrar. (También busqué "herss" en el registro y borré todas las veces que aparecía).
  9. Ya sólo nos queda borrar el fichero cvasds1.dll que no se dejaba en el paso 7. Para ello reiniciamos, y como ya no está en uso el sistema nos permite eliminarlo. Para asegurarnos se puede arrancar con un liveCD (por ejemplo el miniXP que lleva Hiren's Boot a partir de la versión 10) y borrar todo lo que haya en esa carpeta temporal, y la del resto de usuarios.
En este momento ya hemos eliminado el virus del sistema. Sin embargo todavía no podemos ver los archivos ocultos aunque marquemos la opción del explorador. Para solucionarlos debemos volver a abrir el registro de windows (regedit) y buscar la carpeta [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]. En ella nos saldrá CheckedValue a valor 0, y lo tenemos que modificar a 1. Después de esto cambiando la opción del explorador sí que nos hace caso.

Por último, para evitar nuevos contagios es recomendable instalar algún programa que inhibe los autoruns de los pendrives. Yo he probado Panda USB Vaccine. Por un lado evita que el ordenador ejecute automáticamente programas de los pendrives, por lo que si conectamos uno infectado no nos afectaría. Por otro lado permite vacunar las unidades USB creando un autorun que no pueden sobreescribir los virus. De este modo aunque metamos el pendrive en un ordenador infectado se copiaría el virus pero no se ejecutaría automáticamente al llevarlo a otra máquina (y podríamos borrarlo sin que nos afecte).

Ah, y habría que volver a activar Restaurar Sistema (paso 1).

Espero que os sea útil.

3 comentarios:

thisan dijo...

si señor, te estoy muy agradecido :)

Anónimo dijo...

Otro posible nombre para el exe que se crea en c:\ es chxnxyx.exe. El virus original es herss y se elminia como pone aquí.

F dijo...

Gracias! dir /a me muestra todos los archivos y carpetas,saludos!