Me encontré un virus: herss.exe

No sé ni cómo, ni de dónde salió pero hoy me topé con un la sorpresa de que en mi computadora estaba viviendo algún tipo de virus o spyware precarista, que mi programa de antivirus no había logrado detectar.

Todo empezó hace unas semanas cuando noté que dejó de funcionar mi MSN messenger. Inicialmente lo interprete como uno de esos errores extraños que se producen cuando uno corre el MSN Messenger en una computadora que sigue con Windows XP. Básicamente la conclusión a la que llegué fue que dado que ya no existe soporte para Windows XP, y dado que es uno de los errores extraños de MSN messenger que sólo Microsoft puede entender, no valía la pena seguir luchando para corregirlo. Por lo tanto, simplemente baje una copia de Trillian y la instalé. Y no puedo decir, definitivamente, que esté desilusionado con Trillian. Hizo todo lo que normalmente hace el MSN messenger... y más.

No recuerdo qué era lo que está buscando esta tarde, pero me puse a revisar las aplicaciones y servicios que estaban corriendo en la computadora. Y me di cuenta que extrañamente habían unas entradas nuevas en el registry de Windows, bajo HKLM\Software\Microsoft\Windows\CurrenVersion\Run. Había un par de entradas que apuntaban a unos archivos DLL ubicados en el directorio temporal. Y además, había un ejecutable herss.exe que definitivamente no reconocía de ninguna parte.

Busqué por todas partes en Internet, sin embargo no pude encontrar ninguna referencia concreta de este archivo herss.exe que viniera de una fuente reputable (Symantec, ESET, etc). Si encontré varias referencias, pero en foros de discusión cuya veracidad no se podía comprobar. Ninguna de las fuentes que encontré sabía describir exactamente qué era lo que hacía este archivo herss.exe, sin embargo si puede encontrar una referencia donde le ponían nombres: Trojan-GameThief.Win32.Magania.cehd, Win-Trojan/OnlineGameHack.116840, y varios otros.

En sí, parece que este es algún tipo de gusano proveniente de China, que posiblemente se dedique a robar información de cuentas de juegos en línea, posiblemente con el fin de violentarlas y robar los recursos que tenga ganados el usuario en su juego. Una versión virtual del asalto a mano armada. Además de esto, no está totalmente claro si el gusano hace algo más como por ejemplo intentar robar información de cuentas de correo electrónico, cuentas bancarias, o tratar de enviar algún tipo de spam con copias de sí mismo. Lo que sí parece hacer, es afectar el funcionamiento del MSN Messenger, al punto donde vuelve imposible conectarse a la red. El Messenger inicia sin problema, y conecta sin problema, sin embargo algunos segundos después se pierde la conexión.

Como removerlo? Es difícil, en realidad yo no encontré ninguna referencia de programas de antivirus o antispyware que pudieran removerlo. Mi antivirus (ESET NOD32) no lo podía detectar ni remover, al igual que varios otros antivirus hechos por grandes fabricantes (incluyendo el Symantec). Al final, entre varios procesos de prueba y error logre llegarle a la solución para removerlo del sistema (aparentemente):

1. Se edita el registry o se utiliza el msconfig para deshabilitar la aplicación herss.exe. Esto lo que hace es que desactiva el monitor en tiempo real del virus, y evita que se recupere cuando detecta que uno está tratando de removerlo.
2. Posteriormente, se reinicia la computadora en modo a prueba de fallos con línea de comando. Se entra como administrador, y en el directorio raíz de todas las unidades se corre un attrib. Si el virus efectivamente está corriendo en la computadora, van a aparecer una serie de archivos .exe con nombres aleatorios que nada tiene que ver con los nombres de archivos que normalmente están en el directorio raíz. Van a encontrar cosas como mt2.exe, 0qw6vege.exe, 6rxt26.exe y ese tipo de nombres... todos con aproximadamente 115 Kb de tamaño. Además de estos archivos aleatorios van a encontrar que en la raíz hay un archivo autorun.inf. Así es como virus se propaga y posiblemente se repare cuando uno trata de removerlo: al abrir cada unidad, se ejecuta el archivo autorun.inf, que apunta hacia una de las aplicaciones que son el virus.
3. Si efectivamente encontraron estos archivos, lo que tienen que hacer es correr "attrib -s -h -r *.exe" y "attrib -s -h -r autorun.inf". Esto hará que los archivos del virus se vuelvan visibles y puedan ser borrados. Una vez que hayan hecho esto, si escriben "dir" les aparecerán el montón de archivos del virus en el directorio raíz. A partir de aquí, es simplemente ir borrandolos. Yo recomiendo hacerlo desde la línea de comando y no desde el explorador de Windows, dado que el explorador puede ejecutar accidentalmente el autorun.inf y volver a propagar el virus por el sistema.
4. Ese mismo procedimiento hay que corrérselo a todos los discos duros, dado que el virus buscando sobrevivir crear copias de sí mismo en todas las raíces de los discos duros y de las llaves y unidades USB que pueda encontrar en la computadora.
5. Adicionalmente, tienen que buscar en los directorios temporales (\WINDOWS\TEMP y el temporal de cada usuario) copias del virus. Por lo general van a encontrarse tres archivos entre los temporales que corresponden al virus: herss.exe, cvasds1.dll y cvasds0.dll. Todos estos archivos, parecido a los que se encuentran en el directorio de raíz, están con atributos oculto y del sistema, lo cual significa que van a tener que correr el mismo comando attrib para poder borrarlos.
6. Ya con los archivos eliminados de todas las unidades, pueden reiniciar la computadora y el virus no va a volver a activarse. Para estar seguros de que lo hayan removido por completo, abren el administrador de tareas y revisen que no aparezca como tarea activa herss.exe, y además después de algunas horas revisen los directorio raíz con attrib para estar seguros de que no hayan vuelto aparecer los archivos ejecutables y el autorun. Si no vuelven a aparecer, efectivamente lograron eliminar el virus.

Porque mi antivirus no pudo detectar esta invasión? Varias razones, entre las más convincentes está que el autorun.inf no necesariamente es un virus, sino que muchas veces es una parte común y corriente de un instalador de un programa. Si el virus logra crear el autorun y sus ejecutables no contienen ningún segmento de código previamente identificado como un virus, el antivirus no va a generar ninguna alerta.

Me imagino que ya están investigando el virus los fabricantes de antivirus del mundo, y pronto tendremos una actualización capaz de detectar y remover el herss. Por el momento, la mejor solución sigue siendo hacer una revisión manual de los directorio raíz de la computadora como para asegurarse que no esté presente el virus.

Actualización: el fin de semana actualicé a ESET Smart Security 4, al parecer la última actualización del SS4 ya tiene capacidad para detectar este gusano...