Asunto: Legion Game
Datos adjuntos: Legion.vbs (15,252 bytes)

Texto:
YA jugaste el juego Legion? si no aqui te lo doy checalo y hay me dices que tal...

La extensión .VBS no es visible en una configuración por defecto de Windows (ver "Mostrar las extensiones verdaderas de los archivos").

Cuando el usuario abre el adjunto, este se ejecuta, copiándose el código del gusano en las siguientes ubicaciones:

C:\Legion.vbs C:\Windows\Temp.vbs C:\Windows\Legion.vbs C:\Windows\.vbe C:\Windows\System\legion.vbs C:\Windows\Menú Inicio\Programas\Inicio\legionworm.vbs C:\Windows\Escritorio\legion.vbs C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\legionworm.vbs C:\Documents and Settings\All Users\Escritorio\legion.vbs C:\Recycled\Legion.exe.vbs C:\Recycler\Legion.exe.vbs

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT' en Windows NT/2000).

También crea la carpeta 'C:\legion', y la agrega a la lista de carpetas compartidas entre usuarios del KaZaa, si este programa estuviera instalado en la computadora infectada.

Luego se copia en dicha carpeta con los siguientes nombres:

BritneySpears.mp3.vbs
Hey Baby.mp3.vbs
Legion.exe.vbs
Morpheus.exe.vbs
Pink.mp3.vbs
Shakira.mp3.vbs
StarCraft.exe.vbs
WarCraft.exe.vbs

El truco de la doble extensión, oculta el hecho de que el archivo es en realidad un script de Visual Basic.

También crea el siguiente archivo:

C:\Legion.hta

Este archivo .HTA (Hypertext Application, capaz de ejecutar aplicaciones desde documentos HTML), contiene el siguiente texto:

Virus Legion
Virus Legion Rindance han sido conquistados......
LeGion Actived In Your Computer
La Ultima vez que legion se ejecuto fue el
[fecha de creación del archivo] a las [hora de creación]

La extensión .HTA tampoco es visible normalmente. Este archivo no contiene ningún código viral, siendo totalmente inofensivo.

El gusano realiza luego las siguientes modificaciones en el registro, agregándose numerosas veces, con diferentes nombres, en el arranque de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

htalegion = C:\legion.hta
Legion = C:\Windows\legion.vbs
VBE = C:\Windows\.vbe
wormlegion = C:\Windows\System\legion.exe.vbs
legionworm = C:\Recycled\legion.exe.vbs
viruslegion = C:\Recycler\legion.exe.vbs
Shaleg = C:\Legion\Shakira.mp3.vbs
Slegion = C:\Legion\StarCraft.exe.vbs
warlegion = C:\Legion\WarCraft.exe.vbs

También cambia el nombre del usuario registrado de Windows, la organización y el nombre de la versión de Windows instalada, modificando las siguientes entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion

RegisteredOwner = Virus Legion
RegisteredOrganization = Legion
ProductName = Legiowns 2002

Cambia además la página de Inicio y el título de la ventana del Internet Explorer, modificando las siguientes entradas en el registro:

HKCU\Software\Microsoft\Internet Explorer\Main

Start Page = http://www.legion.com
Window title =
legion Actived in your Computer !Rindance han sido conquistados!

También crea la siguiente sub clave, con el siguiente valor:

HKEY_CURRENT_USER\Software\Legion
execution = [cantidad de ejecuciones del gusano]

Cuando el número de ejecuciones en dicha clave llega a las treinta, entonces se muestra el siguiente mensaje:

VBScript: Carmina
Carmina Ti Amo
[   Aceptar   ]

Y luego se sobrescribe el archivo 'C:\Autoexec.bat' con un nuevo código. El archivo sobrescrito tiene 458 bytes de longitud. Cuando la computadora sea reiniciada, los comandos agregados formatearán la unidad C (esto solo funciona en Windows 95, 98 y Me).

Si la siguiente entrada no existe en el registro, el gusano la crea:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent

Luego, agrega los siguientes valores:

DisableSharing = dword:00000000
Dir0 = 012345:c:\Legion

Con ello, habilita la carpeta 'C:\Legion' que contiene copias de si mismo, en la red de archivos compartidos entre usuarios del KaZaa. Cualquiera que descargue y ejecute alguno de los archivos antes mencionados, se infectará.

El gusano obtiene información sobre la carpeta 'C:\Archivos de programa' del registro, y borra todos los archivos de las siguientes subcarpetas, pertenecientes todas a conocidos antivirus:

C:\Archivos de programa\Kaspersky Lab\Kaspersky AntiVirus Personal  C:\Archivos de programa\Antiviral Toolkit Pro  C:\Archivos de programa\AVPersonal  C:\Archivos de programa\Trend PC-cillin 98  C:\Archivos de programa\Trend Micro\PC-cillin 2000  C:\Archivos de programa\McAfee\McAfee VirusScan  C:\Archivos de programa\Perav C:\Archivos de programa\Norton Antivirus 2002

En esta última carpeta solo borra todos los archivos .DLL

También borra el editor del registro:

C:\Windows\Regedit.exe 
C:\Windows\System32\Regedt32.exe

Si el día actual del sistema es martes, el gusano despliega primero el siguiente mensaje:

VBScript: Virus Legion
La Conquista ah llegado termino el juego
[    Aceptar    ]

Luego, borra todos los archivos en las siguientes carpetas:

C:\
C:\Windows
C:\Windows\Command

También borra todos los archivos .DLL de la siguiente carpeta:

C:\Windows\System

El gusano se agrega (infecta) a todos los archivos con las extensiones .HTT, .HTM, y .HTML de todas las carpetas del disco. No controla si ya se agregó antes, por lo que puede hacerlo una multitud de veces por cada archivo.

Si existe en el sistema el archivo MIRC.INI (en 'Archivos de programa\Mirc\Mirc.ini'), el gusano crea un archivo SCRIPT.INI con las instrucciones para enviarse desde 'C:\Pathdearchivo' a otros usuarios que compartan los mismos canales de chat que el usuario infectado. Sin embargo, el virus no crea ni se copia a la supuesta ubicación 'C:\Pathdearchivo', por lo que no funcionará su propagación vía IRC.

El gusano también crea el archivo 'C:\Mail.vbs', que utiliza las funciones MAPI del Outlook, para enviar el código del virus a los primeros 8,000 contactos de la libreta de direcciones, en un mensaje como el ya descripto.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. También puede ser necesaria la reinstalación de los productos antivirus eliminados. Si la rutina de borrado de archivos se ejecutara, es probable se requiera una reinstalación total de Windows y las aplicaciones necesarias.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Legion.hta

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Cómo recuperar REGEDIT.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

htalegion
Legion
VBE
wormlegion
legionworm
viruslegion
Shaleg
Slegion
warlegion

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha busque y borre las siguientes entradas:

RegisteredOwner = Virus Legion
RegisteredOrganization = Legion
ProductName = Legiowns 2002

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Legion

7. Pinche en la carpeta "Legion" y bórrela.

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

9. Pinche en la carpeta "Main" y en el panel de la derecha busque y borre la siguiente entrada:

Window title

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

11. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre las siguientes entradas:

DisableSharing = "0"
Dir0 = 012345:c:\Legion

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera: 

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com