VBS.Legion@mm – rendszerünk életét alaposan megbolygató féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: Legion Game
Tartalom: YA jugaste el juego Legion? si no aqui te lo doy checalo y hay me dices que tal…
Csatolmány: Legion.vbs

A féreg paraméterei

Felfedezésének ideje: 2002. október 16.
Védekezés elkészültének ideje: 2002. október 18.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 15.252 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát az alábbi helyekre:
C:/Legion.vbs
C://Temp.vbs
C://Legion.vbs
C://.vbe
C://System/legion.vbs
C://Menú Inicio/Programas/Inicio/legionworm.vbs
C://Escritorio/legion.vbs
C:/Documents and Settings/All Users/Menú Inicio/Programas/Inicio/legionworm.vbs
C:/Documents and Settings/All Users/Escritorio/legion.vbs
C:/Recycled/Legion.exe.vbs
C:/Recycler/Legion.exe.vbs
– létrehozza a C főkönyvtárában a Legion könyvtárat, ahova felmásolja magát a következő neveken: Legion.exe.vbs, Shakira.mp3.vbs, Hey Baby.mp3.vbs, BritneySpears.mp3.vbs, StarCraft.exe.vbs, WarCraft.exe.vbs, Morpheus.exe.vbs, Pink.mp3.vbs
– a C meghajtó főkönyvtárában létrehozza a Legion.hta állományt, amely a következő szöveget tartalmazza:
Virus Legion
Virus Legion Rindance han sido conquistados……
LeGion Actived In Your Computer
La Ultima vez que legion se ejecuto fue el a las
– a következő Registry módosításokat végzi el:
hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz az alábbi értékeket
htalegion C:/legion.hta
Legion C://legion.vbs
VBE C://.vbe
wormlegion C://System/legion.exe.vbs
legionworm C:/Recycled/legion.exe.vbs
viruslegion C:/Recycler/legion.exe.vbs
Shaleg C:/Legion/Shakira.mp3.vbs
Slegion C:/Legion/StarCraft.exe.vbs
warlegion C:/Legion/WarCraft.exe.vbs
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcshoz a következő három értéket:
RegisteredOwner Virus Legion
RegisteredOrganization Legion
ProductName Legiowns 2002
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcs alapértékét a következőre módosítja: Start Page http:/ /www.legion.com
– létrehoz egy alkulcsot: HKEY_CURRENT_USER/Software/Legion, és ennek beállítja az értékét: execution
– felülírja az autoexec.bat állományt, melynek így 458 byte lesz a hossza (a módosítás következtében Windows 9x/Me rendszereken a következő rendszerinduláskor automatikusan leformázza a merevelmezt)
– ha a HKEY_CURRENT_USER/Software/Kazaa/LocalContent Registry kulcs nem létezik, akkor létrehozza, majd hozzáadja a következő két értéket:
DisableSharing dword:00000000
Dir0 012345:c:/Legion
– a Registry-ből kikeresett kulcsok alapján a következő szoftverek file-jait törli le a Program Files könyvtárból:
Kaspersky Lab/Kaspersky AntiVirus Personal
Antiviral Toolkit Pro
AVPersonal
Trend PC-cillin 98
Trend Micro/PC-cillin 2000
McAfee/McAfee VirusScan
Perav
– minden DLL állományt letöröl a Norton Antivirus 2002 alkönyvtárából
– letörli a Windows könyvtáran található Regedit.exe-t és a System könyvtárban leledző Regedt32.exe file-t
– ha az aktuális nap kedd, akkor a féreg megjelenít egy üzenetet:
Cím: VBScript: Virus Legion
Üzenet: La Conquista ah llegado termino el juego
majd letöröl mindent a C gyökérkönyvtárából, a Windows könyvtárból, a Command könyvtárból és a DLL állományokat a System könyvtárból
– hozzáfűzi magát minden .htt, .htm és .html file-hoz az összes könyvtárban
– ha a Mirc fel van telepítve a számítógépre, a féreg módosítja annak Script.ini file-ját oly módon, hogy ezen keresztül is szaporodhasson (szerencsére az elrontott kód miatt ezen terjedési forma nem működik)
– létrehozza a C:Mail.vbs állományt, hogy a Microsoft Outlook MAPI használatával a fent ismertetett e-mail karakterisztikában elküldje magát az első 8 ezer, Outlook Address Bookban található címre.