W32/PSW.Legendmir.XE. Acceso remoto e infecta archivosNombre: W32/PSW.Legendmir.XE
Nombre NOD32: Win32/PSW.Legendmir.XE
Tipo: Virus y Caballo de Troya
Alias: Legendmir.XE, PE_LEGMIR.B, PE_LEGMIR.B-O, PSW.Legendmir.17.BF, PSW.Legendmir.9.C, PWSteal.Lemir.Gen, Trojan.PSW.Lmir.oa, Trojan.Psw.Lmir.Oa, Trojan.PSW.Lmir.XE, Trojan.Win32.Lmir.xe, Trojan-PSW.Win32.Lmir.xe, W32.HLLP.Philis, W32/HLLP.Philis.g, W32/Legmir.BC, W32/Legmir.J, W32/LegMir-T, W32/Lemir.Dll.1, W32/Lemir.Dll.2, Win32/Philis, Win32/PSW.Legendmir.XE
Fecha: 15/dic/04
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes (UPX)
Se trata de un virus infector de archivos PE (Portable Executable) en formato .EXE, escrito en Borland Delphi. PE es el estándar de ejecutables para archivos de 32-bit. El virus agrega su código al comienzo de los archivos que infecta (59,904 bytes), y se propaga cuando un archivo infectado es ejecutado.
El código del virus agrega capacidades de caballo de Troya de acceso remoto. Cuando un archivo infectado es ejecutado, puede liberar el siguiente DLL de 14,848 bytes:
virdll.dll
Dicho DLL es inyectado en cada proceso del Internet Explorer (IEXPLORE.EXE) o del Explorador de Windows (EXPLORE.EXE). Su función es intentar conectarse a Internet para descargar y ejecutar otros archivos. También puede capturar la salida del teclado del usuario infectado o recibir instrucciones de un usuario remoto.
Al mismo tiempo, cada vez que un .EXE infectado se ejecuta, intentará infectar otros .EXE en todas las unidades de disco de la C a la Z inclusive, y en todos los recursos de red compartidos sin protección de contraseñas (utiliza IPC$).
La siguiente entrada en el registro es creada para almacenar información:
HKLM\SOFTWARE\Soft\DownloadWWW
Reparación manualNOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Más información
http://www.vsantivirus.com/psw-legendmir-xe.htm
