Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Miyu en 03 de Enero de 2005, 12:52:51 am

Título: W32/PSW.Legendmir.XE. Acceso remoto e infecta archivos
Publicado por: Miyu en 03 de Enero de 2005, 12:52:51 am

W32/PSW.Legendmir.XE. Acceso remoto e infecta archivos

Nombre: W32/PSW.Legendmir.XE
Nombre NOD32: Win32/PSW.Legendmir.XE
Tipo: Virus y Caballo de Troya
Alias: Legendmir.XE, PE_LEGMIR.B, PE_LEGMIR.B-O, PSW.Legendmir.17.BF, PSW.Legendmir.9.C, PWSteal.Lemir.Gen, Trojan.PSW.Lmir.oa, Trojan.Psw.Lmir.Oa, Trojan.PSW.Lmir.XE, Trojan.Win32.Lmir.xe, Trojan-PSW.Win32.Lmir.xe, W32.HLLP.Philis, W32/HLLP.Philis.g, W32/Legmir.BC, W32/Legmir.J, W32/LegMir-T, W32/Lemir.Dll.1, W32/Lemir.Dll.2, Win32/Philis, Win32/PSW.Legendmir.XE
Fecha: 15/dic/04
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes (UPX)

Se trata de un virus infector de archivos PE (Portable Executable) en formato .EXE, escrito en Borland Delphi. PE es el estándar de ejecutables para archivos de 32-bit. El virus agrega su código al comienzo de los archivos que infecta (59,904 bytes), y se propaga cuando un archivo infectado es ejecutado.

El código del virus agrega capacidades de caballo de Troya de acceso remoto. Cuando un archivo infectado es ejecutado, puede liberar el siguiente DLL de 14,848 bytes:

    virdll.dll

Dicho DLL es inyectado en cada proceso del Internet Explorer (IEXPLORE.EXE) o del Explorador de Windows (EXPLORE.EXE). Su función es intentar conectarse a Internet para descargar y ejecutar otros archivos. También puede capturar la salida del teclado del usuario infectado o recibir instrucciones de un usuario remoto.

Al mismo tiempo, cada vez que un .EXE infectado se ejecuta, intentará infectar otros .EXE en todas las unidades de disco de la C a la Z inclusive, y en todos los recursos de red compartidos sin protección de contraseñas (utiliza IPC$).

La siguiente entrada en el registro es creada para almacenar información:

    HKLM\SOFTWARE\Soft\DownloadWWW


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.

Más información http://www.vsantivirus.com/psw-legendmir-xe.htm

Título: W32/PSW.Legendmir.XE. Acceso remoto e infecta archivos
Publicado por: Dabo en 03 de Enero de 2005, 12:57:17 am

ya sabeis, tomar nota que luego puede que sea tarde  :wink: