Nombre:TR/PSW.Lmir.53381
Descubierto:31/08/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:53.381 Bytes
Suma de control MD5:377d336c659395f6faf9100b69eaa84a
Versión del VDF:6.31.1.54

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Modifica las siguientes claves del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"=%configuración definida por el usuario%
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Valor anterior:
   • @=%configuración definida por el usuario%
   Nuevo valor:
   • @="%SYSDIR%\winl0gon.exe %1"

 Finalización de los procesos Listado de los procesos finalizados:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

Han finalizado los procesos con las siguientes características:
    •  Título: Symantec AntiVirus     Nombre de clase: KV2004
    •  Título: RavMon.exe     Nombre de clase: RavMonClass
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: Tapplication
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: TForm1
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: TfLockDownMain
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: ZAFrameWnd
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: KvXP_ExpertFrame
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: WHXMDI0
    •  Título: RegEdit_RegEdit     Nombre de clase: TKillqqv
    •  Título: %serie de caracteres aleatorios%     Nombre de clase: TfrmMain

 Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • Legend of Mir2
   • Legend of Mir3

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el miércoles 31 de agosto de 2005
Descripción actualizada por Irina Boldea el jueves 1 de septiembre de 2005

Volver . . . .