Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Legio. Troyano de Acceso Remoto (puerto 777)
 
VSantivirus No. 556 - Año 6 - Martes 15 de enero de 2002

 Troj/Legio. Troyano de Acceso Remoto (puerto 777)

Nombre: Troj/Legio
Tipo: Caballo de Troya de Acceso Remoto
Alias: LEGIO, BackDoor-YJ
Fecha: 21/dic/01
Tamaño: 390,657 bytes

Este troyano está escrito en Borland Delphi.

Cuando se ejecuta, se despliega una ventana con el siguiente texto:

Havealook.
System not configured right.
Program will not run.
goto www.microsoft.com and get new ActiveX.
[    OK    ]

El troyano se copia a si mismo a la carpeta de Windows con el nombre de LEGIO.EXE:

C:\WINDOWS\legio.exe

También modifica la siguiente rama del registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\CurrentVersion\RunServices
System=C:\Windows\legio.exe -winsys

El parámetro "winsys" suprime el mensaje que se despliega al iniciarse.

Una vez activo, el troyano se pone a la escucha por el puerto 777, quedando a la espera de las ordenes que le permitan hacer algunas de estas tareas:

  • Ejecutar aplicaciones
  • Subir y bajar archivos por FTP
  • Enviar mensajes
  • Intercambiar los botones del mouse (izquierdo por derecho y viceveresa).
  • Esconder o asegurar el cursor.
  • Abrir o cerrar la bandeja del CD-ROM

El troyano también crea esta marca en el registro:

HKEY_LOCAL_MACHINE\Software\ms_the_word
word=legio

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como infectados.

Borre con REGEDIT (Inicio, Ejecutar, escriba Regedit y pulse Enter), la clave "System" de la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

Pinche en la carpeta "RunServices" y borrar en la ventana de la derecha: la clave "System". 

Guarde los cambios y reinicie su PC. Luego, busque y elimine el archivo "C:\Windows\legio.exe".


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS