Como evitar que o Legion Loader cause danos ao sistema
Escrito por Tomas Meskauskas a
O que é o Legion Loader?
Legion Loader é um programa malicioso projetado para infetar sistemas com 2-3 outros programas deste tipo (ou mais). A pesquisa mostra que Legion Loader é usado para espalhar ladrões de informações (como Vidar, Predator the Thief e Raccoon Stealer), backdoors, ladrões de criptomoedas e um minerador de criptomoedas.
Legion Loader pode, portanto, causar muitos problemas. Se um sistema estiver infetado com este malware (ou outro software malicioso instalado através dele), deve ser removido imediatamente.
Os ladrões de informação acima mencionados registam detalhes que podem ser usados para gerar rendimento de várias maneiras. Por exemplo, Vidar pode roubar endereços IP, históricos de navegação, carteiras de criptomoedas, senhas salvas, dados de clientes de mensagens e assim por diante.
Este malware também pode tirar capturas de tela e infetar sistemas com o ransomware GandCrab 5.0.4. O Predator the Thief é capaz de gravar cookies, logins guardados, palavras-passe e outras informações guardadas nos browsers. É capaz de roubar credenciais de clientes Steam, Discord, FileZilla e WinFTP.
O Racoon Stealer pode ser usado para roubar palavras-passe, cookies do navegador e dados de preenchimento automático que são guardados nos navegadores das vítimas. Também pode ser usado para roubar detalhes de carteiras de criptomoedas. Todos estes programas maliciosos são utilizados por criminosos virtuais para roubar informações sensíveis.
Geralmente, visam detalhes que podem ser mal utilizados para fazer transacções e compras fraudulentas, e executar acções para gerar rendimento, causando assim perdas financeiras às vítimas. Além disso, um dos payloads do Legion Loader é um 'backdoor'.
O software deste tipo permite que os criminosos virtuais controlem remotamente as máquinas infectadas - fornece-lhes acesso remoto aos computadores das vítimas. Normalmente, os backdoors são usados para infetar computadores com malware adicional e executar outras tarefas maliciosas.
Além disso, o Legion Loader contém um ladrão de criptomoedas baseado em PowerShell, que verifica as carteiras de criptomoedas usadas e rouba ficheiros de carteira e credenciais relacionadas com criptomoedas armazenadas. Carrega a informação roubada para um servidor de comando e controlo (C&C) controlado por criminosos virtuais.
O Legion Loader também é capaz de instalar um minerador de criptomoeda. Programas desse tipo usam hardware de computador para minerar criptomoedas. Na maioria dos casos, este processo causa alta utilização de GPU e/ou CPU e aumenta o consumo de eletricidade, levando assim a contas de eletricidade mais elevadas. Geralmente, este tipo de software é distribuído para gerar receitas à custa da vítima.
| Nome | Legion Loader virus |
| Tipo de ameaça | Trojan, vírus que rouba palavras-passe, malware bancário, spyware. |
| Nomes de deteção | Avast (Win32:PWSX-gen [Trj]), BitDefender (Gen:Variant.Ulise.88848), ESET-NOD32 (Uma variante de Win32/TrojanDownloader.Agent.EWC), Kaspersky (HEUR:Trojan-Downloader.Win32.Generic), Lista completa (VirusTotal) |
| Nome(s) do(s) processo(s) malicioso(s) | eupanda.exe (o nome do processo pode variar) |
| Carga útil | Vidar, Predator the Thief e Raccoon Stealer, ladrões de informação, mineradores e ladrões de criptomoedas, backdoor. |
| Sintomas | Os cavalos de Troia são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que não são visíveis sintomas específicos numa máquina infetada. |
| Métodos de distribuição | Anexos de correio eletrónico infectados, anúncios online maliciosos, engenharia social, "cracks" de software. |
| Danos | Passwords e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a uma botnet. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
As pessoas que têm computadores infectados com Legion Loader estão expostas ao risco de roubo de identidade, perda monetária e/ou de dados, problemas relacionados com a privacidade, instalação de outro malware, e assim por diante. Legion Loader é um malware de alto risco e deve ser removido imediatamente.
Não se sabe exatamente como os criminosos virtuais proliferam esse programa, no entanto, é provável que seja através de um método popular de distribuição de malware.
Como é que o Legion Loader se infiltrou no meu computador?
Na maioria dos casos, os criminosos virtuais proliferam software malicioso usando campanhas de spam (e-mails), atualizadores de software falsos, canais e ferramentas de descarregamento de software não confiáveis, cavalos de Troia e ferramentas de ativação não oficiais ('cracking'). Utilizando campanhas de spam, enviam e-mails que contêm anexos maliciosos ou ligações Web que descarregam ficheiros maliciosos.
Exemplos de ficheiros que anexam são o Microsoft Office, documentos PDF, ficheiros executáveis (.exe), ficheiros JavaScript e arquivos como ZIP, RAR, etc. Se forem abertos, estes anexos provocam a instalação de software malicioso.
As falsas ferramentas de atualização de software normalmente infectam os sistemas através da exploração de falhas/bugs ou outras vulnerabilidades de programas desactualizados instalados no sistema operativo (instalando programas maliciosos em vez de atualizar os instalados).
As redes peer-to-peer (por exemplo, eMule, clientes torrent), descarregadores de terceiros, páginas de alojamento de ficheiros gratuitos e freeware e outros canais/fontes de descarregamento semelhantes são frequentemente utilizados para proliferar malware. Os sistemas são infectados quando as pessoas descarregam e abrem um ficheiro malicioso que foi carregado por cibercriminosos.
Normalmente, estes ficheiros estão disfarçados de inofensivos e legítimos. Os Trojans são programas maliciosos que frequentemente causam infecções em cadeia. Assim, se um sistema já estiver infetado com um Trojan, este programa malicioso causará a instalação de malware adicional.
Ferramentas de ativação não oficiais ('cracking') são programas que supostamente activam outro software pago (licenciado) gratuitamente (ou seja, para contornar a ativação paga), no entanto, são concebidos por criminosos virtuais que procuram proliferar malware. As pessoas que utilizam estas ferramentas arriscam-se a infetar os seus sistemas com malware de alto risco.
Como evitar a instalação de malware
Não confie em mensagens de correio eletrónico irrelevantes que contenham anexos ou ligações Web, especialmente se forem recebidas de endereços desconhecidos e suspeitos. Os ficheiros anexados podem infetar os computadores com malware. Todo o software deve ser descarregado dos sítios Web oficiais e através de ligações de descarregamento direto.
Não se pode confiar noutros canais/ferramentas. As actualizações não devem ser instaladas através de ferramentas de terceiros. A única forma segura de atualizar o software instalado é utilizando ferramentas e/ou funções implementadas concebidas por programadores oficiais. O software instalado não deve ser ativado através de ferramentas de terceiros.
Isto é ilegal e pode causar a instalação de malware. Mantenha os sistemas seguros, verificando-os regularmente com software antivírus ou anti-spyware de boa reputação. É importante assegurar que o software instalado deste tipo está atualizado. Se acredita que o seu computador já está infetado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Processo Legion Loader no Gestor de Tarefas ("eupanda.exe")
Atualização 7 de janeiro de 2025 - Descobriu-se que o LegionLoader fornece uma extensão nociva do Chrome que pode alterar o conteúdo do e-mail e rastrear a atividade de navegação. Também usa o CursedChrome, uma extensão do Chrome que transforma os navegadores comprometidos em proxies HTTP, permitindo que os atacantes naveguem em sites como se fossem as vítimas.
A extensão também pode fazer capturas de tela da guia ativa, gerenciar o acesso às contas do Facebook, Coinbase e Google Pay e até mesmo realizar ações financeiras, como retirar criptomoedas. Desde agosto de 2024, o LegionLoader vem entregando stealers junto com extensões do Chrome, como LummaC2, Rhadamanthys e StealC.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o Legion Loader?
- PASSO 1. Remoção manual do malware Legion Loader.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou anti-malware façam isso automaticamente. Para remover esse malware, recomendamos o uso de Combo Cleaner.
Se desejar remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregar um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o registo e as localizações do sistema de ficheiros:
Reiniciar o computador no modo de segurança:
Utilizadores do Windows XP e do Windows 7: Inicie o computador no modo de segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar e clique em OK. Durante o processo de arranque do computador, prima a tecla F8 no teclado várias vezes até ver o menu Opções avançadas do Windows e, em seguida, selecione Modo de segurança com ligação em rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de segurança com rede":
Utilizadores do Windows 8: Iniciar o Windows 8 no modo de segurança com rede - Aceda ao ecrã Iniciar do Windows 8, escreva Avançadas e, nos resultados da pesquisa, selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O computador será reiniciado no menu "Opções avançadas de inicialização". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O PC será reiniciado no ecrã Definições de arranque. Prima F5 para iniciar no modo de segurança com ligação em rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de segurança com rede":
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone Energia. No menu aberto, clique em "Reiniciar" mantendo premido o botão "Shift" do teclado. Na janela "escolher uma opção", clique em "Resolução de problemas" e, em seguida, selecione "Opções avançadas".
No menu de opções avançadas selecione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" do seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de segurança com rede":
Extraia o ficheiro descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Options" (Opções) na parte superior e desmarque as opções "Hide Empty Locations" (Ocultar locais vazios) e "Hide Windows Entries" (Ocultar entradas do Windows). Após este procedimento, clique no ícone "Refresh" (Atualizar).
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o seu caminho e nome completos. Note que alguns malwares escondem nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros de sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Eliminar".
Depois de remover o malware através da aplicação Autoruns (isto assegura que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o computador no modo normal. Seguir estes passos deverá remover qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos informáticos avançados. Se não tiver esses conhecimentos, deixe a remoção de malware para os programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas de malware. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as últimas actualizações do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infecções por malware, recomendamos que o analise com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infetado com Legion Loader, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Se o seu computador estiver infetado com o Legion Loader, formatar o seu dispositivo de armazenamento é uma forma de remover o malware, mas é uma medida extrema. Antes de dar esse passo, considere usar uma ferramenta de segurança, como o Combo Cleaner, para verificar todo o seu sistema e remover o malware.
Quais são os maiores problemas que o malware pode causar?
O software maligno pode causar vários problemas, como perda de dados, roubo de informações pessoais ou dinheiro, falhas no sistema e desempenho lento. Também pode levar a infecções adicionais.
Qual é o objetivo do Legion Loader?
O objetivo de Legion Loader é entregar cargas maliciosas, normalmente serve como um mecanismo de entrega para outro software prejudicial, como extensões maliciosas de Chrome, ransomware, ou ladrões de informação.
Como é que o Legion Loader se infiltrou no meu computador?
O carregador é espalhado através de downloads drive-by, onde os utilizadores são induzidos a visitar sites (como RapidShare e MEGA) que hospedam falsos ficheiros de instalação. Os utilizadores, sem saber, infectam os seus computadores com o malware Legion Loader quando descarregam e executam esses ficheiros.
O Combo Cleaner protege-me do malware?
Sim, o Combo Cleaner consegue detetar e remover quase todas as infecções de malware conhecidas. No entanto, o malware avançado esconde-se frequentemente nas profundezas do sistema, por isso é essencial efetuar uma verificação completa do sistema para garantir a remoção.
Excelente!
▼ Mostrar comentários