Come evitare che Legion Loader causi danni al sistema
Scitto da Tomas Meskauskas il
Che cos'è Legion Loader?
Legion Loader è un programma dannoso progettato per infettare i sistemi con altri 2-3 programmi di questo tipo (o più). Le ricerche mostrano che Legion Loader viene utilizzato per diffondere ruba-informazioni (come Vidar, Predator the Thief e Raccoon Stealer), backdoor, ruba-criptovalute e un miner di criptovalute.
Legion Loader può quindi causare molti problemi. Se un sistema è infettato da questo malware (o da altri software dannosi installati attraverso di esso), dovrebbe essere rimosso immediatamente.
I suddetti ruba-informazioni registrano dettagli che potrebbero essere utilizzati per generare entrate in vari modi. Ad esempio, Vidar può rubare indirizzi IP, cronologie di navigazione, portafogli di criptovalute, password salvate, dati dai client di messaggistica e così via.
Questo malware può anche prendere screenshot e infettare i sistemi con il ransomware GandCrab 5.0.4. Predator the Thief è in grado di registrare cookie, login salvati, password e altre informazioni salvate sui browser web. È in grado di rubare le credenziali di Steam, Discord, FileZilla e WinFTP.
Racoon Stealer può essere utilizzato per rubare password, cookie del browser e dati di riempimento automatico salvati sui browser delle vittime. Può anche essere utilizzato per rubare i dati dei portafogli delle criptovalute. Tutti questi programmi dannosi sono utilizzati dai criminali informatici per rubare informazioni sensibili.
In genere, prendono di mira dettagli che possono essere usati impropriamente per effettuare transazioni e acquisti fraudolenti ed eseguire azioni per generare entrate, causando così perdite finanziarie alle vittime. Inoltre, uno dei payload di Legion Loader è una "backdoor".
Questo tipo di software consente ai criminali informatici di controllare le macchine infette da remoto, fornendo loro l'accesso remoto ai computer delle vittime. In genere, le backdoor vengono utilizzate per infettare i computer con ulteriore malware ed eseguire altre attività dannose.
Inoltre, Legion Loader contiene un ruba-criptovalute integrato basato su PowerShell, che controlla i portafogli di criptovalute utilizzati e ruba i file dei portafogli e le credenziali memorizzate relative alle criptovalute. Carica le informazioni rubate su un server di comando e controllo (C&C) controllato dai criminali informatici.
Legion Loader è anche in grado di installare un miner di criptovaluta. I programmi di questo tipo utilizzano l'hardware del computer per estrarre criptovalute. Nella maggior parte dei casi, questo processo causa un elevato utilizzo della GPU e/o della CPU e aumenta il consumo di elettricità, portando così a bollette più salate. In genere, i software di questo tipo vengono distribuiti per generare entrate a spese della vittima.
| Nome | Legion Loader virus |
| Tipo di minaccia | Trojan, virus che ruba le password, malware bancario, spyware. |
| Nomi di rilevamento | Avast (Win32:PWSX-gen [Trj]), BitDefender (Gen:Variant.Ulise.88848), ESET-NOD32 (A Variant Of Win32/TrojanDownloader.Agent.EWC), Kaspersky (HEUR:Trojan-Downloader.Win32.Generic), Elenco completo (VirusTotal) |
| Nome del processo dannoso | eupanda.exe (il nome del processo può variare) |
| Carico utile | Vidar, Predator the Thief e Raccoon Stealer, ruba informazioni, cryptocurrnecy miner e stealer, backdoor. |
| I sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, pertanto non sono visibili sintomi particolari su un computer infetto. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, software "craccato". |
| Danni | Furto di password e informazioni bancarie, furto di identità, aggiunta del computer della vittima a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Chi ha un computer infettato da Legion Loader è esposto al rischio di furto di identità, perdita di denaro e/o di dati, problemi di privacy, installazione di altri malware e così via. Legion Loader è un malware ad alto rischio e dovrebbe essere rimosso immediatamente.
Non si sa esattamente come i criminali informatici facciano proliferare questo programma, ma è probabile che ciò avvenga attraverso un metodo di distribuzione di malware molto diffuso.
Come si è infiltrato Legion Loader nel mio computer?
Nella maggior parte dei casi, i criminali informatici fanno proliferare il software dannoso utilizzando campagne di spam (e-mail), falsi programmi di aggiornamento, canali e strumenti di download di software non affidabili, trojan e strumenti di attivazione non ufficiali ("cracking"). Utilizzando le campagne di spam, inviano e-mail che contengono allegati dannosi o link web che scaricano file dannosi.
Esempi di file allegati sono Microsoft Office, documenti PDF, file eseguibili (.exe), file JavaScript e archivi come ZIP, RAR, ecc. Se aperti, questi allegati causano l'installazione di software dannoso.
I falsi strumenti di aggiornamento del software solitamente infettano i sistemi sfruttando falle/bug o altre vulnerabilità dei programmi obsoleti installati sul sistema operativo (installando programmi dannosi anziché aggiornare quelli installati).
Le reti Peer-to-Peer (ad esempio, eMule, client torrent), i downloader di terze parti, le pagine di hosting di file freeware e gratuiti e altri canali/fonti di download simili sono spesso utilizzati per proliferare il malware. I sistemi vengono infettati quando le persone scaricano e aprono un file dannoso caricato dai criminali informatici.
In genere, questi file sono mascherati come innocui e legittimi. I trojan sono programmi dannosi che spesso causano infezioni a catena. Pertanto, se un sistema è già infettato da un Trojan, questo programma dannoso causerà l'installazione di ulteriore malware.
Gli strumenti di attivazione non ufficiali ("cracking") sono programmi che presumibilmente attivano gratuitamente altri software a pagamento (con licenza) (cioè, per aggirare l'attivazione a pagamento), ma sono progettati da criminali informatici che cercano di far proliferare il malware. Chi utilizza questi strumenti rischia di infettare i propri sistemi con malware ad alto rischio.
Come evitare l'installazione di malware
Non fidatevi delle e-mail irrilevanti che contengono allegati o link web, soprattutto se ricevute da indirizzi sconosciuti e sospetti. I file allegati potrebbero infettare i computer con malware. Tutti i software devono essere scaricati dai siti Web ufficiali e tramite i link di download diretti.
Non ci si può fidare di altri canali/strumenti. Gli aggiornamenti non devono essere installati tramite strumenti di terze parti. L'unico modo sicuro per aggiornare il software installato è utilizzare gli strumenti e/o le funzioni implementate dagli sviluppatori ufficiali. Il software installato non deve essere attivato tramite strumenti di terze parti.
Questo è illegale e potrebbe causare l'installazione di malware. Mantenete i sistemi sicuri eseguendo regolarmente una scansione con un software antivirus o anti-spyware affidabile. È importante assicurarsi che i software di questo tipo installati siano aggiornati. Se si ritiene che il computer sia già infetto, si consiglia di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Processo Legion Loader in Task Manager ("eupanda.exe")
Aggiornamento 7 gennaio 2025 - È stato rilevato che LegionLoader fornisce un'estensione di Chrome dannosa che può modificare i contenuti delle e-mail e tracciare l'attività di navigazione. Utilizza anche CursedChrome, un'estensione di Chrome che trasforma i browser compromessi in proxy HTTP, consentendo agli aggressori di navigare sui siti web come se fossero le vittime.
L'estensione può anche scattare screenshot della scheda attiva, gestire l'accesso agli account di Facebook, Coinbase e Google Pay e persino eseguire azioni finanziarie come il prelievo di criptovaluta. Dall'agosto del 2024, LegionLoader ha distribuito rubacorrente insieme a estensioni di Chrome come LummaC2, Rhadamanthys e StealC.
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Che cos'è Legion Loader?
- PASSO 1. Rimozione manuale del malware Legion Loader.
- PASSO 2. Verificare che il computer sia pulito.
Come rimuovere manualmente il malware?
La rimozione manuale del malware è un compito complicato: di solito è meglio lasciare che siano i programmi antivirus o anti-malware a farlo automaticamente. Per rimuovere questo malware si consiglia di utilizzare Combo Cleaner.
Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta cercando di rimuovere. Ecco un esempio di programma sospetto in esecuzione sul computer di un utente:
Se si è controllato l'elenco dei programmi in esecuzione sul computer, ad esempio utilizzando il task manager, e si è identificato un programma che sembra sospetto, si dovrebbe continuare con questi passaggi:
Scaricare un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano automaticamente, il Registro di sistema e le posizioni del file system:
Riavviare il computer in modalità provvisoria:
Utenti di Windows XP e Windows 7: avviare il computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con collegamento in rete":
Utenti di Windows 8: Avviare Windows 8 in modalità provvisoria con rete - Accedere alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra aperta "Impostazioni generali del PC" selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà nel "Menu delle opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il PC si riavvia nella schermata delle impostazioni di avvio. Premere F5 per avviare in modalità provvisoria con collegamento in rete.
Video che mostra come avviare Windows 8 in "Modalità provvisoria con collegamento in rete":
Utenti di Windows 10: Fare clic sul logo di Windows e selezionare l'icona Alimentazione. Nel menu aperto, fare clic su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione" fare clic su "Risoluzione dei problemi", quindi selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionate "Impostazioni di avvio" e fate clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul tasto "F5" della tastiera. In questo modo il sistema operativo verrà riavviato in modalità sicura con collegamento in rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con collegamento in rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns, fare clic su "Opzioni" in alto e deselezionare le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Annotate il percorso completo e il nome del file. Si noti che alcuni malware nascondono i nomi dei processi sotto quelli legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina".
Dopo aver rimosso il malware attraverso l'applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al successivo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare i file e le cartelle nascoste prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.
Riavviare il computer in modalità normale. Seguendo questi passaggi si dovrebbe rimuovere qualsiasi malware dal computer. Si noti che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non si dispone di tali competenze, lasciare la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con le infezioni da malware avanzate. Come sempre, è meglio prevenire l'infezione che cercare di rimuovere il malware in un secondo momento. Per mantenere il vostro computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il computer sia privo di infezioni da malware, si consiglia di eseguire una scansione con Combo Cleaner.
Domande frequenti (FAQ)
Il mio computer è infettato da Legion Loader, devo formattare il dispositivo di archiviazione per eliminarlo?
Se il computer è infettato da Legion Loader, la formattazione del dispositivo di archiviazione è un modo per rimuovere il malware, ma è una misura estrema. Prima di compiere questo passo, considerate l'utilizzo di uno strumento di sicurezza, come Combo Cleaner, per scansionare l'intero sistema e rimuovere il malware.
Quali sono i principali problemi che il malware può causare?
Il malware può causare diversi problemi, come la perdita di dati, il furto di informazioni personali o di denaro, il crash del sistema e il rallentamento delle prestazioni. Può anche portare a ulteriori infezioni.
Qual è lo scopo di Legion Loader?
Lo scopo di Legion Loader è quello di fornire payload dannosi, in genere serve come meccanismo di consegna per altri software dannosi, come estensioni di Chrome dannose, ransomware o ruba-informazioni.
Come si è infiltrato Legion Loader nel mio computer?
Il loader si diffonde attraverso i download drive-by, in cui gli utenti sono indotti a visitare siti web (come RapidShare e MEGA) che ospitano falsi file di installazione. Gli utenti infettano inconsapevolmente i loro computer con il malware Legion Loader quando scaricano ed eseguono questi file.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere quasi tutte le infezioni da malware conosciute. Tuttavia, il malware avanzato spesso si nasconde in profondità nel sistema, quindi è essenziale eseguire una scansione completa del sistema per assicurarne la rimozione.
Eccezionale!
▼ Mostra Discussione