Win32.Troj.Mir2HAK

  

病毒别名：Trojan-PSW.Win32.Lmir.xh 【AVP】,Trojan/PSW.Lmir.aaq 【KV】
处理时间：
威胁级别：★★
中文名称：传奇黑面
病毒类型：木马
影响系统：Win9x / WinNT

这是一个盗取传奇账号的木马病毒。该病毒发作的时候会将自己拷贝到“系统信息”程序所在的目录（在%SystemDriver%Progra~1Common~1Micros~1msinfo，注：%SystemDriver%是操作系统所在的分区），病毒及其DLL文件的名称与“系统信息”程序及其DLL文件非常相似，具有很大的欺骗性。该病毒会监视用户的输入，如果是病毒作者感兴趣的东西，病毒就会将其记录下来并发送到病毒作者的邮箱中。如果用户的机器中了该病毒，可能会导致传奇账号丢失，从而给用户带来一定的经济损失。

1)将病毒拷贝到“系统信息”程序所在的目录下：
%SystemDriver%Progra~1Common~1Micros~1msinfomsinfo.exe
%SystemDriver%Progra~1Common~1Micros~1msinfoMsinfo.dll （Win32.Troj.PswLMir.24064）
这2个文件的文件名与正常的“系统信息”程序msinfo32.exe及其DLL文件msinfo32.dll非常相似， 具有很大的欺骗
性。
注：%SystemDriver%是操作系统所在的分区，例如：C，D，E，F，G

2)在注册表中为病毒添加启动项，以实现病毒的开机自启动：
NT系统：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
"Shell"="Explorer.exe %SystemDriver%Progra~1Common~1Micros~1msinfoMsinfo.exe"
非NT系统：
HKEY_CURREN_USERSoftWareMicrosoftWindowsCurrentVersionRun
"Msinfo"="%SystemDriver%Progra~1Common~1Micros~1msinfoMsinfo.exe"