Win32.Troj.Mir2HAK

病毒別名：Trojan-PSW.Win32.Lmir.xh [AVP],Trojan/PSW.Lmir.aaq [KV]

處理時間：

影響系統：Win9x / WinNT

該病毒發作的時候會將自己拷貝到“系統信息”程式所在的目錄（在%SystemDriver%\Progra~1Common~1\Micros~1\msinfo\，註：%SystemDriver%是作業系統所在的分區），病毒及其DLL檔案的名稱與“系統信息”程式及其DLL檔案非常相似，具有很大的欺騙性。該病毒會監視用戶的輸入，如果是病毒作者感興趣的東西，病毒就會將其記錄下來並傳送到病毒作者的信箱中。如果用戶的機器中了該病毒，可能會導致傳奇賬號丟失，從而給用戶帶來一定的經濟損失。

1)將病毒拷貝到“系統信息”程式所在的目錄下：

%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe

%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.dll （Win32.Troj.PSWLmir.24064）

這2個檔案的檔案名稱與正常的“系統信息”程式msinfo32.exe及其DLL檔案msinfo32.dll非常相似， 具有很大的欺騙

性。

註：%SystemDriver%是作業系統所在的分區，例如：C，D，E，F，G

2)在註冊表中為病毒添加啟動項，以實現病毒的開機自啟動：

NT系統：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell"="Explorer.exe %SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"

非NT系統：

HKEY_CURREN_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run

"Msinfo"="%SystemDriver%\Progra~1\Common~1\Micros~1\msinfo\Msinfo.exe"