Win32.Troj.PSWLmir.s

病毒別名：Trojan.PSW.Lmir.s[AVP]

處理時間：

中文名稱：

病毒行為:

它不斷的修改註冊表的啟動項，以使位元組能夠開機運行。它搜尋傳奇遊戲的視窗並截獲其中的賬號和密碼並將其傳送給木馬種植者。

1.該病毒會創建互斥體hellooooooo MIR防止多個實例運行，創建一個隱藏視窗，視窗類型為hellooooooo MIR，視窗標題為The Hello Program，並駐留記憶體。

2.將自己複製為%System%\<病毒原始檔案名稱>.exe並運行，釋放檔案%System%\<病毒原始檔案名稱>.dll，大小為4608位元組。

3.修改註冊表：

添加表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Windows Media SP.2.37" = "%System%\<病毒原始檔案名稱>.exe"

3.關閉包含以下字元串的進程：

netbargp

passwordguard

EGhost

iparmon

mailmon

kvmonxp

ravmon

4.搜尋傳奇遊戲的主視窗，截獲遊戲賬號和密碼，通過自帶的發郵件引擎將其傳送給木馬種植者。

5.該木馬程式是用VC編寫的，用UPX壓縮過。