Win32.Troj.PSWMir

病毒別名：Trojan-PSW.Win32.Lmir.xm[AVP]

該病毒掛鈎系統的滑鼠和鍵盤訊息，截取用戶的傳奇遊戲的賬號信息，並這些賬號信息傳送到木馬種植者。

1.創建互斥體kkk20041102防止多個病毒實例同時運行。

2.將自己複製為%SystemRoot%\help\KavSVCE.exe，釋放檔案%SystemRoot%\help\terxur_32.dll（病毒名：Win32.Troj.PSWMirDLL.59904）。

3.在註冊表中添加

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

"shell"="Explorer.exe %SystemRoot%\KavSVCE.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

"load"="%SystemRoot%\help\KavSVCE.exe"

4.Win9X平台，修改System.ini檔案或者Win.ini檔案：

==========================================================================

WIN.INI

=======================================================================

load = %SystemRoot%\help\KavSVCE.exe

=========================================================================

SYSTEM.INI

=====================================================================

shell=Explorer.exe %SystemRoot%\help\KavSVCE.exe

5.載入釋放的DLL檔案terxur_32.dll，調用該DLL檔案導出的StartHook函式。StartHook函式調用API函式SetWindowsHookEx，掛鈎系統所有能夠處理鍵盤和滑鼠訊息的進程，然後系統將該DLL檔案注入到被掛鈎的進程。鉤子函式通過查找視窗類“TFrmMain”已經視窗名“傳奇客戶端”，截取用戶的傳奇遊戲賬號信息，然後傳送到木馬種植者指定的網頁。