病毒别名：Trojan-PSW.Win32.Lmir.xh [AVP],Trojan/PSW.Lmir.aaq [KV]

处理时间：

威胁级别：★★

中文名称：传奇黑面

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个盗取传奇账号的木马病毒。该病毒发作的时候会将自己拷贝到“系统信息”程序所在的目录（在%SystemDriver%\\Progra~1Common~1\\Micros~1\\msinfo\\，注：%SystemDriver%是操作系统所在的分区），病毒及其DLL文件的名称与“系统信息”程序及其DLL文件非常相似，具有很大的欺骗性。该病毒会监视用户的输入，如果是病毒作者感兴趣的东西，病毒就会将其记录下来并发送到病毒作者的邮箱中。如果用户的机器中了该病毒，可能会导致传奇账号丢失，从而给用户带来一定的经济损失。

1)将病毒拷贝到“系统信息”程序所在的目录下：

%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe

%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.dll （Win32.Troj.PSWLmir.24064）

这2个文件的文件名与正常的“系统信息”程序msinfo32.exe及其DLL文件msinfo32.dll非常相似， 具有很大的欺骗

性。

注：%SystemDriver%是操作系统所在的分区，例如：C，D，E，F，G

2)在注册表中为病毒添加启动项，以实现病毒的开机自启动：

NT系统：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Shell"="Explorer.exe %SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe"

非NT系统：

HKEY_CURREN_USER\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run

"Msinfo"="%SystemDriver%\\Progra~1\\Common~1\\Micros~1\\msinfo\\Msinfo.exe"