病毒别名：Trojan.PSW.Lmir.s[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个盗取传奇帐号密码的木马病毒。它不断的修改注册表的启动项，以使字节能够开机运行。它搜索传奇游戏的窗口并截获其中的帐号和密码并将其发送给木马种植者。

1.该病毒会创建互斥体hellooooooo MIR防止多个实例运行，创建一个隐藏窗口，窗口类型为hellooooooo MIR，窗口标题为The Hello Program，并驻留内存。

2.将自己复制为%System%\\<病毒原始文件名>.exe并运行，释放文件%System%\\<病毒原始文件名>.dll，大小为4608字节。

3.修改注册表：

添加表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Windows Media SP.2.37" = "%System%\\<病毒原始文件名>.exe"

3.关闭包含以下字符串的进程：

netbargp

passwordguard

EGhost

iparmon

mailmon

kvmonxp

ravmon

4.搜索传奇游戏的主窗口，截获游戏帐号和密码，通过自带的发邮件引擎将其发送给木马种植者。

5.该木马程序是用VC编写的，用UPX压缩过。