Backdoor/Loony.e

簡介

Backdoor/Loony.e

影響平台：Win9X/2000/XP/NT/Me/2003

1.複製自身：

%System%Wstat32.exe

2.修改註冊表：

在啟動項下添加自身

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wstat32 driver"="%System%\Wstat32.exe"

3.可能會出現一個標題為"Error-394,"的欺騙性對話框，內容為：

A valid data link was not found, deleting file

4.連線遠程IRC伺服器，並通告攻擊者，然後在此等待接收指令：

清除、卸載木馬

重起計算機

執行命令

重命名檔案

進程操作(列表，結束)

對指定的機器發動ICMP攻擊

註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；

%System%為變數，一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),

或 C:\Windows\System32 (Windows XP)。